แชร์ผ่าน


รักษาความปลอดภัยของข้อมูลด้วย Fabric, Compute Engines และ OneLake

Fabric มีแบบจําลองการรักษาความปลอดภัยแบบหลายชั้นที่ให้ทั้งความเรียบง่ายและความยืดหยุ่นในการจัดการการเข้าถึงข้อมูล คุณสามารถตั้งค่าความปลอดภัยสําหรับพื้นที่ทํางานทั้งหมด สําหรับแต่ละรายการ หรือผ่านสิทธิ์ระดับแยกย่อยในแต่ละกลไกจัดการ Fabric

สิทธิ์ของกลไกจัดการละเอียดอนุญาตให้มีการกําหนดการควบคุมการเข้าถึงอย่างละเอียด เช่น ตาราง คอลัมน์ และการรักษาความปลอดภัยระดับแถว สิทธิ์ระดับแยกย่อยเหล่านี้จะนําไปใช้กับการเรียกใช้คิวรีกับกลไกจัดการนั้น เครื่องยนต์ที่แตกต่างกันสนับสนุนการรักษาความปลอดภัยในระดับแยกย่อยประเภทต่าง ๆ ช่วยให้แต่ละกลไกจัดการสามารถปรับแต่งโดยเฉพาะสําหรับผู้ใช้เป้าหมาย

แผนภาพที่แสดงเลเยอร์ของการรักษาความปลอดภัยที่แตกต่างกันใน Fabric, Compute Engines และ OneLake

ความปลอดภัยของข้อมูลผ้า

ผ้าควบคุมการเข้าถึงข้อมูลโดยใช้พื้นที่ทํางานและรายการ ในพื้นที่ทํางาน ข้อมูลปรากฏในรูปแบบของรายการ Fabric และผู้ใช้ไม่สามารถดูหรือใช้ข้อมูลในรายการได้ เว้นแต่ว่าคุณให้สิทธิ์การเข้าถึงพื้นที่ทํางานแก่พวกเขา

สิทธิ์ในพื้นที่ทํางานให้สิทธิ์การเข้าถึงรายการทั้งหมดภายในพื้นที่ทํางาน ในทางตรงกันข้าม สิทธิ์รายการ Fabric อนุญาตให้เข้าถึงรายการที่ระบุ เช่น เลคเฮ้าส์ คลังสินค้า หรือรายงาน ผู้ดูแลระบบสามารถกําหนดว่า Fabric Item ใดที่ผู้ใช้สามารถโต้ตอบได้ ตัวอย่างเช่น การจํากัดการเข้าถึงข้อมูลผ่านจุดสิ้นสุด SQL Analytics ในขณะที่ให้สิทธิ์การเข้าถึงข้อมูลเดียวกันผ่านทาง Lakehouse หรือผ่านทาง OneLake API โดยตรง

เรียนรู้เพิ่มเติมเกี่ยวกับการควบคุมการเข้าถึงข้อมูลโดยใช้สิทธิ์พื้นที่ทํางาน Fabric และรายการใน Security ใน Microsoft

การรักษาความปลอดภัยข้อมูลเฉพาะโปรแกรม

กลไกจัดการ Fabric จํานวนมากอนุญาตให้มีการกําหนดการควบคุมการเข้าถึงในรายละเอียด เช่น ตาราง คอลัมน์ และการรักษาความปลอดภัยระดับแถว กลไกการคํานวณบางอย่างใน Fabric มีแบบจําลองการรักษาความปลอดภัยของตนเอง ตัวอย่างเช่น Fabric Warehouse ช่วยให้ผู้ใช้กําหนดการเข้าถึงโดยใช้คําสั่ง T-SQL ระบบจะบังคับใช้การคํานวณการรักษาความปลอดภัยเฉพาะเสมอเมื่อคุณเข้าถึงข้อมูลโดยใช้กลไกดังกล่าว ความปลอดภัยของกลไกการคํานวณอาจไม่นําไปใช้กับผู้ใช้ในบทบาท Fabric บางอย่างเมื่อเข้าถึง OneLake โดยตรง

เรียนรู้เพิ่มเติมเกี่ยวกับการรักษาความปลอดภัยข้อมูลระดับแยกย่อยเฉพาะโปรแกรม:

บทบาทการเข้าถึงข้อมูล OneLake (ตัวอย่าง)

บทบาทการเข้าถึงข้อมูล OneLake (ดูตัวอย่าง) อนุญาตให้ผู้ใช้สร้างบทบาทแบบกําหนดเองภายใน lakehouse และให้สิทธิ์การอ่านไปยังโฟลเดอร์ที่ระบุเท่านั้นเมื่อเข้าถึง OneLake สําหรับแต่ละบทบาท OneLake ผู้ใช้สามารถกําหนดผู้ใช้ กลุ่มความปลอดภัย หรือมอบการมอบหมายโดยอัตโนมัติตามบทบาทพื้นที่ทํางานได้

แผนภาพที่แสดงโครงสร้างของที่จัดเก็บข้อมูลริบบอที่เชื่อมต่อไปยังคอนเทนเนอร์ที่มีความปลอดภัยแยกต่างหาก

เรียนรู้เพิ่มเติมเกี่ยวกับ OneLake Data Access Control Model และ เริ่มต้นใช้งานด้วยการเข้าถึงข้อมูล

การรักษาความปลอดภัยทางลัด

ทางลัดใน Microsoft Fabric ช่วยให้สามารถจัดการข้อมูลได้อย่างง่ายดาย ความปลอดภัยของโฟลเดอร์ OneLake ใช้สําหรับทางลัด OneLake ตามบทบาทที่กําหนดไว้ใน lakehouse ที่มีการจัดเก็บข้อมูล

สําหรับข้อมูลเพิ่มเติมเกี่ยวกับข้อควรพิจารณาด้านความปลอดภัยของทางลัด โปรดดู แบบจําลองการควบคุมการเข้าถึง OneLake คุณสามารถดูข้อมูลเพิ่มเติมเกี่ยวกับทางลัดได้ที่นี่

การรับรองความถูกต้อง

OneLake ใช้ Microsoft Entra ID สําหรับการรับรองความถูกต้อง คุณสามารถใช้เพื่อให้สิทธิ์ในข้อมูลประจําตัวผู้ใช้และบริการหลัก OneLake จะแยกข้อมูลประจําตัวผู้ใช้จากเครื่องมือซึ่งใช้การรับรองความถูกต้อง Microsoft Entra และแมปไปยังสิทธิ์ที่คุณตั้งค่าไว้ในพอร์ทัล Fabric

หมายเหตุ

เมื่อต้องการใช้บริการหลักในผู้เช่า Fabric ผู้ดูแลระบบผู้เช่าต้องเปิดใช้งานชื่อบริการหลัก (SPNs) สําหรับผู้เช่าทั้งหมดหรือกลุ่มความปลอดภัยเฉพาะ เรียนรู้เพิ่มเติมเกี่ยวกับการเปิดใช้งานบริการหลักใน การตั้งค่านักพัฒนาของพอร์ทัลผู้ดูแลระบบผู้เช่า

ข้อมูลที่พัก

ข้อมูลที่จัดเก็บใน OneLake จะถูกเข้ารหัสลับที่เหลือตามค่าเริ่มต้นโดยใช้คีย์ที่จัดการโดย Microsoft คีย์ที่จัดการโดย Microsoft จะถูกหมุนอย่างเหมาะสม ข้อมูลใน OneLake ถูกเข้ารหัสและถอดรหัสอย่างโปร่งใสและเป็นไปตามมาตรฐาน FIPS 140-2

การเข้ารหัสลับที่เหลือโดยใช้คีย์ที่ลูกค้าจัดการในขณะนี้ไม่ได้รับการสนับสนุน คุณสามารถส่งคําขอสําหรับคุณลักษณะนี้บน Microsoft Fabric Ideas ได้

ข้อมูลระหว่างทาง

ข้อมูลในการส่งผ่านอินเทอร์เน็ตสาธารณะระหว่างบริการของ Microsoft มักจะเข้ารหัสลับด้วย TLS 1.2 เป็นอย่างน้อยเสมอ Fabric เจรจากับ TLS 1.3 เมื่อใดก็ตามที่เป็นไปได้ ปริมาณการใช้งานระหว่างบริการของ Microsoft จะส่งผ่านเครือข่ายส่วนกลางของ Microsoft เสมอ

การสื่อสาร Inbound OneLake ยังบังคับใช้ TLS 1.2 และเจรจากับ TLS 1.3 เมื่อใดก็ตามที่เป็นไปได้ การสื่อสาร Outbound Fabric ไปยังโครงสร้างพื้นฐานที่ลูกค้าเป็นเจ้าของต้องการโพรโทคอลที่ปลอดภัย แต่อาจกลับไปใช้โพรโทคอลที่ไม่ปลอดภัย (รวมถึง TLS 1.0) ที่เก่ากว่าหากไม่รองรับโปรโตคอลที่ใหม่กว่า

ในขณะนี้ Fabric ไม่สนับสนุนการเข้าถึงลิงก์ส่วนตัวไปยังข้อมูล OneLake ผ่านผลิตภัณฑ์ที่ไม่ใช่ผ้าและ Apache Spark

อนุญาตให้แอปทํางานภายนอก Fabric เพื่อเข้าถึงข้อมูลผ่านทาง OneLake

OneLake ช่วยให้คุณสามารถจํากัดการเข้าถึงข้อมูลจากแอปพลิเคชันที่ทํางานอยู่ภายนอกสภาพแวดล้อม Fabric ผู้ดูแลระบบสามารถค้นหาการตั้งค่าในส่วน OneLake ของพอร์ทัลผู้ดูแลระบบผู้เช่าได้ เมื่อคุณเปิดสวิตช์นี้ ผู้ใช้สามารถเข้าถึงข้อมูลผ่านทางแหล่งข้อมูลทั้งหมด เมื่อคุณปิดสวิตช์ ผู้ใช้จะไม่สามารถเข้าถึงข้อมูลผ่านแอปพลิเคชันที่ทํางานอยู่ภายนอกสภาพแวดล้อม Fabric ได้ ตัวอย่างเช่น ผู้ใช้สามารถเข้าถึงข้อมูลผ่านทางแอปพลิเคชัน เช่น Azure Databricks แอปพลิเคชันแบบกําหนดเองโดยใช้ Azure Data Lake Storage (ADLS) API หรือ OneLake file explorer