Notatka
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Ten artykuł ułatwia zapewnienie bezpieczeństwa danych w zreplikowanej usłudze Azure Databricks w środowisku Microsoft Fabric.
Katalog Unity
Użytkownicy muszą ponownie skonfigurować zasady i uprawnienia Unity Catalog w Fabric.
Aby umożliwić dostęp do katalogów Azure Databricks w ramach Fabric, zobacz Kontrolowanie zewnętrznego dostępu do danych w Unity Catalog.
Zasady i uprawnienia w Unity Catalog nie są odwzorowywane w Fabric. Użytkownicy nie mogą ponownie wykorzystywać zasad i uprawnień Unity Catalog w Fabric. Uprawnienia ustawione w katalogach, schematach i tabelach w usłudze Azure Databricks nie są przenoszone do obszarów roboczych usługi Fabric. Aby ustawić kontrolę dostępu do obiektów w Fabric, należy użyć modelu uprawnień Fabric.
Poświadczenie używane do tworzenia połączenia z katalogiem Unity tej repliki katalogu jest używane dla wszystkich zapytań dotyczących danych.
Uzyskaj dostęp do zaporowego magazynu ADLS przy użyciu zaufanego dostępu do obszaru roboczego.
Podczas konfigurowania funkcji dublowania usługi Azure Databricks w usłudze Microsoft Fabric włącz dostęp do zaufanych obszarów roboczych w celu uzyskania dostępu do kont usługi Azure Data Lake Storage (ADLS) Gen2 z obsługą zapory.
Dostęp do zaufanego obszaru roboczego wymaga utworzenia połączenia bezpośrednio z kontem magazynu usługi ADLS, które może być używane niezależnie od połączenia obszaru roboczego usługi Azure Databricks. Zasady katalogu Unity, takie jak zabezpieczenia na poziomie wiersza/CLM lub ABAC, nie są wymuszane w warstwie przechowywania i nie będą stosowane, jeśli połączenie jest używane do bezpośredniego dostępu do przechowywania. Zamiast tego zaufany dostęp do obszaru roboczego opiera się na administrowaniu i zarządzaniu tożsamościami obszarów roboczych Fabric.
Wykonaj kroki opisane w samouczku, aby włączyć dostęp do zabezpieczeń sieci. Zaleca się zapewnienie szczegółowej kontroli nad kontem magazynu przez wskazanie konkretnego folderu w kontenerze i przypisanie ról Azure za pomocą portalu Azure.
Gdy usługa ADLS Gen2 jest chroniona przez zaporę sieciową Azure Storage, Fabric używa tożsamości Workspace do dostępu do zapory. Nawet jeśli Service principal jest wybrany do uwierzytelniania ADLS na karcie Network Security, tożsamość obszaru roboczego musi być dozwolona w zaporze konta Azure Storage. Główna usługi lub uwierzytelnianie OAuth są używane do uwierzytelniania Databricks i autoryzacji Unity Catalog.
Permissions
Uprawnienia ustawione dla katalogów, schematów i tabel w obszarze roboczym usługi Azure Databricks nie mogą być replikowane do obszaru roboczego usługi Fabric. Użyj modelu uprawnień Fabric do ustawienia mechanizmów kontroli dostępu dla katalogów, schematów i tabel w Fabric.
Podczas wybierania obiektów do odbijania można zobaczyć tylko katalogi/schematy/tabele, do których masz dostęp zgodnie z uprawnieniami przyznanymi zgodnie z modelem uprawnień opisanym w Uprawnienia w Unity Catalog i zabezpieczane obiekty.
Aby uzyskać więcej informacji na temat konfigurowania zabezpieczeń obszaru roboczego w Microsoft Fabric, odwołaj się do modelu uprawnień i ról w obszarach roboczych w Microsoft Fabric.