Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
OneLake to hierarchiczny magazyn danych, taki jak usługa Azure Data Lake Storage (ADLS) Gen2 lub system plików systemu Windows. Zabezpieczenia w usłudze OneLake są wymuszane zarówno na płaszczyźnie sterowania, jak i na płaszczyźnie danych:
- Uprawnienia płaszczyzny sterowania: zarządzaj akcjami, które użytkownicy mogą wykonywać w środowisku, takimi jak tworzenie, zarządzanie lub udostępnianie elementów. Uprawnienia płaszczyzny sterowania często domyślnie zapewniają uprawnienia płaszczyzny danych.
- Uprawnienia płaszczyzny danych: zarządzanie danymi, do których użytkownicy mogą uzyskiwać dostęp lub wyświetlać dane, niezależnie od możliwości zarządzania zasobami.
Zabezpieczenia można ustawić na każdym poziomie w usłudze Data Lake. Jednak niektóre warstwy w hierarchii otrzymują specjalne traktowanie, ponieważ są one skorelowane z pojęciami Fabric. Zabezpieczenia OneLake kontrolują cały dostęp do danych OneLake z uprawnieniami dziedziczonymi z elementu nadrzędnego lub obszaru roboczego. Uprawnienia można ustawić na następujących poziomach:
Obszar roboczy: środowisko współpracy do tworzenia elementów i zarządzania nimi. Zarządzasz zabezpieczeniami za pomocą ról przestrzeni roboczej na tym poziomie.
Element: Zestaw funkcji powiązanych ze sobą w jeden składnik. Element danych jest podtypem elementu, który umożliwia przechowywanie w nim danych przy użyciu usługi OneLake, takiej jak "lakehouse", "magazyn" lub "baza danych SQL". Elementy dziedziczą uprawnienia z ról obszaru roboczego, ale mogą również mieć dodatkowe uprawnienia.
Foldery: foldery są używane w elemencie do przechowywania danych, takich jak Tabele/lub Pliki/.
Elementy zawsze znajdują się w obszarach roboczych, a obszary robocze zawsze znajdują się bezpośrednio pod przestrzenią nazw OneLake. Tę strukturę można wizualizować w następujący sposób:
Uprawnienia w usłudze OneLake
W tej sekcji opisano, jak uprawnienia w OneLake zarządzają dostępem na poziomie obszaru roboczego i poziomie elementu.
Uprawnienia obszaru roboczego
Uprawnienia obszaru roboczego definiują akcje, które użytkownicy mogą wykonywać w obszarze roboczym i jego elementach. Zarządzaj tymi uprawnieniami na poziomie obszaru roboczego. Te uprawnienia są przede wszystkim uprawnieniami płaszczyzny sterowania. Określają możliwości zarządzania administracyjnym i elementami, a nie bezpośredni dostęp do danych. Jednak elementy i foldery zwykle dziedziczą uprawnienia obszaru roboczego, aby domyślnie udzielać dostępu do danych. Uprawnienia obszaru roboczego definiują dostęp do wszystkich elementów w tym obszarze roboczym.
Cztery różne role obszaru roboczego przyznają różne typy dostępu. W poniższej tabeli wymieniono domyślne zachowania każdej roli obszaru roboczego:
| Rola | Czy można dodać administratorów? | Czy można dodać członków? | Czy można edytować zabezpieczenia usługi OneLake? | Czy można zapisywać dane i tworzyć elementy? | Czy można odczytywać dane w usłudze OneLake? | Czy można zaktualizować i usunąć obszar roboczy? |
|---|---|---|---|---|---|---|
| Administracja | Tak | Tak | Tak | Tak | Tak | Tak |
| Członek | Nie. | Tak | Tak | Tak | Tak | Nie. |
| Współautor | Nie. | Nie. | Nie. | Tak | Tak | Nie. |
| Przeglądarka | Nie. | Nie. | Nie. | Nie. | Nie* | Nie. |
* Możesz przyznać widzom dostęp do danych przy użyciu ról zabezpieczeń OneLake.
Dowiedz się więcej o rolach w obszarach roboczych w usłudze Microsoft Fabric.
Uprość zarządzanie rolami w obszarze roboczym Fabric, przypisując je do grup zabezpieczeń. Ta metoda umożliwia kontrolowanie dostępu przez dodawanie lub usuwanie członków z grupy zabezpieczeń.
Uprawnienia do elementu
Korzystając z funkcji udostępniania , możesz udzielić użytkownikowi bezpośredniego dostępu do elementu. Użytkownik może zobaczyć tylko ten element w obszarze roboczym i nie jest członkiem żadnych ról obszaru roboczego. Uprawnienia elementu udzielają dostępu w celu nawiązania połączenia z tym elementem i dowolnymi z jego punktów końcowych, do których użytkownik może uzyskać dostęp.
| Uprawnienie | Widzisz metadane elementu? | Zobacz dane w języku SQL? | Widzisz dane w usłudze OneLake? |
|---|---|---|---|
| Przeczytaj | Tak | Nie. | Nie. |
| OdczytajDane | Nie. | Tak | Nie. |
| PrzeczytajWszystko | Nie. | Nie. | Tak* |
* Nie dotyczy elementów z włączonymi zabezpieczeniami usługi OneLake . Jeśli zabezpieczenia usługi OneLake są włączone, funkcja ReadAll udziela dostępu tylko wtedy, gdy rola DefaultReader jest używana. Jeśli rola DefaultReader zostanie edytowana lub usunięta, dostęp będzie przyznawany na podstawie ról dostępu do danych, do których należy użytkownik.
Innym sposobem konfigurowania uprawnień jest strona Zarządzanie uprawnieniami elementu. Przy użyciu tej strony można dodawać lub usuwać uprawnienia poszczególnych elementów dla użytkowników lub grup. Typ elementu określa, które uprawnienia są dostępne.
Zabezpieczenia OneLake (wersja zapoznawcza)
Zabezpieczenia usługi OneLake umożliwiają definiowanie szczegółowych zabezpieczeń opartych na rolach dla danych przechowywanych w usłudze OneLake i spójne egzekwowanie tych zabezpieczeń we wszystkich silnikach obliczeniowych w Fabric. Zabezpieczenia oneLake to model zabezpieczeń płaszczyzny danych dla danych w usłudze OneLake.
Użytkownicy platformy Fabric w rolach Administratora lub Członka mogą tworzyć role zabezpieczeń OneLake, aby przyznać użytkownikom dostęp do danych w konkretnym elemencie. Każda rola ma cztery składniki:
- Dane: tabele lub foldery, do których użytkownicy mogą uzyskiwać dostęp.
- Uprawnienie: uprawnienia, które użytkownicy mają na danych.
- Członkowie: Użytkownicy, którzy są członkami roli.
- Ograniczenia: składniki danych, jeśli istnieją, które są wykluczone z dostępu do roli, takie jak określone wiersze lub kolumny.
Role zabezpieczeń usługi OneLake udzielają dostępu do danych użytkownikom w roli obszaru roboczego Osoba przeglądająca lub z uprawnieniem Odczyt w elemencie. Administratorzy, członkowie i współautorzy nie są dotknięci przez role zabezpieczeń usługi OneLake i mogą odczytywać oraz zapisywać wszystkie dane w elemencie niezależnie od członkostwa w roli. Rola DefaultReader istnieje we wszystkich magazynach danych i zapewnia dowolnemu użytkownikowi z uprawnieniem ReadAll dostęp do danych w magazynie danych. Aby usunąć ten dostęp, możesz usunąć lub edytować rolę DefaultReader.
Dowiedz się więcej o tworzeniu ról zabezpieczeń usługi OneLake dla tabel i folderów, kolumn i wierszy.
Dowiedz się więcej o modelu kontroli dostępu dla zabezpieczeń usługi OneLake.
Uprawnienia obliczeniowe
Uprawnienia obliczeniowe to typ uprawnień dotyczących płaszczyzny danych, które mają zastosowanie do określonego silnika zapytań w usłudze Microsoft Fabric. Udzielony dostęp ma zastosowanie tylko do zapytań uruchamianych względem tego konkretnego aparatu, takiego jak punkt końcowy SQL lub model semantyczny usługi Power BI. W zależności od uprawnień obliczeniowych użytkownicy mogą zobaczyć różne wyniki przy dostępie do danych przez mechanizm obliczeniowy w porównaniu z bezpośrednim dostępem do danych w usłudze OneLake.
Zabezpieczenia usługi OneLake umożliwiają zabezpieczanie danych w usłudze OneLake zamiast uprawnień obliczeniowych. Zabezpieczenia OneLake zapewniają spójne wyniki we wszystkich silnikach, z których użytkownik może korzystać.
Aparaty obliczeniowe mogą mieć bardziej zaawansowane funkcje zabezpieczeń, które nie są dostępne w zabezpieczeniach usługi OneLake. W takim przypadku niektóre scenariusze mogą wymagać użycia uprawnień obliczeniowych. Jeśli używasz uprawnień obliczeniowych do zabezpieczania dostępu do danych, upewnij się, że użytkownicy końcowi mają dostęp tylko do aparatu obliczeniowego, w którym ustawiono zabezpieczenia. To najlepsze rozwiązanie uniemożliwia uzyskiwanie dostępu do danych za pośrednictwem innego silnika bez niezbędnych funkcji zabezpieczających.
Bezpieczeństwo skrótów
Skróty w usłudze Microsoft Fabric upraszczają zarządzanie danymi. Zabezpieczenia folderów OneLake mają zastosowanie do skrótów OneLake opartych na rolach zdefiniowanych w systemie Lakehouse, w którym przechowywane są dane.
Aby uzyskać więcej informacji na temat zagadnień dotyczących zabezpieczeń skrótów, zobacz OneLake security access control model Shortcuts (Skróty do modelu > kontroli dostępu do zabezpieczeń w usłudze OneLake).
Aby uzyskać informacje na temat dostępu i uwierzytelniania dla określonych skrótów, zobacz typy skrótów OneLake.
Uwierzytelnianie
Usługa OneLake używa identyfikatora Entra firmy Microsoft do uwierzytelniania. Użyj tego do przyznawania uprawnień tożsamościom użytkowników oraz zasadom usług. Usługa OneLake automatycznie pozyskuje tożsamość użytkownika z narzędzi korzystających z uwierzytelniania Microsoft Entra i mapuje ją na uprawnienia ustawione w portalu Fabric.
Uwaga
Aby korzystać z pryncypałów usługowych w dzierżawie Fabric, administrator dzierżawy musi włączyć nazwy zasadniczych usług (SPN) dla całej dzierżawy lub określonych grup zabezpieczeń. Dowiedz się więcej o włączaniu pryncypałów usługi w Ustawieniach dewelopera portalu administratora dzierżawy.
Dzienniki inspekcji
Aby wyświetlić dzienniki inspekcji usługi OneLake, postępuj zgodnie z instrukcjami w temacie Śledzenie działań użytkowników w usłudze Microsoft Fabric. Nazwy operacji usługi OneLake odpowiadają interfejsom API usługi ADLS, takim jak CreateFile lub DeleteFile. Dzienniki inspekcji usługi OneLake nie obejmują żądań odczytu ani żądań wysyłanych do OneLake za pośrednictwem Fabric workloads.
Szyfrowanie i sieć
Dane w stanie spoczynku
Dane przechowywane w usłudze OneLake są domyślnie szyfrowane przy użyciu kluczy zarządzanych przez firmę Microsoft. Klucze zarządzane przez firmę Microsoft są odpowiednio rotowane. Usługa OneLake szyfruje i odszyfrowuje dane przezroczysto i jest zgodna ze standardem FIPS 140-2.
Możesz używać szyfrowania danych w spoczynku za pomocą kluczy zarządzanych przez klienta, aby dodać kolejną warstwę ochrony, używając kluczy, których jesteś właścicielem i które kontrolujesz. Aby uzyskać więcej informacji, zapoznaj się z Kluczami zarządzanymi przez klienta dla obszarów roboczych usługi Fabric.
Dane w tranzycie
Dane przesyłane przez publiczny Internet między usługami firmy Microsoft są zawsze szyfrowane przy użyciu co najmniej protokołu TLS 1.2. Sieć negocjuje protokół TLS 1.3 zawsze, gdy jest to możliwe. Ruch między usługami firmy Microsoft zawsze kieruje się przez globalną sieć Microsoft.
Komunikacja przychodząca OneLake również wymusza użycie protokołu TLS 1.2 i negocjuje przejście do wersji TLS 1.3, gdy tylko jest to możliwe. Komunikacja wychodząca sieci szkieletowej z infrastrukturą należącą do klienta preferuje bezpieczne protokoły, ale może wrócić do starszych, niezabezpieczonych protokołów (w tym TLS 1.0), gdy nowsze protokoły nie są obsługiwane.
Łącza prywatne
Aby skonfigurować łącza prywatne w usłudze Fabric, zobacz Konfigurowanie i używanie linków prywatnych.
Zezwalaj aplikacjom działającym poza siecią Szkieletową na dostęp do danych za pośrednictwem usługi OneLake
Możesz zezwolić lub ograniczyć dostęp do danych usługi OneLake z aplikacji spoza środowiska sieci szkieletowej. Administratorzy mogą znaleźć to ustawienie w sekcji OneLake ustawień dzierżawy w portalu administracyjnym.
Po włączeniu tego ustawienia użytkownicy mogą uzyskiwać dostęp do danych ze wszystkich źródeł. Na przykład włącz to ustawienie, jeśli masz aplikacje niestandardowe korzystające z interfejsów API usługi Azure Data Lake Storage (ADLS) lub Eksploratora plików OneLake. Po wyłączeniu tego ustawienia użytkownicy mogą nadal uzyskiwać dostęp do danych z aplikacji wewnętrznych, takich jak Spark, Data Engineering i Data Warehouse, ale nie mogą uzyskiwać dostępu do danych z aplikacji działających poza środowiskami sieci szkieletowej.