รักษาความปลอดภัยของข้อมูลด้วย Fabric, Compute Engines และ OneLake
Fabric มี รูปแบบ การรักษาความปลอดภัยหลายชั้นสําหรับการจัดการการเข้าถึงข้อมูล คุณสามารถตั้งค่าความปลอดภัยสําหรับพื้นที่ทํางานทั้งหมด สําหรับแต่ละรายการ หรือผ่านสิทธิ์ระดับแยกย่อยในแต่ละกลไกจัดการ Fabric OneLake มีข้อควรพิจารณาด้านความปลอดภัยของตนเองที่ระบุไว้ในเอกสารนี้
บทบาทการเข้าถึงข้อมูล OneLake (ตัวอย่าง)
บทบาทการเข้าถึงข้อมูล OneLake (ดูตัวอย่าง) อนุญาตให้ผู้ใช้สร้างบทบาทแบบกําหนดเองภายใน lakehouse และให้สิทธิ์การอ่านไปยังโฟลเดอร์ที่ระบุเท่านั้นเมื่อเข้าถึง OneLake สําหรับแต่ละบทบาท OneLake ผู้ใช้สามารถกําหนดผู้ใช้ กลุ่มความปลอดภัย หรือมอบการมอบหมายโดยอัตโนมัติตามบทบาทพื้นที่ทํางานได้
เรียนรู้เพิ่มเติมเกี่ยวกับ OneLake Data Access Control Model และ เริ่มต้นใช้งานด้วยการเข้าถึงข้อมูล
การรักษาความปลอดภัยทางลัด
ทางลัดใน Microsoft Fabric ช่วยให้สามารถจัดการข้อมูลได้อย่างง่ายดาย ความปลอดภัยของโฟลเดอร์ OneLake ใช้สําหรับทางลัด OneLake ตามบทบาทที่กําหนดไว้ใน lakehouse ที่มีการจัดเก็บข้อมูล
สําหรับข้อมูลเพิ่มเติมเกี่ยวกับข้อควรพิจารณาด้านความปลอดภัยของทางลัด โปรดดู แบบจําลองการควบคุมการเข้าถึง OneLake คุณสามารถดูข้อมูลเพิ่มเติมเกี่ยวกับทางลัดได้ที่นี่
การรับรองความถูกต้อง
OneLake ใช้ Microsoft Entra ID สําหรับการรับรองความถูกต้อง คุณสามารถใช้เพื่อให้สิทธิ์ในข้อมูลประจําตัวผู้ใช้และบริการหลัก OneLake จะแยกข้อมูลประจําตัวผู้ใช้จากเครื่องมือซึ่งใช้การรับรองความถูกต้อง Microsoft Entra และแมปไปยังสิทธิ์ที่คุณตั้งค่าไว้ในพอร์ทัล Fabric
หมายเหตุ
เมื่อต้องการใช้บริการหลักในผู้เช่า Fabric ผู้ดูแลระบบผู้เช่าต้องเปิดใช้งานชื่อบริการหลัก (SPNs) สําหรับผู้เช่าทั้งหมดหรือกลุ่มความปลอดภัยเฉพาะ เรียนรู้เพิ่มเติมเกี่ยวกับการเปิดใช้งานบริการหลักใน การตั้งค่านักพัฒนาของพอร์ทัลผู้ดูแลระบบผู้เช่า
ข้อมูลที่พัก
ข้อมูลที่จัดเก็บใน OneLake จะถูกเข้ารหัสลับที่เหลือตามค่าเริ่มต้นโดยใช้คีย์ที่จัดการโดย Microsoft คีย์ที่จัดการโดย Microsoft จะถูกหมุนอย่างเหมาะสม ข้อมูลใน OneLake ถูกเข้ารหัสและถอดรหัสอย่างโปร่งใสและเป็นไปตามมาตรฐาน FIPS 140-2
การเข้ารหัสลับที่เหลือโดยใช้คีย์ที่ลูกค้าจัดการในขณะนี้ไม่ได้รับการสนับสนุน คุณสามารถส่งคําขอสําหรับคุณลักษณะนี้บน Microsoft Fabric Ideas ได้
ข้อมูลระหว่างทาง
ข้อมูลในการส่งผ่านอินเทอร์เน็ตสาธารณะระหว่างบริการของ Microsoft มักจะเข้ารหัสลับด้วย TLS 1.2 เป็นอย่างน้อยเสมอ Fabric เจรจากับ TLS 1.3 เมื่อใดก็ตามที่เป็นไปได้ ปริมาณการใช้งานระหว่างบริการของ Microsoft จะส่งผ่านเครือข่ายส่วนกลางของ Microsoft เสมอ
การสื่อสาร Inbound OneLake ยังบังคับใช้ TLS 1.2 และเจรจากับ TLS 1.3 เมื่อใดก็ตามที่เป็นไปได้ การสื่อสาร Outbound Fabric ไปยังโครงสร้างพื้นฐานที่ลูกค้าเป็นเจ้าของต้องการโพรโทคอลที่ปลอดภัย แต่อาจกลับไปใช้โพรโทคอลที่ไม่ปลอดภัย (รวมถึง TLS 1.0) ที่เก่ากว่าหากไม่รองรับโปรโตคอลที่ใหม่กว่า
ลิงก์ส่วนตัว
ในขณะนี้ Fabric ไม่สนับสนุนการเข้าถึงลิงก์ส่วนตัวไปยังข้อมูล OneLake ผ่านผลิตภัณฑ์ที่ไม่ใช่ผ้าและ Apache Spark
อนุญาตให้แอปทํางานภายนอก Fabric เพื่อเข้าถึงข้อมูลผ่านทาง OneLake
OneLake ช่วยให้คุณสามารถจํากัดการเข้าถึงข้อมูลจากแอปพลิเคชันที่ทํางานอยู่ภายนอกสภาพแวดล้อม Fabric ผู้ดูแลระบบสามารถค้นหาการตั้งค่าในส่วน OneLake ของพอร์ทัลผู้ดูแลระบบผู้เช่าได้ เมื่อคุณเปิดสวิตช์นี้ ผู้ใช้สามารถเข้าถึงข้อมูลผ่านทางแหล่งข้อมูลทั้งหมด เมื่อคุณปิดสวิตช์ ผู้ใช้จะไม่สามารถเข้าถึงข้อมูลผ่านแอปพลิเคชันที่ทํางานอยู่ภายนอกสภาพแวดล้อม Fabric ได้ ตัวอย่างเช่น ผู้ใช้สามารถเข้าถึงข้อมูลผ่านทางแอปพลิเคชันโดยใช้ Azure Data Lake Storage (ADLS) API หรือ OneLake file explorer