Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
OneLake — это иерархическое озеро данных, например Azure Data Lake Storage (ADLS) 2-го поколения или файловая система Windows. Безопасность в OneLake применяется на нескольких уровнях, каждая из которых соответствует различным аспектам доступа и контроля. Понимание различий между разрешениями уровня управления и плоскости данных является ключом для эффективной защиты данных:
- Разрешения плоскости управления. Управление действиями, которые пользователи могут выполнять в среде (например, создание, управление и совместное использование элементов). Разрешения уровня управления часто предоставляют разрешения уровня данных по умолчанию.
- Разрешения плоскости данных. Управление доступом или просмотром пользователей данных независимо от их способности управлять ресурсами.
Вы можете задать безопасность на каждом уровне в озере данных. Однако некоторые уровни в иерархии имеют особый статус, так как они связаны с понятиями Fabric. Система безопасности OneLake управляет всем доступом к данным OneLake через различные разрешения, наследованные от родительского элемента или разрешений рабочей области. Разрешения можно задать на следующих уровнях:
Рабочая область: среда совместной работы для создания и управления элементами. Безопасность управляется с помощью ролей рабочей области на этом уровне.
Элемент: набор возможностей, объединенных в один компонент. Элемент данных — это подтип элемента, который позволяет хранить данные в нем с помощью OneLake. Элементы наследуют права доступа от ролей рабочей области, но также могут иметь дополнительные права.
Папки: папки в элементе, который используется для хранения и управления данными, такими как таблицы или файлы/.
Элементы всегда находятся в рабочих пространствах, а рабочие пространства всегда находятся непосредственно под пространством имен OneLake. Вы можете визуализировать эту структуру следующим образом:
Безопасность в OneLake
В этом разделе описывается модель безопасности на основе общих возможностей OneLake.
Разрешения рабочей области
Разрешения рабочей области определяют действия, которые пользователи могут принимать в рабочей области и его элементах. Эти разрешения управляются на уровне рабочей области и в основном являются разрешениями уровня управления; они определяют возможности администрирования и управления элементами, а не прямой доступ к данным. Однако разрешения рабочей области обычно наследуются на уровне элемента и папки, чтобы предоставить доступ к данным по умолчанию. Разрешения рабочей области позволяют определять доступ ко всем элементам в этой рабочей области. Существует четыре разные роли рабочей области, каждая из которых предоставляет различные типы доступа. Ниже приведены действия по умолчанию для каждой роли рабочей области.
| Роль | Можно ли добавить администраторов? | Можно ли добавить участников? | Можно ли редактировать безопасность OneLake? | Можно ли записывать данные и создавать элементы? | Может ли читать данные в OneLake? | Обновите и удалите рабочую область. |
|---|---|---|---|---|---|---|
| Администрирование | Да | Да | Да | Да | Да | Да |
| Член | Нет | Да | Да | Да | Да | Нет |
| Участник | Нет | Нет | Нет | Да | Да | Нет |
| Зритель | Нет | Нет | Нет | Нет | Нет* | Нет |
Узнайте больше о ролях в рабочих областях Microsoft Fabric.
Примечание.
Просмотрщикам можно предоставить доступ к данным через роли безопасности OneLake.
Вы можете упростить управление ролями рабочей области Fabric, назначив их группам безопасности. Этот метод позволяет управлять доступом, добавляя или удаляя участников из группы безопасности.
Разрешения элемента
С помощью функции общего доступа можно предоставить пользователю прямой доступ к элементу. Пользователь может видеть только этот элемент в рабочей области и не состоит ни в одной из ролей рабочей области. Разрешения элемента предоставляют доступ для подключения к этому элементу и его конечным точкам, к которым пользователь может получить доступ.
| Разрешение | Просмотрите метаданные элемента? | Просмотр данных в SQL? | Видите данные в OneLake? |
|---|---|---|---|
| Читать | Да | Нет | Нет |
| ЧтениеДанных | Нет | Да | Нет |
| Читать всё | Нет | Нет | Да* |
*Неприменимо к элементам с включенными ролями безопасности Или доступа к данным OneLake . Если предварительная версия включена, ReadAll предоставляет доступ только в том случае, если используется роль DefaultReader. Если роль DefaultReader редактируется или удаляется, доступ вместо этого предоставляется на основе ролей доступа к данным, в которые входит пользователь.
Другим способом настройки разрешений является страница управления разрешениями элемента. С помощью этой страницы можно добавить или удалить разрешение отдельного элемента для пользователей или групп. Тип элемента определяет, какие разрешения доступны.
Безопасность OneLake (предварительная версия)
Безопасность OneLake позволяет пользователям определять детализированную безопасность на основе ролей для данных, хранящихся в OneLake, и обеспечить безопасность согласованно во всех вычислительных модулях в Fabric. Безопасность OneLake — это модель безопасности плоскости данных для данных в OneLake.
Пользователи Fabric в ролях администратора или члена могут создавать роли безопасности OneLake, чтобы предоставить пользователям доступ к данным в элементе. Каждая роль имеет четыре компонента:
- Данные: таблицы или папки, к которым у пользователей есть доступ.
- Разрешение: разрешения, которые пользователи имеют в данных.
- Члены: пользователи, которые являются участниками роли.
- Ограничения: компоненты данных, которые исключены из доступа для роли, например, определенные строки или столбцы.
Роли безопасности OneLake предоставляют доступ к данным для пользователей в роли рабочей области просмотра или с разрешением на чтение элемента. Администраторы, участники и сотрудники не затрагиваются ролями безопасности OneLake и могут читать и записывать все данные в элементе независимо от их принадлежности к роли. Роль DefaultReader существует во всех lakehouses, предоставляя любому пользователю с разрешением ReadAll доступ к данным в lakehouse. Роль DefaultReader можно удалить или изменить, чтобы удалить этот доступ.
Дополнительные сведения о создании ролей безопасности OneLake для таблиц и папок, столбцов и строк.
Дополнительные сведения о модели управления доступом для безопасности OneLake..
Разрешения вычислений
Разрешения вычислений — это тип разрешения плоскости данных, которое применяется к определенному обработчику запросов в Microsoft Fabric. Доступ, предоставленный, применяется только к запросам, выполняемым с этим механизмом, например конечной точкой SQL или семантической моделью Power BI. Однако пользователи могут видеть различные результаты при доступе к данным через подсистему вычислений по сравнению с доступом к данным непосредственно в OneLake в зависимости от примененных разрешений вычислений. Безопасность OneLake — это рекомендуемый подход к защите данных в OneLake, чтобы обеспечить согласованные результаты во всех механизмах, с которыми может взаимодействовать пользователь.
Вычислительные подсистемы могут иметь более сложные функции безопасности, которые еще не доступны в безопасности OneLake, и в этом случае для решения некоторых сценариев может потребоваться использование разрешений вычислений. При использовании разрешений вычислений для защиты доступа к данным убедитесь, что конечные пользователи получают доступ только к подсистеме вычислений, в которой задана безопасность. Это предотвращает доступ к данным с помощью другого механизма без необходимых функций безопасности.
Безопасность компьютерных ярлыков
Сочетания клавиш в Microsoft Fabric позволяют упростить управление данными. Безопасность папок OneLake применяется к ярлыкам OneLake, основанных на ролях, определенных в lakehouse, где данные хранятся.
Дополнительные сведения о сочетаниях клавиш см. в модели управления доступом к безопасности OneLake.
Сведения о доступе и проверке подлинности для определенных сочетаний клавиш см. в типах сочетаний клавиш OneLake.
Аутентификация
OneLake использует Microsoft Entra ID для проверки подлинности; его можно использовать для предоставления разрешений идентичностям пользователей и служебным принципалам. OneLake автоматически извлекает удостоверение пользователя из средств, которые используют проверку подлинности Microsoft Entra и сопоставляют его с разрешениями, заданными на портале Fabric.
Примечание.
Чтобы использовать субъекты-службы в клиенте Fabric, администратор клиента должен включить имена субъектов-служб для всего клиента или определенных групп безопасности. Узнайте больше о включении служебных принципалов в параметрах разработчика портала управления арендатором.
Журналы аудита
Чтобы просмотреть журналы аудита OneLake, следуйте инструкциям в разделе "Отслеживание действий пользователей в Microsoft Fabric". Имена операций OneLake соответствуют API ADLS, таким как CreateFile или DeleteFile. Журналы аудита OneLake не включают запросы на чтение или запросы, сделанные в OneLake с помощью рабочих нагрузок Fabric.
Шифрование и сеть
Данные в состоянии покоя
Данные, хранящиеся в OneLake, шифруются по умолчанию с помощью ключей, управляемых Корпорацией Майкрософт. Управляемые корпорацией Майкрософт ключи поворачиваются соответствующим образом. Данные в OneLake шифруются и расшифровываются прозрачно и совместимы с FIPS 140-2.
Шифрование неактивных данных можно использовать с помощью ключей, управляемых клиентом, для добавления другого уровня защиты с помощью ключей, которыми вы владеете и управляете. Дополнительные сведения см. в разделе "Ключи, управляемые клиентом" для рабочих областей Fabric.
Данные в транзитном режиме
Данные, передаваемые через общедоступный Интернет между службами Майкрософт, всегда шифруются по крайней мере TLS 1.2. Фреймворк переоговаривается на протокол TLS 1.3, когда это возможно. Трафик между службы Майкрософт всегда направляется по глобальной сети Майкрософт.
Входящий обмен данными OneLake также применяет протокол TLS 1.2 и согласовывает протокол TLS 1.3, когда это возможно. Исходящая связь Fabric с инфраструктурой, принадлежащей клиенту, предпочитает безопасные протоколы, но может вернуться к более старым, небезопасным протоколам (включая TLS 1.0), если новые протоколы не поддерживаются.
Частные ссылки
Чтобы настроить частные ссылки в Fabric, см. Настройка и использование частных ссылок.
Разрешить приложениям, работающим вне Структуры, получать доступ к данным через OneLake
Вы можете разрешить или ограничить доступ к данным OneLake из приложений, которые находятся вне среды Fabric. Администраторы могут найти этот параметр в разделе OneLake параметров клиента портала администрирования.
При включении этого параметра пользователи могут получать доступ к данным из всех источников. Например, включите этот параметр, если у вас есть пользовательские приложения, использующие API Azure Data Lake Storage (ADLS) или файловый проводник OneLake. При отключении этого параметра пользователи по-прежнему могут получать доступ к данным из внутренних приложений, таких как Spark, Data Engineering и Data Warehouse, но не могут получить доступ к данным из приложений, работающих вне сред Fabric.