Zdieľať cez

Zabezpečené údaje pomocou služby Fabric, výpočtových strojov a služby OneLake

  • Článok

Fabric ponúka viacvrstvový model zabezpečenia, ktorý poskytuje jednoduchosť aj flexibilitu pri správe prístupu k údajom. Zabezpečenie je možné nastaviť pre celý pracovný priestor, pre jednotlivé položky alebo prostredníctvom podrobných povolení v každom nástroji služby Fabric.

Povolenia podrobného nástroja umožňujú diferencované riadenie prístupu, ako sú napríklad tabuľky, stĺpce a zabezpečenie na úrovni riadkov. Tieto podrobné povolenia sa vzťahujú na dotazy spustené v danom nástroji. Rôzne motory podporujú rôzne typy podrobného zabezpečenia, čím umožňujú prispôsobiť každý nástroj špeciálne pre cieľových používateľov.

Diagram znázorňujúci rôzne vrstvy zabezpečenia v službách Fabric, Compute Engines a OneLake.

Zabezpečenie údajov služby Fabric

Fabric ovláda prístup k údajom pomocou pracovných priestorov a položiek. V pracovných priestoroch sa údaje zobrazujú vo forme položiek služby Fabric a používatelia nemôžu zobrazovať ani používať údaje v položkách, pokiaľ im nedáte prístup k pracovnému priestoru.

Povolenia pracovného priestoru udeľujú prístup ku všetkým položkám v pracovnom priestore. Na druhej strane povolenia položky služby Fabric umožňujú poskytovať prístup ku konkrétnym položkám, ako sú napríklad jazerá, sklady alebo zostavy. Správcovia môžu určiť, s ktorou položkou služby Fabric môže používateľ pracovať. Napríklad obmedzenie prístupu k údajom prostredníctvom koncového bodu SQL služby Analytics, pričom sa poskytuje prístup k rovnakým údajom cez Lakehouse alebo priamo cez Rozhranie API OneLake.

Ďalšie informácie o ovládaní prístupu k údajom pomocou pracovných priestorov služby Fabric a povolení položiek v zabezpečení v spoločnosti Microsoft .

Zabezpečenie údajov pre konkrétne zariadenie

Mnoho strojov služby Fabric umožňuje definovať diferencované riadenie prístupu, ako sú napríklad tabuľky, stĺpce a riadky. Niektoré výpočtové zariadenia v službe Fabric majú vlastné modely zabezpečenia. Napríklad služba Fabric Warehouse umožňuje používateľom definovať prístup pomocou príkazov T-SQL. Zabezpečenie špecifické pre výpočet sa vždy vynúti pri prístupe k údajom pomocou tohto nástroja. Zabezpečenie výpočtového nástroja sa nemusí vzťahovať na používateľov s určitými rolami služby Fabric, keď pristupujú k službe OneLake priamo.

Ďalšie informácie o granulárnom zabezpečení údajov špecifické pre nástroj:

Roly prístupu k údajom OneLake (Preview)

Roly prístupu k údajom OneLake (Preview) umožňujú používateľom vytvárať vlastné roly v prostredí lakehouse a udeľovať povolenia na čítanie len do zadaných priečinkov pri prístupe do služby OneLake. Pre každú rolu OneLake môžu používatelia priradiť používateľov, skupiny zabezpečenia alebo udeliť automatické priradenie na základe roly pracovného priestoru.

Diagram znázorňujúci štruktúru dátového jazera pripájajúceho sa k samostatne zabezpečeným kontajnerom.

Získajte ďalšie informácie o modeli riadenia prístupu k údajom služby OneLake a začíname s prístupom k údajom .

Zabezpečenie odkazu

Skratky v službe Microsoft Fabric umožňujú zjednodušenú správu údajov. Zabezpečenie priečinka OneLake sa vzťahuje na skratky OneLake na základe rolí definovaných v prostredí lakehouse, kde sú uložené údaje.

Ďalšie informácie o zabezpečení skratiek nájdete v téme Model riadenia prístupu do služby OneLake. Ďalšie informácie o odkazoch nájdete tu.

Overovanie

OneLake používa na overovanie ID microsoft Entra; Môžete ju použiť na udelenie povolení identitám používateľov a objektom služby. OneLake automaticky extrahuje identitu používateľa z nástrojov, ktoré používajú overovanie Microsoft Entra a priraďuje ju k povoleniam nastaveným na portáli služby Fabric.

Poznámka

Ak chcete používať objekty služby v nájomníkovi služby Fabric, správca nájomníka musí povoliť hlavné názvy služby (SPN) pre celého nájomníka alebo konkrétne skupiny zabezpečenia. Ďalšie informácie o povolení objektov služby v nastaveniach pre vývojára portálu na správu nájomníka

Uložené údaje

Údaje uložené vo OneLake sú predvolene šifrované pomocou kľúča spravovaného spoločnosťou Microsoft. Kľúče spravované spoločnosťou Microsoft sa vhodne otočía. Údaje v službe OneLake sú šifrované a dešifrované transparentne a sú kompatibilné s FIPS 140-2.

Uložené šifrovanie pomocou kľúča spravovaného zákazníkom nie je v súčasnosti podporované. Žiadosť o túto funkciu môžete odoslať na stránke Microsoft Fabric Ideas.

Prenášané údaje

Údaje prenášané cez verejný internet medzi služby Microsoft sú vždy šifrované aspoň protokolom TLS 1.2. Fabric rokuje o protokole TLS 1.3 vždy, keď je to možné. Prenos medzi služby Microsoft vždy smeruje cez globálnu sieť spoločnosti Microsoft.

Prichádzajúce komunikácie OneLake tiež vynucuje protokol TLS 1.2 a rokuje s protokolom TLS 1.3 vždy, keď je to možné. Odchádzajúca komunikácia s infraštruktúrou v vlastníctve zákazníka uprednostňuje zabezpečené protokoly, ale môže sa vrátiť k starším, nezabezpečeným protokolom (vrátane protokolu TLS 1.0), keď nie sú podporované novšie protokoly.

Fabric v súčasnosti nepodporuje prístup súkromného prepojenia k údajom OneLake prostredníctvom produktov iných ako Fabric a Apache Spark.

Povoliť aplikáciám spusteným mimo služby Fabric získať prístup k údajom cez OneLake

OneLake vám umožňuje obmedziť prístup k údajom z aplikácií spúšťaných mimo prostredí služby Fabric. Správcovia môžu toto nastavenie nájsť v časti OneLake na portáli na správu nájomníka. Po zapnutí tohto prepínača majú používatelia prístup k údajom prostredníctvom všetkých zdrojov. Po vypnutí prepínača používatelia nemôžu získať prístup k údajom prostredníctvom aplikácií spustených mimo prostredí služby Fabric. Používatelia môžu napríklad pristupovať k údajom prostredníctvom aplikácií ako Azure Databricks, vlastných aplikácií pomocou rozhraní API služby Azure Data Lake Storage (ADLS) alebo prieskumníka súborov OneLake.

Súvisiaci obsah