Jak zabezpieczyć dane dla typowych architektur danych
Ten artykuł zawiera omówienie sposobu konfigurowania zabezpieczeń dla danych OneLake zarówno dla sieci danych, jak i architektur piasty i szprych .
Funkcje zabezpieczeń
Usługa Microsoft Fabric używa wielowarstwowego modelu zabezpieczeń z różnymi mechanizmami kontroli dostępnymi na różnych poziomach, aby zapewnić tylko minimalne wymagane uprawnienia. Aby uzyskać więcej informacji na temat różnych typów zabezpieczeń omówionych w tym przewodniku z instrukcjami, zobacz Model kontroli dostępu do danych w usłudze OneLake.
Zabezpieczanie dla siatki danych
Siatka danych to paradygmat architektury, który traktuje dane jako produkt, a nie usługę lub zasób. Siatka danych ma na celu decentralizowanie własności i ładu danych w różnych domenach i zespołach, jednocześnie umożliwiając współdziałanie i odnajdywanie za pośrednictwem wspólnej platformy. W architekturze siatki danych każdy zdecentralizowany zespół zarządza własnością danych, które są częścią ich produktu danych. Wskazówki dotyczące zabezpieczeń podane w tej sekcji koncentrują się na jednym zespole ds. produktów danych, który konfiguruje dostęp dla swojego obszaru roboczego. Kroki te mają być powtarzane przez każdy zespół produktu danych we własnym obszarze roboczym, ponieważ umożliwiają one dostęp użytkownikom podrzędnym.
Aby rozpocząć tworzenie siatki danych, użyj funkcji domeny usługi Microsoft Fabric, aby oznaczyć obszary robocze według skojarzonego produktu i własności danych.
W domenach każdy zespół ma własny obszar roboczy lub obszary robocze. Obszar roboczy przechowuje dane potrzebne do utworzenia końcowych produktów danych do użycia. Udziel użytkownikom dostępu do obszaru roboczego przy użyciu ról obszaru roboczego.
Zidentyfikuj odbiorców danych podrzędnych produktów danych i przyznaj dostęp zgodnie z minimalnymi uprawnieniami wymaganymi do osiągnięcia ich celów. Aby użytkownicy mogli być zgodni ze swoimi środowiskami docelowymi, każdy typ użytkownika podrzędnego może mieć dostęp do pojedynczego elementu danych sieci szkieletowej. W poniższej tabeli przedstawiono niektóre typowe przypadki użycia dla użytkowników siatki danych i odpowiednich elementów sieci szkieletowej.
| User | Elementy sieci szkieletowej |
|---|---|
| Analitycy danych | Notesy platformy Apache Spark lub lakehouse |
| Inżynierowie danych | Notesy platformy Apache Spark, przepływy danych lub potoki |
| Analitycy biznesowi | Punkt końcowy analizy SQL |
| Twórcy raportów | Modele semantyczne |
| Użytkownicy raportów | Raporty Power BI |
Bezpieczny dla piasty i szprych
Architektura piasty i szprych różni się od siatki danych, ponieważ wszystkie certyfikowane produkty danych zarządzane w jednej centralnej lokalizacji. Odbiorcy podrzędni są mniej skoncentrowani na tworzeniu dodatkowych produktów danych i zamiast tego przeprowadzają analizę danych generowanych przez centralny zespół.
Zidentyfikuj odbiorców podrzędnych i przyznaj dostęp zgodnie z minimalnymi uprawnieniami wymaganymi do osiągnięcia swoich celów. Aby użytkownicy mogli być zgodni ze swoimi środowiskami docelowymi, każdy typ użytkownika podrzędnego może mieć dostęp do pojedynczego elementu danych sieci szkieletowej. Tabela persona użytkownika zawiera niektóre typowe przypadki użycia piasty i szprych wraz z odpowiednimi elementami sieci szkieletowej.
| User | Elementy sieci szkieletowej |
|---|---|
| Analitycy danych | Notesy platformy Apache Spark lub lakehouse |
| Analitycy biznesowi | Punkt końcowy analizy SQL |
| Twórcy raportów | Modele semantyczne |
| Użytkownicy raportów | Raporty Power BI |
Role obszaru roboczego
Przypisania ról obszaru roboczego są zgodne z tymi samymi wytycznymi dotyczącymi architektur piasty i szprych i siatki danych. Tabela odpowiedzialności za zadania zawiera opis roli obszaru roboczego do przypisania do użytkowników na podstawie funkcji, które wykonują w obszarze roboczym.
| Obowiązki związane z pracą | Rola obszaru roboczego |
|---|---|
| Posiadanie obszaru roboczego i zarządzanie przypisaniami ról | Administrator |
| Zarządzanie przypisaniami ról dla użytkowników niebędących administratorami | Element członkowski |
| Tworzenie elementów sieci szkieletowej i zapisywanie danych | Współautor |
| Tworzenie tabel i widoków przy użyciu języka SQL | Osoba przeglądająca i uprawnienia SQL |
Badacze danych
Analitycy danych potrzebują dostępu do danych w usłudze Lakehouse do korzystania z platformy Apache Spark. W przypadku siatki danych i gwiazdy użytkownicy platformy Spark używają danych z oddzielnego obszaru roboczego niż dane, w których znajdują się dane. Dzięki temu analitycy danych mogą mieć dostęp do tworzenia modeli i eksperymentów bez dodawania bałaganu do obszaru roboczego, który przechowuje dane. Analitycy danych mogą również używać innych usług innych niż Spark, które łączą się bezpośrednio ze ścieżkami danych usługi OneLake, takimi jak Azure Databricks lub Dremio.
Aby aprowizować dostęp dla analityków danych, użyj przycisku udostępniania, aby udostępnić usługę Lakehouse. Wybierz pole Odczytaj wszystkie platformy Apache Spark w oknie dialogowym. W przypadku usług lakehouse z włączonymi rolami dostępu do danych OneLake przyznaj tym samym użytkownikom dostęp, dodając je do roli dostępu do danych OneLake. Korzystanie z ról dostępu do danych w usłudze OneLake zapewnia bardziej szczegółowe uprawnienia dostępu do danych. Inżynierowie danych mogą następnie tworzyć skróty do wybierania tabel lub folderów w lakehouse.
Inżynierowie danych
Inżynierowie danych potrzebują dostępu do danych w usłudze Lakehouse, aby tworzyć produkty danych podrzędnych. Inżynierowie danych potrzebują dostępu do danych w usłudze OneLake, aby można było tworzyć potoki lub notesy w celu odczytania danych. W prawdziwym modelu piasty i szprych rola inżyniera danych istnieje tylko w warstwach centralnego zespołu piasty. Jednak w przypadku siatki danych inżynierowie danych łączą produkty danych między domenami w celu utworzenia nowych zestawów danych.
Użyj przycisku udostępniania, aby udostępnić usługę Lakehouse inżynierom danych. Zaznacz pole wyboru Odczytaj wszystkie platformy Apache Spark w oknie dialogowym. W przypadku usług lakehouse z włączonymi rolami dostępu do danych OneLake przyznaj tym samym użytkownikom dostęp, dodając je do roli dostępu do danych OneLake. Korzystanie z ról dostępu do danych w usłudze OneLake zapewnia bardziej szczegółowe uprawnienia dostępu do danych. Inżynierowie danych mogą następnie tworzyć skróty do wybierania tabel lub folderów w lakehouse.
Analitycy biznesowi
Analitycy biznesowi (czasami nazywają analityków danych) zapytaniami za pośrednictwem języka SQL, aby odpowiedzieć na pytania biznesowe.
Użyj przycisku Udostępniania, aby udostępnić usługę Lakehouse analitykom biznesowym. Zaznacz pole Odczytaj wszystkie dane punktu końcowego SQL w oknie dialogowym. To ustawienie zapewnia analitykom biznesowym dostęp do danych w punkcie końcowym analizy SQL usługi Lakehouse, ale nie do wyświetlenia bazowych plików OneLake.
Dostęp do danych można dodatkowo ograniczyć dla tych użytkowników, definiując zabezpieczenia na poziomie wiersza lub kolumny bezpośrednio w języku SQL.
Twórcy raportów
Twórcy raportów tworzą raporty usługi Power BI dla innych użytkowników do użycia.
Użyj przycisku udostępniania, aby udostępnić lakehouse twórcom raportów. Zaznacz okno dialogowe Kompilowanie raportów w domyślnym modelu semantycznym. To uprawnienie umożliwia twórcom raportów tworzenie raportów przy użyciu modelu semantycznego skojarzonego z usługą Lakehouse. Ci użytkownicy nie mogą uzyskać dostępu do danych w usłudze OneLake ani mieć pełnego dostępu do punktu końcowego analizy SQL.
Użytkownicy raportów
Użytkownicy raportów są liderami biznesowymi lub dyrektorami, którzy wyświetlają dane w raporcie usługi Power BI w celu podejmowania decyzji.
Udostępnianie raportu użytkownikom za pomocą przycisku udostępniania. Nie zaznaczaj żadnych pól, aby udzielić dostępu do odczytu raportu, ale nie widzi żadnego z danych bazowych. Aby uniemożliwić użytkownikom uzyskiwanie dostępu do punktu końcowego analizy SQL i wyświetlanie tabel, upewnij się, że żadne uprawnienia SQL nie są zdefiniowane, aby udzielić dostępu tym użytkownikom.
Dane można również udostępniać użytkownikom raportów przy użyciu aplikacji. Aplikacje umożliwiają użytkownikom dostęp do wstępnie zdefiniowanego raportu lub zestawu raportów bez konieczności uzyskiwania dostępu do bazowego obszaru roboczego. Należy pamiętać, że w przypadku raportów w trybie bezpośrednim lake użytkownicy będą musieli udostępnić je bazowemu magazynowi lakehouse w celu wyświetlenia danych.