หมายเหตุ
การเข้าถึงหน้านี้ต้องได้รับการอนุญาต คุณสามารถลอง ลงชื่อเข้าใช้หรือเปลี่ยนไดเรกทอรีได้
การเข้าถึงหน้านี้ต้องได้รับการอนุญาต คุณสามารถลองเปลี่ยนไดเรกทอรีได้
OneLake คือที่จัดเก็บข้อมูลดิบแบบลําดับชั้น เช่น Azure Data Lake Storage (ADLS) Gen2 หรือระบบไฟล์ Windows การรักษาความปลอดภัยใน OneLake ถูกบังคับใช้ในหลายระดับ ซึ่งแต่ละระดับสอดคล้องกับลักษณะที่แตกต่างกันของการเข้าถึงและการควบคุม การทําความเข้าใจความแตกต่างระหว่างสิทธิ์เพลนควบคุมและแผนข้อมูลคือกุญแจสําคัญในการรักษาความปลอดภัยข้อมูลของคุณอย่างมีประสิทธิภาพ:
- ควบคุมสิทธิ์ของแผน: ควบคุมการกระทําที่ผู้ใช้สามารถดําเนินการภายในสภาพแวดล้อม (เช่น การสร้าง การจัดการ หรือการแชร์รายการ) ควบคุมสิทธิ์ของแผนมักจะให้สิทธิ์ในการวางแผนข้อมูลตามค่าเริ่มต้น
- สิทธิ์ในแผนข้อมูล: ควบคุมว่าผู้ใช้ข้อมูลสามารถเข้าถึงหรือดูข้อมูลใด โดยไม่คํานึงถึงความสามารถในการจัดการทรัพยากร
คุณสามารถตั้งค่าความปลอดภัยในแต่ละระดับภายในที่จัดเก็บข้อมูลดิบได้ อย่างไรก็ตาม บางระดับในลําดับชั้นจะได้รับการรักษาพิเศษเนื่องจากสัมพันธ์กับแนวคิด Fabric การรักษาความปลอดภัย OneLake ควบคุมการเข้าถึงข้อมูล OneLake ทั้งหมดด้วยสิทธิ์ที่แตกต่างกันที่สืบทอดมาจากรายการหลักหรือสิทธิ์ในพื้นที่ทํางาน คุณสามารถตั้งค่าสิทธิ์ในระดับต่อไปนี้:
พื้นที่ทํางาน: สภาพแวดล้อมการทํางานร่วมกันสําหรับการสร้างและจัดการรายการ การรักษาความปลอดภัยได้รับการจัดการผ่านบทบาทพื้นที่ทํางานในระดับนี้
รายการ: ชุดความสามารถที่รวมเข้าด้วยกันเป็นส่วนประกอบเดียว รายการข้อมูลเป็นชนิดย่อยของรายการที่อนุญาตให้เก็บข้อมูลภายในโดยใช้ OneLake รายการสืบทอดสิทธิ์จากบทบาทพื้นที่ทํางาน แต่สามารถมีสิทธิ์เพิ่มเติมได้เช่นกัน
โฟลเดอร์: โฟลเดอร์ภายในรายการที่ใช้สําหรับการจัดเก็บและจัดการข้อมูล เช่น ตาราง/ หรือ ไฟล์/
รายการจะถ่ายทอดสดภายในพื้นที่ทํางานและพื้นที่ทํางานจะถ่ายทอดสดโดยตรงภายใต้ Namespace ของ OneLake เสมอ คุณสามารถแสดงโครงสร้างนี้ได้ดังนี้:
ความปลอดภัยใน OneLake
ในส่วนนี้จะอธิบายรูปแบบการรักษาความปลอดภัยที่ยึดตามคุณลักษณะ OneLake ที่พร้อมใช้งานโดยทั่วไป
สิทธิ์ของพื้นที่ทํางาน
สิทธิ์ของพื้นที่ทํางานกําหนดการดําเนินการที่ผู้ใช้สามารถทําภายในพื้นที่ทํางานและรายการ สิทธิ์เหล่านี้จะได้รับการจัดการในระดับพื้นที่ทํางานและควบคุมการอนุญาตของแผนเป็นหลัก พวกเขากําหนดความสามารถในการจัดการดูแลระบบและการจัดการรายการ ไม่ใช่การเข้าถึงข้อมูลโดยตรง อย่างไรก็ตาม โดยทั่วไปแล้วสิทธิ์ในพื้นที่ทํางานจะสืบทอดไปยังระดับรายการและโฟลเดอร์เพื่อให้สิทธิ์การเข้าถึงข้อมูลตามค่าเริ่มต้น สิทธิ์ของพื้นที่ทํางานอนุญาตให้กําหนดการเข้าถึงรายการทั้งหมดภายในพื้นที่ทํางานนั้น มีบทบาทพื้นที่ทํางานที่แตกต่างกันสี่บทบาท ซึ่งแต่ละบทบาทอนุญาตให้เข้าถึงชนิดที่แตกต่างกัน ด้านล่างคือลักษณะการทํางานเริ่มต้นของแต่ละบทบาทพื้นที่ทํางาน
| Role | สามารถเพิ่มผู้ดูแลระบบได้หรือไม่ | สามารถเพิ่มสมาชิกได้หรือไม่ | สามารถแก้ไขการรักษาความปลอดภัย OneLake ได้หรือไม่ | สามารถเขียนข้อมูลและสร้างรายการได้หรือไม่ | สามารถอ่านข้อมูลใน OneLake ได้หรือไม่ | อัปเดตและลบพื้นที่ทํางาน |
|---|---|---|---|---|---|---|
| Admin | Yes | Yes | Yes | Yes | Yes | Yes |
| Member | No | Yes | Yes | Yes | Yes | No |
| Contributor | No | No | No | Yes | Yes | No |
| Viewer | No | No | No | No | No* | No |
เรียนรู้เพิ่มเติมเกี่ยวกับบทบาทในพื้นที่ทํางานใน Microsoft Fabric
Note
*ผู้ชมสามารถให้สิทธิ์การเข้าถึงข้อมูลผ่านบทบาทความปลอดภัย OneLake ได้
คุณสามารถทําให้การจัดการบทบาทพื้นที่ทํางาน Fabric ง่ายขึ้นโดยมอบหมายให้กับกลุ่มความปลอดภัย วิธีนี้ช่วยให้คุณสามารถควบคุมการเข้าถึงได้โดยการเพิ่มหรือลบสมาชิกออกจากกลุ่มความปลอดภัย
การอนุญาตรายการ
ด้วยคุณสมบัติ การแชร์ คุณสามารถให้ผู้ใช้เข้าถึงรายการได้โดยตรง ผู้ใช้จะสามารถดูได้เฉพาะรายการนั้นในพื้นที่ทํางานเท่านั้น และไม่ใช่สมาชิกของบทบาทพื้นที่ทํางานใด ๆ สิทธิ์ของรายการให้สิทธิ์ในการเชื่อมต่อกับรายการนั้นและปลายทางที่ผู้ใช้สามารถเข้าถึงได้
| Permission | ดูเมตาดาต้าของรายการหรือไม่ | ดูข้อมูลใน SQL หรือไม่ | ดูข้อมูลใน OneLake หรือไม่ |
|---|---|---|---|
| Read | Yes | No | No |
| ReadData | No | Yes | No |
| ReadAll | No | No | Yes* |
*ไม่สามารถใช้ได้กับรายการที่เปิดใช้งานบทบาทความปลอดภัยหรือการเข้าถึงข้อมูลของ OneLake ถ้าเปิดใช้งานการแสดงตัวอย่าง ReadAll จะอนุญาตให้เข้าถึงก็ต่อเมื่อมีการใช้งานบทบาท DefaultReader เท่านั้น ถ้าบทบาท DefaultReader ถูกแก้ไขหรือลบ การเข้าถึงจะได้รับอนุญาตแทนตามบทบาทการเข้าถึงข้อมูลใดที่ผู้ใช้เป็นส่วนหนึ่ง
อีกวิธีหนึ่งในการกําหนดค่าสิทธิ์คือผ่านหน้า จัดการสิทธิ์ของ รายการ การใช้หน้านี้ คุณสามารถเพิ่มหรือลบสิทธิ์แต่ละรายการสําหรับผู้ใช้หรือกลุ่มได้ ชนิดหน่วยข้อมูลเป็นตัวกําหนดว่าสิทธิ์ใดที่สามารถใช้ได้
การรักษาความปลอดภัย OneLake (ตัวอย่าง)
การรักษาความปลอดภัย OneLake ช่วยให้ผู้ใช้สามารถกําหนดความปลอดภัยตามบทบาทที่ละเอียดอ่อนไปยังข้อมูลที่จัดเก็บใน OneLake และบังคับใช้การรักษาความปลอดภัยดังกล่าวอย่างสม่ําเสมอทั่วทั้งกลไกการคํานวณทั้งหมดใน Fabric การรักษาความปลอดภัยของ OneLake เป็นโมเดลความปลอดภัยของ ระนาบข้อมูล สําหรับข้อมูลใน OneLake
ผู้ใช้ Fabric ในบทบาทผู้ดูแลระบบหรือสมาชิกสามารถสร้างบทบาทความปลอดภัย OneLake เพื่อให้ผู้ใช้สามารถเข้าถึงข้อมูลภายในรายการได้ แต่ละบทบาทมีสี่คอมโพเนนต์:
- ข้อมูล: ตารางหรือโฟลเดอร์ที่ผู้ใช้สามารถเข้าถึงได้
- สิทธิ์: สิทธิ์ที่ผู้ใช้มีต่อข้อมูล
- สมาชิก: ผู้ใช้ที่เป็นสมาชิกของบทบาท
- ข้อจํากัด: ส่วนประกอบของข้อมูล (ถ้ามี) ที่ไม่รวมอยู่ในการเข้าถึงบทบาท เช่น แถวหรือคอลัมน์ที่ระบุ
บทบาทความปลอดภัย OneLake ให้สิทธิ์การเข้าถึงข้อมูลสําหรับผู้ใช้ในบทบาทพื้นที่ทํางานของผู้ชมหรือมีสิทธิ์อ่านในรายการ ผู้ดูแลระบบ สมาชิก และผู้สนับสนุนจะไม่ได้รับผลกระทบจากบทบาทความปลอดภัย OneLake และสามารถอ่านและเขียนข้อมูลทั้งหมดในรายการโดยไม่คํานึงถึงการเป็นสมาชิกบทบาทของพวกเขา บทบาท DefaultReader มีอยู่ใน lakehouses ทั้งหมดที่อนุญาตให้ผู้ใช้ทุกคนมีสิทธิ์ ReadAll ในการเข้าถึงข้อมูลใน lakehouse บทบาท DefaultReader สามารถลบหรือแก้ไขเพื่อลบการเข้าถึงนั้น
เรียนรู้เพิ่มเติมเกี่ยวกับการสร้างบทบาทความปลอดภัย OneLake สําหรับ ตารางและโฟลเดอร์คอลัมน์ และแถว
เรียนรู้เพิ่มเติมเกี่ยวกับโมเดลการควบคุมการเข้าถึงสําหรับการรักษาความปลอดภัยของ OneLake
สิทธิ์การประมวลผล
สิทธิ์ในการคํานวณคือชนิดของสิทธิ์ของแผนข้อมูลที่นําไปใช้กับกลไกจัดการคิวรีเฉพาะใน Microsoft Fabric การเข้าถึงที่ได้รับจะใช้เฉพาะกับคิวรีที่เรียกใช้กับกลไกเฉพาะนั้น เช่น จุดสิ้นสุด SQL หรือแบบจําลองความหมายของ Power BI อย่างไรก็ตาม ผู้ใช้อาจเห็นผลลัพธ์ที่แตกต่างกันเมื่อพวกเขาเข้าถึงข้อมูลผ่านกลไกการคํานวณเมื่อเทียบกับเมื่อพวกเขาเข้าถึงข้อมูลโดยตรงใน OneLake โดยขึ้นอยู่กับสิทธิ์ในการคํานวณที่ใช้ การรักษาความปลอดภัยของ OneLake เป็นแนวทางที่แนะนําในการรักษาความปลอดภัยข้อมูลใน OneLake เพื่อให้แน่ใจว่าผลลัพธ์ที่สอดคล้องกันในทุกเอ็นจิ้นที่ผู้ใช้อาจโต้ตอบด้วย
กลไกการคํานวณอาจมีคุณลักษณะด้านความปลอดภัยขั้นสูงที่ยังไม่พร้อมใช้งานในการรักษาความปลอดภัย OneLake และในกรณีนั้นอาจจําเป็นต้องใช้สิทธิ์ในการประมวลผลเพื่อแก้ไขบางสถานการณ์ เมื่อใช้สิทธิ์การประมวลผลเพื่อรักษาความปลอดภัยในการเข้าถึงข้อมูล ตรวจสอบให้แน่ใจว่าผู้ใช้ปลายทางได้รับสิทธิ์เข้าถึงกลไกการคํานวณที่มีการตั้งค่าความปลอดภัยเท่านั้น สิ่งนี้จะป้องกันไม่ให้เข้าถึงข้อมูลผ่านเอ็นจิ้นอื่นโดยไม่มีคุณสมบัติด้านความปลอดภัยที่จําเป็น
การรักษาความปลอดภัยทางลัด
ทางลัดใน Microsoft Fabric ช่วยให้สามารถจัดการข้อมูลได้อย่างง่ายดาย ความปลอดภัยของโฟลเดอร์ OneLake ใช้กับทางลัด OneLake ตามบทบาทที่กําหนดไว้ใน lakehouse ที่มีการจัดเก็บข้อมูล
สําหรับข้อมูลเพิ่มเติมเกี่ยวกับข้อควรพิจารณาด้านความปลอดภัยทางลัด โปรดดู แบบจําลองการควบคุมการเข้าถึงความปลอดภัย OneLake
สําหรับข้อมูลเกี่ยวกับรายละเอียดการเข้าถึงและการรับรองความถูกต้องสําหรับทางลัดเฉพาะ โปรดดูประเภทของทางลัด OneLake
Authentication
OneLake ใช้ Microsoft Entra ID สําหรับการรับรองความถูกต้อง คุณสามารถใช้เพื่อให้สิทธิ์ในข้อมูลประจําตัวผู้ใช้และบริการหลัก OneLake จะแยกข้อมูลประจําตัวผู้ใช้จากเครื่องมือซึ่งใช้การรับรองความถูกต้อง Microsoft Entra โดยอัตโนมัติและแมปไปยังสิทธิ์ที่คุณตั้งค่าไว้ในพอร์ทัล Fabric
Note
เมื่อต้องการใช้บริการหลักในผู้เช่า Fabric ผู้ดูแลระบบผู้เช่าต้องเปิดใช้งานชื่อบริการหลัก (SPNs) สําหรับผู้เช่าทั้งหมดหรือกลุ่มความปลอดภัยเฉพาะ เรียนรู้เพิ่มเติมเกี่ยวกับการเปิดใช้งานบริการหลักในการตั้งค่านักพัฒนา ของพอร์ทัลผู้ดูแลผู้เช่า
บันทึกการตรวจสอบ
เมื่อต้องการดูบันทึกการตรวจสอบ OneLake ของคุณ ให้ทําตามคําแนะนําใน ติดตามกิจกรรมของผู้ใช้ใน Microsoft Fabric ชื่อการดําเนินการ OneLake สอดคล้องกับ ADLS API เช่น CreateFile หรือ DeleteFile บันทึกการตรวจสอบ OneLake ไม่รวมคําขอหรือคําขอการอ่านที่ทํากับ OneLake ผ่านปริมาณงาน Fabric
การเข้ารหัสและเครือข่าย
ข้อมูลที่พัก
ข้อมูลที่จัดเก็บใน OneLake จะถูกเข้ารหัสลับไว้ชั่วคราวโดยใช้คีย์ที่จัดการโดย Microsoft ตามค่าเริ่มต้น คีย์ที่จัดการโดย Microsoft จะถูกหมุนอย่างเหมาะสม ข้อมูลใน OneLake ถูกเข้ารหัสและถอดรหัสอย่างโปร่งใสและตรงตามมาตรฐาน FIPS 140-2
คุณใช้การเข้ารหัสที่ไม่ได้ใช้งานโดยใช้คีย์ที่จัดการโดยลูกค้าเพื่อเพิ่มการป้องกันอีกชั้นหนึ่งได้โดยใช้คีย์ที่คุณเป็นเจ้าของและควบคุม หากต้องการทราบข้อมูลเพิ่มเติม โปรดดู คีย์ที่จัดการโดยลูกค้าสําหรับพื้นที่ทํางาน Fabric
ข้อมูลระหว่างทาง
ข้อมูลในการส่งผ่านอินเทอร์เน็ตสาธารณะระหว่างบริการของ Microsoft มักจะเข้ารหัสลับด้วย TLS 1.2 เป็นอย่างน้อยเสมอ Fabric เจรจากับ TLS 1.3 เมื่อใดก็ตามที่เป็นไปได้ ปริมาณการใช้งานระหว่างบริการของ Microsoft จะส่งผ่านเครือข่ายส่วนกลางของ Microsoft เสมอ
การสื่อสาร Inbound OneLake ยังบังคับใช้ TLS 1.2 และเจรจากับ TLS 1.3 เมื่อใดก็ตามที่เป็นไปได้ การสื่อสาร Outbound Fabric ไปยังโครงสร้างพื้นฐานที่ลูกค้าเป็นเจ้าของต้องการโพรโทคอลที่ปลอดภัย แต่อาจกลับไปใช้โพรโทคอลที่ไม่ปลอดภัย (รวมถึง TLS 1.0) ที่เก่ากว่าหากไม่รองรับโปรโตคอลที่ใหม่กว่า
ลิงก์ส่วนตัว
หากต้องการกําหนดค่าลิงก์ส่วนตัวใน Fabric โปรดดู ตั้งค่าและใช้ลิงก์ส่วนตัว
อนุญาตให้แอปทํางานภายนอก Fabric เพื่อเข้าถึงข้อมูลผ่านทาง OneLake
คุณสามารถอนุญาตหรือจํากัดการเข้าถึงข้อมูล OneLake จากแอปพลิเคชันที่อยู่นอกสภาพแวดล้อม Fabric ได้ ผู้ดูแลระบบสามารถค้นหาการตั้งค่านี้ได้ในส่วน OneLake ของการตั้งค่าผู้เช่าพอร์ทัลผู้ดูแลระบบ
เมื่อคุณเปิดการตั้งค่านี้ ผู้ใช้สามารถเข้าถึงข้อมูลจากแหล่งข้อมูลทั้งหมดได้ ตัวอย่างเช่น เปิดการตั้งค่านี้ถ้าคุณมีแอปพลิเคชันแบบกําหนดเองที่ใช้ Azure Data Lake Storage (ADLS) API หรือ OneLake file explorer เมื่อคุณปิดการตั้งค่านี้ ผู้ใช้ยังคงสามารถเข้าถึงข้อมูลจากแอปภายใน เช่น Spark, Data Engineering และ Data Warehouse แต่ไม่สามารถเข้าถึงข้อมูลจากแอปพลิเคชันที่ทํางานอยู่ภายนอกสภาพแวดล้อม Fabric ได้