Gegevens beveiligen voor algemene gegevensarchitecturen
Dit artikel bevat een overzicht van het configureren van beveiliging voor OneLake-gegevens voor zowel data mesh - als hub- en spoke-architecturen .
Beveiligingsfuncties
Microsoft Fabric maakt gebruik van een beveiligingsmodel met meerdere lagen met verschillende besturingselementen die op verschillende niveaus beschikbaar zijn om alleen de minimaal benodigde machtigingen te bieden. Zie het model voor gegevenstoegangsbeheer in OneLake voor meer informatie over de verschillende beveiligingstypen die in deze handleiding worden besproken.
Beveiligen voor data mesh
Data mesh is een architectuurparadigma dat gegevens behandelt als een product, in plaats van een service of een resource. Data mesh is gericht op het decentraliseren van het eigendom en de governance van gegevens in verschillende domeinen en teams, terwijl interoperabiliteit en detectie mogelijk zijn via een gemeenschappelijk platform. In een data mesh-architectuur beheert elk gedecentraliseerd team het eigendom van gegevens die deel uitmaken van hun gegevensproduct. De beveiligingsrichtlijnen in deze sectie zijn gericht op één gegevensproductteam dat de toegang voor hun werkruimte configureert. De stappen moeten worden herhaald door elk gegevensproductteam in hun eigen werkruimte, omdat ze toegang voor downstreamgebruikers mogelijk maken.
Als u aan de slag wilt gaan met het bouwen van een data mesh, gebruikt u de domeinfunctie van Microsoft Fabric om werkruimten te taggen op basis van hun bijbehorende gegevensproduct en eigendom.
Binnen de domeinen heeft elk team zijn eigen werkruimte of werkruimten. De werkruimte slaat de gegevens op die nodig zijn om de uiteindelijke gegevensproducten voor verbruik uit te bouwen. Gebruikers toegang verlenen tot de werkruimte met behulp van werkruimterollen.
Identificeer de downstreamgebruikers van uw gegevensproducten en verken toegang op basis van de minimale machtigingen die nodig zijn om hun doelstellingen te bereiken. Als u wilt dat gebruikers zijn afgestemd op hun doelervaringen, kan elk type downstreamgebruiker toegang krijgen tot één Fabric-gegevensitem. In de onderstaande tabel ziet u enkele veelvoorkomende use cases voor data mesh-consumenten en de relevante Fabric-items.
| User | Fabric-items |
|---|---|
| Gegevenswetenschappers | Apache Spark-notebooks of Lakehouse |
| Data engineers | Apache Spark-notebooks, gegevensstromen of pijplijnen |
| Bedrijfsanalisten | SQL Analytics-eindpunt |
| Makers van rapporten | Semantische modellen |
| Rapportgebruikers | Power BI-rapporten |
Beveiligen voor hub en spoke
Een hub- en spoke-architectuur verschilt van een data mesh door alle gecertificeerde gegevensproducten te laten beheren op één centrale locatie. Downstreamgebruikers zijn minder gericht op het bouwen van aanvullende gegevensproducten en voeren in plaats daarvan analyses uit op de gegevens die door het centrale team worden geproduceerd.
Identificeer de downstreamgebruikers en verken toegang op basis van de minimale machtigingen die nodig zijn om hun doelstellingen te bereiken. Als u wilt dat gebruikers zijn afgestemd op hun doelervaringen, kan elk type downstreamgebruiker toegang krijgen tot één Fabric-gegevensitem. De personatabel van de gebruiker bevat enkele veelvoorkomende use cases voor hub en spoke, samen met de relevante Fabric-items.
| User | Fabric-items |
|---|---|
| Gegevenswetenschappers | Apache Spark-notebooks of Lakehouse |
| Bedrijfsanalisten | SQL Analytics-eindpunt |
| Makers van rapporten | Semantische modellen |
| Rapportgebruikers | Power BI-rapporten |
Werkruimterollen
Toewijzingen van werkruimterollen volgen dezelfde richtlijnen voor hub- en spoke- en data mesh-architecturen. In de tabel met taakverantwoordelijkheden wordt beschreven welke werkruimterol aan gebruikers moet worden toegewezen op basis van de functies die ze in de werkruimte uitvoeren.
| Functiegroepen | Werkruimterol |
|---|---|
| Eigenaar zijn van de werkruimte en roltoewijzingen beheren | Beheerder |
| Roltoewijzingen beheren voor niet-beheerders | Lid |
| Fabric-items maken en gegevens schrijven | Inzender |
| Tabellen en weergaven maken met SQL | Viewer + SQL-machtigingen |
Gegevenswetenschappers
Gegevenswetenschappers moeten toegang hebben tot gegevens in een lakehouse om te kunnen gebruiken via Apache Spark. Voor data mesh en hub en spoke gebruiken de Spark-gebruikers gegevens uit een afzonderlijke werkruimte dan de werkruimte waarin de gegevens zich bevinden. Hierdoor kunnen gegevenswetenschappers toegang hebben tot het maken van modellen en experimenten zonder dat ze onbelangrijke e-mail toevoegen aan de werkruimte waarin de gegevens zijn opgeslagen. Gegevenswetenschappers kunnen ook andere niet-Spark-services gebruiken die rechtstreeks verbinding maken met de OneLake-gegevenspaden, zoals Azure Databricks of Dremio.
Als u toegang wilt inrichten voor gegevenswetenschappers, gebruikt u de knop Delen om het lakehouse te delen. Selecteer het vak Alle Apache Spark-bestanden lezen in het dialoogvenster. Voor Lakehouses waarvoor Rollen voor Gegevenstoegang van OneLake zijn ingeschakeld, geeft u dezelfde gebruikers toegang door ze toe te voegen aan een OneLake-rol voor gegevenstoegang. Als u OneLake-gegevenstoegangsrollen gebruikt, krijgt u nauwkeuriger toegang tot de gegevens. Data engineers kunnen vervolgens snelkoppelingen maken om tabellen of mappen in een lakehouse te selecteren.
Gegevenstechnici
Data engineers hebben toegang nodig tot gegevens in een lakehouse om downstreamgegevensproducten te bouwen. Data engineers hebben toegang nodig tot de gegevens in OneLake, zodat pijplijnen of notebooks kunnen worden gemaakt om de gegevens te lezen. In een waar hub- en spoke-model bestaat de rol van data engineer alleen binnen de lagen van het centrale hubteam. Voor data mesh combineren data engineers echter gegevensproducten in verschillende domeinen om nieuwe gegevenssets te bouwen.
Gebruik de knop Delen om het lakehouse te delen met data engineers. Schakel het selectievakje Alle Apache Spark-bestanden lezen in het dialoogvenster in. Voor Lakehouses waarvoor Rollen voor Gegevenstoegang van OneLake zijn ingeschakeld, geeft u dezelfde gebruikers toegang door ze toe te voegen aan een OneLake-rol voor gegevenstoegang. Als u OneLake-gegevenstoegangsrollen gebruikt, krijgt u nauwkeuriger toegang tot de gegevens. Data engineers kunnen vervolgens snelkoppelingen maken om tabellen of mappen in een lakehouse te selecteren.
Bedrijfsanalisten
Bedrijfsanalisten (soms gegevensanalisten aanroepen) query's uitvoeren op gegevens via SQL om zakelijke vragen te beantwoorden.
Gebruik de knop Delen om het lakehouse te delen met de bedrijfsanalisten. Schakel het selectievakje Alle SQL-eindpuntgegevens lezen in het dialoogvenster in. Deze instelling biedt bedrijfsanalisten toegang tot de gegevens in het SQL-analyse-eindpunt van een Lakehouse, maar niet om de onderliggende OneLake-bestanden te zien.
Toegang tot gegevens kan verder worden beperkt voor deze gebruikers door beveiliging op rij- of kolomniveau rechtstreeks in SQL te definiëren.
Makers van rapporten
Makers van rapporten bouwen Power BI-rapporten voor andere gebruikers die ze kunnen gebruiken.
Gebruik de knop Delen om het lakehouse te delen met de makers van rapporten. Controleer de buildrapporten in het standaardvak semantisch model in het dialoogvenster. Met deze machtiging kunnen de makers van rapporten rapporten maken met behulp van het semantische model dat is gekoppeld aan het lakehouse. Deze gebruikers hebben geen toegang tot de gegevens in OneLake of hebben volledige toegang tot het SQL Analytics-eindpunt.
Rapportgebruikers
Rapportgebruikers zijn de zakelijke leiders of directeuren die gegevens in een Power BI-rapport bekijken om beslissingen te nemen.
Deel een rapport met consumenten met behulp van de knop Delen. Schakel geen selectievakjes in om toegang te verlenen tot het lezen van het rapport, maar zie geen van de onderliggende gegevens. Als u wilt voorkomen dat gebruikers toegang hebben tot het EINDPUNT van SQL Analytics en tabellen weergeven, moet u ervoor zorgen dat er geen SQL-machtigingen zijn gedefinieerd die toegang verlenen aan deze gebruikers.
U kunt ook gegevens delen met rapportgebruikers met behulp van een app. Met apps kunnen gebruikers toegang krijgen tot een vooraf gedefinieerd rapport of een set rapporten zonder dat ze toegang nodig hebben tot de onderliggende werkruimte. Houd er rekening mee dat voor rapporten in de direct lake-modus de gebruikers het onderliggende lakehouse met hen moeten delen om gegevens te kunnen zien.