Zabezpieczanie danych za pomocą sieci szkieletowej, aparatów obliczeniowych i usługi OneLake
Sieć szkieletowa oferuje wielowarstwowy model zabezpieczeń do zarządzania dostępem do danych. Zabezpieczenia można ustawić dla całego obszaru roboczego, poszczególnych elementów lub za pomocą szczegółowych uprawnień w każdym aucie sieci szkieletowej. Usługa OneLake ma własne zagadnienia dotyczące zabezpieczeń, które zostały opisane w tym dokumencie.
Role dostępu do danych usługi OneLake (wersja zapoznawcza)
Role dostępu do danych usługi OneLake (wersja zapoznawcza) umożliwiają użytkownikom tworzenie ról niestandardowych w usłudze Lakehouse i udzielanie uprawnień do odczytu tylko określonym folderom podczas uzyskiwania dostępu do usługi OneLake. Dla każdej roli OneLake użytkownicy mogą przypisywać użytkowników, grupy zabezpieczeń lub przydzielać automatyczne przypisanie na podstawie roli obszaru roboczego.
Dowiedz się więcej na temat modelu kontroli dostępu do danych w usłudze OneLake i rozpocznij pracę z dostępem do danych.
Zabezpieczenia skrótów
Skróty w usłudze Microsoft Fabric umożliwiają uproszczone zarządzanie danymi. Zabezpieczenia folderów OneLake mają zastosowanie do skrótów oneLake opartych na rolach zdefiniowanych w usłudze Lakehouse, w której są przechowywane dane.
Aby uzyskać więcej informacji na temat zagadnień dotyczących zabezpieczeń skrótów, zobacz OneLake access control model (Model kontroli dostępu w usłudze OneLake). Więcej informacji na temat skrótów można znaleźć tutaj.
Uwierzytelnianie
Usługa OneLake używa identyfikatora Entra firmy Microsoft do uwierzytelniania; Można go użyć do nadania uprawnień tożsamościom użytkowników i jednostkom usługi. Usługa OneLake automatycznie wyodrębnia tożsamość użytkownika z narzędzi, które używają uwierzytelniania Microsoft Entra i mapują ją na uprawnienia ustawione w portalu sieci szkieletowej.
Uwaga
Aby korzystać z jednostek usługi w dzierżawie sieci szkieletowej, administrator dzierżawy musi włączyć główne nazwy usługi (SPN) dla całej dzierżawy lub określonych grup zabezpieczeń. Dowiedz się więcej o włączaniu jednostek usługi w ustawieniach dewelopera portalu administracyjnego dzierżawy
Dane magazynowane
Dane przechowywane w usłudze OneLake są domyślnie szyfrowane przy użyciu klucza zarządzanego przez firmę Microsoft. Klucze zarządzane przez firmę Microsoft są odpowiednio obracane. Dane w usłudze OneLake są szyfrowane i odszyfrowywane w sposób niewidoczny i zgodne ze standardem FIPS 140-2.
Szyfrowanie magazynowane przy użyciu klucza zarządzanego przez klienta nie jest obecnie obsługiwane. Możesz przesłać wniosek o tę funkcję w witrynie Microsoft Fabric Ideas.
Dane przesyłane
Dane przesyłane przez publiczny Internet między usługi firmy Microsoft są zawsze szyfrowane przy użyciu co najmniej protokołu TLS 1.2. Sieć szkieletowa negocjuje protokół TLS 1.3 zawsze, gdy jest to możliwe. Ruch między usługi firmy Microsoft zawsze kieruje się przez globalną sieć firmy Microsoft.
Komunikacja przychodząca OneLake wymusza również protokół TLS 1.2 i negocjuje do protokołu TLS 1.3, gdy jest to możliwe. Komunikacja wychodząca sieci szkieletowej z infrastrukturą należącą do klienta preferuje bezpieczne protokoły, ale może wrócić do starszych, niezabezpieczonych protokołów (w tym TLS 1.0), gdy nowsze protokoły nie są obsługiwane.
Łącza prywatne
Sieć szkieletowa nie obsługuje obecnie dostępu do danych usługi OneLake za pośrednictwem produktów innych niż sieć szkieletowa i platformy Apache Spark.
Zezwalaj aplikacjom działającym poza siecią Szkieletową na dostęp do danych za pośrednictwem usługi OneLake
Usługa OneLake umożliwia ograniczenie dostępu do danych z aplikacji działających poza środowiskami sieci szkieletowej. Administratorzy mogą znaleźć ustawienie w sekcji OneLake w portalu administracyjnym dzierżawy. Po włączeniu tego przełącznika użytkownicy mogą uzyskiwać dostęp do danych za pośrednictwem wszystkich źródeł. Po wyłączeniu przełącznika użytkownicy nie będą mogli uzyskiwać dostępu do danych za pośrednictwem aplikacji działających poza środowiskami sieci szkieletowej. Na przykład użytkownicy mogą uzyskiwać dostęp do danych za pośrednictwem aplikacji przy użyciu interfejsów API usługi Azure Data Lake Storage (ADLS) lub Eksploratora plików Usługi OneLake.
Powiązana zawartość
Opinia
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź: https://aka.ms/ContentUserFeedback.
Prześlij i wyświetl opinię dla