Защита данных с помощью Fabric, вычислительных подсистем и OneLake

  • Статья

Fabric предлагает модель безопасности с несколькими уровнями, которая обеспечивает простоту и гибкость в управлении доступом к данным. Безопасность может быть задана для всей рабочей области, для отдельных элементов или с помощью подробных разрешений в каждом обработчике Fabric.

Подробные разрешения подсистемы позволяют точно определить контроль доступа, например таблицу, столбец и безопасность на уровне строк. Эти детализированные разрешения применяются к запросам, выполняемым в этом обработчике. Различные подсистемы поддерживают различные типы детализированной безопасности, позволяя каждому обработчику специально адаптироваться для целевых пользователей.

Схема, на которой показаны различные уровни безопасности в Fabric, вычислительных ядрах и OneLake.

Безопасность данных Fabric

Структура управляет доступом к данным с помощью рабочих областей и элементов. В рабочих областях данные отображаются в виде элементов Структуры, и пользователи не могут просматривать или использовать данные в элементах, если вы не предоставляете им доступ к рабочей области.

Разрешения рабочей области предоставляют доступ ко всем элементам в рабочей области. В отличие от этого разрешения элемента Fabric позволяют предоставлять доступ к определенным элементам, таким как lakehouses, склады или отчеты. Администратор может определить, с каким элементом Fabric может взаимодействовать пользователь. Например, ограничение доступа к данным через конечную точку SQL Analytics, предоставляя доступ к тем же данным через Lakehouse или через API OneLake напрямую.

Дополнительные сведения об управлении доступом к данным с помощью рабочей области Fabric и разрешений элементов в службе безопасности в Майкрософт.

Безопасность данных, относящихся к обработчику

Многие подсистемы Fabric позволяют точно определить систему управления доступом, например таблицу, столбец и безопасность на уровне строк. Некоторые вычислительные подсистемы в Fabric имеют собственные модели безопасности. Например, хранилище Fabric позволяет пользователям определять доступ с помощью инструкций T-SQL. Безопасность для конкретных вычислений всегда применяется при доступе к данным с помощью этого модуля. Безопасность подсистемы вычислений может не применяться к пользователям в определенных ролях Fabric, когда они обращаются напрямую к OneLake.

Дополнительные сведения о детализированной безопасности данных, зависят от обработчика:

Роли доступа к данным OneLake (предварительная версия)

Роли доступа к данным OneLake (предварительная версия) позволяют пользователям создавать пользовательские роли в lakehouse и предоставлять разрешения на чтение только указанным папкам при доступе к OneLake. Для каждой роли OneLake пользователи могут назначать пользователей, группы безопасности или предоставлять автоматическое назначение на основе роли рабочей области.

Схема, показывающая структуру озера данных, подключающегося к отдельно защищенным контейнерам.

Узнайте больше о модели OneLake data контроль доступа и начале работы с доступом к данным.

Безопасность ярлыков

Сочетания клавиш в Microsoft Fabric позволяют упростить управление данными. Безопасность папки OneLake применяется к сочетаниям клавиш OneLake на основе ролей, определенных в lakehouse, где хранятся данные.

Дополнительные сведения о сочетаниях клавиш см . в модели управления доступом OneLake. Дополнительные сведения о сочетаниях клавиш см. здесь.

Проверка подлинности

OneLake использует идентификатор Microsoft Entra для проверки подлинности; его можно использовать для предоставления разрешений удостоверениям пользователей и субъектам-службам. OneLake автоматически извлекает удостоверение пользователя из средств, которые используют проверку подлинности Microsoft Entra и сопоставляют его с разрешениями, заданными на портале Fabric.

Примечание.

Чтобы использовать субъекты-службы в клиенте Fabric, администратор клиента должен включить имена субъектов-служб для всего клиента или определенных групп безопасности. Дополнительные сведения о включении субъектов-служб в Параметры разработчика на портале Администратор клиента

Данные неактивных данных

Данные, хранящиеся в OneLake, шифруются по умолчанию с помощью ключа, управляемого корпорацией Майкрософт. Управляемые корпорацией Майкрософт ключи поворачиваются соответствующим образом. Данные в OneLake шифруются и расшифровываются прозрачно, и он соответствует FIPS 140-2.

Шифрование неактивных данных с помощью ключа, управляемого клиентом, в настоящее время не поддерживается. Вы можете отправить запрос на эту функцию в Microsoft Fabric Ideas.

Передаваемые данные

Данные, передаваемые через общедоступный Интернет между службы Майкрософт, всегда шифруются по крайней мере tls 1.2. Структура согласовывает протокол TLS 1.3 по возможности. Трафик между службы Майкрософт всегда направляется по глобальной сети Майкрософт.

Входящий обмен данными OneLake также применяет протокол TLS 1.2 и согласовывает протокол TLS 1.3 по возможности. Исходящая связь Fabric с инфраструктурой, принадлежащей клиенту, предпочитает безопасные протоколы, но может вернуться к более старым, небезопасным протоколам (включая TLS 1.0), если новые протоколы не поддерживаются.

Fabric в настоящее время не поддерживает доступ к данным OneLake с помощью продуктов, отличных от Fabric, и Spark.

Разрешить приложениям, работающим вне Структуры, получать доступ к данным через OneLake

OneLake позволяет ограничить доступ к данным из приложений, работающих за пределами сред Fabric. Администратор могут найти параметр в Раздел OneLake на портале Администратор клиента. При включении этого параметра пользователи могут получать доступ к данным через все источники. Если отключить отключение, пользователи не могут получать доступ к данным через приложения, работающие вне сред Fabric. Например, пользователи могут получать доступ к данным через такие приложения, как Azure Databricks, пользовательские приложения с помощью API-интерфейсов Azure Data Lake служба хранилища (ADLS) или проводника OneLake.

Связанный контент