หมายเหตุ
การเข้าถึงหน้านี้ต้องได้รับการอนุญาต คุณสามารถลอง ลงชื่อเข้าใช้หรือเปลี่ยนไดเรกทอรีได้
การเข้าถึงหน้านี้ต้องได้รับการอนุญาต คุณสามารถลองเปลี่ยนไดเรกทอรีได้
OneLake คือที่จัดเก็บข้อมูลดิบแบบลําดับชั้น เช่น Azure Data Lake Storage (ADLS) Gen2 หรือระบบไฟล์ Windows การรักษาความปลอดภัยใน OneLake ถูกบังคับใช้ทั้งบนระนาบควบคุมและระนาบข้อมูล:
- สิทธิ์ของระนาบควบคุม: ควบคุมการดําเนินการที่ผู้ใช้สามารถทําได้ภายในสภาพแวดล้อม เช่น การสร้าง การจัดการ หรือการแบ่งปันรายการ ควบคุมสิทธิ์ของแผนมักจะให้สิทธิ์ในการวางแผนข้อมูลตามค่าเริ่มต้น
- สิทธิ์ในแผนข้อมูล: ควบคุมว่าผู้ใช้ข้อมูลสามารถเข้าถึงหรือดูข้อมูลใด โดยไม่คํานึงถึงความสามารถในการจัดการทรัพยากร
คุณสามารถตั้งค่าความปลอดภัยในแต่ละระดับภายในที่จัดเก็บข้อมูลดิบได้ อย่างไรก็ตาม บางระดับในลําดับชั้นได้รับการปฏิบัติเป็นพิเศษเนื่องจากสัมพันธ์กับแนวคิดของ Fabric ความปลอดภัยของ OneLake ควบคุมการเข้าถึงข้อมูล OneLake ทั้งหมดด้วยสิทธิ์ที่สืบทอดมาจากรายการหลักหรือพื้นที่ทํางาน คุณสามารถตั้งค่าสิทธิ์ในระดับต่อไปนี้:
พื้นที่ทํางาน: สภาพแวดล้อมการทํางานร่วมกันสําหรับการสร้างและจัดการรายการ คุณจัดการความปลอดภัยผ่านบทบาทพื้นที่ทํางานในระดับนี้
รายการ: ชุดความสามารถที่รวมเข้าด้วยกันเป็นส่วนประกอบเดียว รายการข้อมูลเป็นชนิดย่อยของรายการที่อนุญาตให้จัดเก็บข้อมูลภายในโดยใช้ OneLake เช่น เลคเฮาส์ คลังสินค้า หรือฐานข้อมูล SQL รายการสืบทอดสิทธิ์จากบทบาทพื้นที่ทํางาน แต่สามารถมีสิทธิ์เพิ่มเติมได้เช่นกัน
โฟลเดอร์: คุณใช้โฟลเดอร์ภายในรายการเพื่อจัดเก็บและจัดการข้อมูล เช่น ตาราง/ หรือ ไฟล์/
รายการจะอยู่ภายในพื้นที่ทํางานเสมอ และพื้นที่ทํางานจะอยู่ใต้เนมสเปซ OneLake โดยตรงเสมอ คุณสามารถแสดงโครงสร้างนี้ได้ดังนี้:
สิทธิ์ใน OneLake
ส่วนนี้อธิบายวิธีที่สิทธิ์ใน OneLake จัดการการเข้าถึงที่ระดับพื้นที่ทํางานและรายการ
สิทธิ์ของพื้นที่ทํางาน
สิทธิ์ของพื้นที่ทํางานกําหนดการดําเนินการที่ผู้ใช้สามารถทําภายในพื้นที่ทํางานและรายการ จัดการสิทธิ์เหล่านี้ในระดับพื้นที่ทํางาน สิทธิ์เหล่านี้เป็นสิทธิ์ของระนาบควบคุมเป็นหลัก กําหนดความสามารถในการบริหารและการจัดการรายการ ไม่ใช่การเข้าถึงข้อมูลโดยตรง อย่างไรก็ตาม รายการและโฟลเดอร์โดยทั่วไปจะสืบทอดสิทธิ์ของพื้นที่ทํางานเพื่อให้สิทธิ์การเข้าถึงข้อมูลตามค่าเริ่มต้น สิทธิ์ของพื้นที่ทํางานกําหนดการเข้าถึงรายการทั้งหมดภายในพื้นที่ทํางานนั้น
บทบาทพื้นที่ทํางานที่แตกต่างกันสี่บทบาทให้สิทธิ์การเข้าถึงประเภทต่างๆ ตารางต่อไปนี้แสดงลักษณะการทํางานเริ่มต้นของแต่ละบทบาทพื้นที่ทํางาน:
| Role | สามารถเพิ่มผู้ดูแลระบบได้หรือไม่ | สามารถเพิ่มสมาชิกได้หรือไม่ | สามารถแก้ไขการรักษาความปลอดภัย OneLake ได้หรือไม่ | สามารถเขียนข้อมูลและสร้างรายการได้หรือไม่ | สามารถอ่านข้อมูลใน OneLake ได้หรือไม่ | สามารถอัปเดตและลบพื้นที่ทํางานได้หรือไม่ |
|---|---|---|---|---|---|---|
| Admin | Yes | Yes | Yes | Yes | Yes | Yes |
| Member | No | Yes | Yes | Yes | Yes | No |
| Contributor | No | No | No | Yes | Yes | No |
| Viewer | No | No | No | No | No* | No |
* คุณสามารถให้สิทธิ์การเข้าถึงข้อมูลแก่ผู้ชมได้โดยใช้ Security role ของ OneLake
เรียนรู้เพิ่มเติมเกี่ยวกับบทบาทในพื้นที่ทํางานใน Microsoft Fabric
ลดความซับซ้อนของการจัดการบทบาทพื้นที่ทํางาน Fabric โดยกําหนดให้กับกลุ่มความปลอดภัย วิธีนี้ช่วยให้คุณสามารถควบคุมการเข้าถึงได้โดยการเพิ่มหรือลบสมาชิกออกจากกลุ่มความปลอดภัย
การอนุญาตรายการ
เมื่อใช้คุณสมบัติ การแชร์ คุณสามารถให้ผู้ใช้เข้าถึงรายการได้โดยตรง ผู้ใช้จะสามารถดูได้เฉพาะรายการนั้นในพื้นที่ทํางานเท่านั้น และไม่ใช่สมาชิกของบทบาทพื้นที่ทํางานใด ๆ สิทธิ์ของรายการให้สิทธิ์การเข้าถึงเพื่อเชื่อมต่อกับรายการนั้นและจุดสิ้นสุดใดๆ ที่ผู้ใช้สามารถเข้าถึงได้
| Permission | ดูเมตาดาต้าของรายการหรือไม่ | ดูข้อมูลใน SQL หรือไม่ | ดูข้อมูลใน OneLake หรือไม่ |
|---|---|---|---|
| Read | Yes | No | No |
| ReadData | No | Yes | No |
| ReadAll | No | No | Yes* |
* ไม่สามารถใช้ได้กับรายการที่เปิดใช้งานการรักษาความปลอดภัย OneLake ถ้าเปิดใช้งานการรักษาความปลอดภัย OneLake ReadAll จะให้สิทธิ์การเข้าถึงก็ต่อเมื่อมีการใช้งานบทบาท DefaultReader เท่านั้น ถ้าบทบาท DefaultReader ถูกแก้ไขหรือลบ การเข้าถึงจะได้รับอนุญาตแทนตามบทบาทการเข้าถึงข้อมูลใดที่ผู้ใช้เป็นส่วนหนึ่ง
อีกวิธีหนึ่งในการกําหนดค่าสิทธิ์คือผ่านหน้า จัดการสิทธิ์ของ รายการ การใช้หน้านี้ คุณสามารถเพิ่มหรือลบสิทธิ์แต่ละรายการสําหรับผู้ใช้หรือกลุ่มได้ ชนิดหน่วยข้อมูลเป็นตัวกําหนดว่าสิทธิ์ใดที่สามารถใช้ได้
การรักษาความปลอดภัย OneLake (ตัวอย่าง)
การรักษาความปลอดภัยของ OneLake ช่วยให้คุณสามารถกําหนดการรักษาความปลอดภัยตามบทบาทแบบละเอียดสําหรับข้อมูลที่จัดเก็บไว้ใน OneLake และบังคับใช้การรักษาความปลอดภัยนั้นอย่างสม่ําเสมอในกลไกการคํานวณทั้งหมดใน Fabric การรักษาความปลอดภัยของ OneLake เป็นโมเดลความปลอดภัยของ ระนาบข้อมูล สําหรับข้อมูลใน OneLake
ผู้ใช้ Fabric ในบทบาทผู้ดูแลระบบหรือสมาชิกสามารถสร้างบทบาทความปลอดภัย OneLake เพื่อให้ผู้ใช้สามารถเข้าถึงข้อมูลภายในรายการได้ แต่ละบทบาทมีสี่คอมโพเนนต์:
- ข้อมูล: ตารางหรือโฟลเดอร์ที่ผู้ใช้สามารถเข้าถึงได้
- สิทธิ์: สิทธิ์ที่ผู้ใช้มีต่อข้อมูล
- สมาชิก: ผู้ใช้ที่เป็นสมาชิกของบทบาท
- ข้อจํากัด: ส่วนประกอบของข้อมูล (ถ้ามี) ที่ไม่รวมอยู่ในการเข้าถึงบทบาท เช่น แถวหรือคอลัมน์ที่ระบุ
บทบาทความปลอดภัย OneLake ให้สิทธิ์การเข้าถึงข้อมูลสําหรับผู้ใช้ในบทบาทพื้นที่ทํางานของผู้ชมหรือมีสิทธิ์อ่านในรายการ ผู้ดูแลระบบ สมาชิก และผู้สนับสนุนไม่ได้รับผลกระทบจากบทบาทความปลอดภัยของ OneLake และสามารถอ่านและเขียนข้อมูลทั้งหมดในรายการโดยไม่คํานึงถึงการเป็นสมาชิกบทบาทของพวกเขา บทบาท DefaultReader มีอยู่ในเลคเฮาส์ทั้งหมด และให้ผู้ใช้ที่มีสิทธิ์ ReadAll เข้าถึงข้อมูลในเลคเฮาส์ คุณสามารถลบหรือแก้ไขบทบาท DefaultReader เพื่อลบการเข้าถึงนั้นได้
เรียนรู้เพิ่มเติมเกี่ยวกับการสร้างบทบาทความปลอดภัย OneLake สําหรับ ตารางและโฟลเดอร์คอลัมน์ และแถว
เรียนรู้เพิ่มเติมเกี่ยวกับโมเดลการควบคุมการเข้าถึงสําหรับการรักษาความปลอดภัย OneLake
สิทธิ์การประมวลผล
สิทธิ์ในการคํานวณคือชนิดของสิทธิ์ของแผนข้อมูลที่นําไปใช้กับกลไกจัดการคิวรีเฉพาะใน Microsoft Fabric การเข้าถึงที่ได้รับจะใช้เฉพาะกับคิวรีที่เรียกใช้กับกลไกเฉพาะนั้น เช่น จุดสิ้นสุด SQL หรือแบบจําลองความหมายของ Power BI ผู้ใช้อาจเห็นผลลัพธ์ที่แตกต่างกันเมื่อเข้าถึงข้อมูลผ่านกลไกการคํานวณเมื่อเทียบกับเมื่อเข้าถึงข้อมูลโดยตรงใน OneLake ทั้งนี้ขึ้นอยู่กับสิทธิ์ในการประมวลผล
ใช้การรักษาความปลอดภัย OneLake เพื่อรักษาความปลอดภัยข้อมูลใน OneLake แทนที่จะมีสิทธิ์ในการคํานวณ การรักษาความปลอดภัยของ OneLake ช่วยให้มั่นใจได้ถึงผลลัพธ์ที่สอดคล้องกันในทุกกลไกที่ผู้ใช้อาจโต้ตอบด้วย
กลไกการคํานวณอาจมีคุณลักษณะด้านความปลอดภัยขั้นสูงที่ไม่มีในการรักษาความปลอดภัยของ OneLake ในกรณีนั้น บางสถานการณ์อาจต้องใช้สิทธิ์การคํานวณ เมื่อคุณใช้สิทธิ์การประมวลผลเพื่อรักษาความปลอดภัยในการเข้าถึงข้อมูล ให้ตรวจสอบให้แน่ใจว่าคุณให้สิทธิ์การเข้าถึงแก่ผู้ใช้ปลายทางเฉพาะกลไกการคํานวณที่มีการตั้งค่าความปลอดภัย แนวทางปฏิบัติที่ดีที่สุดนี้จะป้องกันไม่ให้เข้าถึงข้อมูลผ่านกลไกจัดการอื่นโดยไม่มีคุณลักษณะด้านความปลอดภัยที่จําเป็น
การรักษาความปลอดภัยทางลัด
ทางลัดใน Microsoft Fabric ทําให้การจัดการข้อมูลง่ายขึ้น ความปลอดภัยของโฟลเดอร์ OneLake ใช้กับทางลัด OneLake ตามบทบาทที่กําหนดไว้ใน lakehouse ที่มีการจัดเก็บข้อมูล
สําหรับข้อมูลเพิ่มเติมเกี่ยวกับข้อควรพิจารณาด้านความปลอดภัยของทางลัด โปรดดู ทางลัดแบบจําลอง>การควบคุมการเข้าถึงความปลอดภัยของ OneLake
สําหรับข้อมูลเกี่ยวกับรายละเอียดการเข้าถึงและการรับรองความถูกต้องสําหรับทางลัดเฉพาะ โปรดดูประเภทของทางลัด OneLake
Authentication
OneLake ใช้ Microsoft Entra ID สําหรับการรับรองความถูกต้อง ใช้เพื่อให้สิทธิ์แก่ข้อมูลประจําตัวของผู้ใช้และบริการหลัก OneLake จะแยกข้อมูลประจําตัวผู้ใช้โดยอัตโนมัติจากเครื่องมือที่ใช้การรับรองความถูกต้องของ Microsoft Entra และแมปกับสิทธิ์ที่คุณตั้งค่าไว้ในพอร์ทัล Fabric
Note
เมื่อต้องการใช้บริการหลักในผู้เช่า Fabric ผู้ดูแลระบบผู้เช่าต้องเปิดใช้งานชื่อบริการหลัก (SPNs) สําหรับผู้เช่าทั้งหมดหรือกลุ่มความปลอดภัยเฉพาะ เรียนรู้เพิ่มเติมเกี่ยวกับการเปิดใช้งานบริการหลักในการตั้งค่านักพัฒนา ของพอร์ทัลผู้ดูแลผู้เช่า
บันทึกการตรวจสอบ
เมื่อต้องการดูบันทึกการตรวจสอบ OneLake ของคุณ ให้ทําตามคําแนะนําใน ติดตามกิจกรรมของผู้ใช้ใน Microsoft Fabric ชื่อการดําเนินการ OneLake สอดคล้องกับ ADLS API เช่น CreateFile หรือ DeleteFile บันทึกการตรวจสอบ OneLake ไม่รวมคําขอหรือคําขอการอ่านที่ทํากับ OneLake ผ่านปริมาณงาน Fabric
การเข้ารหัสและเครือข่าย
ข้อมูลขณะจัดเก็บ
ข้อมูลที่เก็บไว้ใน OneLake จะถูกเข้ารหัสลับที่ไม่ได้ใช้งานตามค่าเริ่มต้นโดยใช้คีย์ที่จัดการโดย Microsoft คีย์ที่จัดการโดย Microsoft จะถูกหมุนอย่างเหมาะสม OneLake เข้ารหัสและถอดรหัสข้อมูลอย่างโปร่งใสและเป็นไปตามมาตรฐาน FIPS 140-2
คุณสามารถใช้การเข้ารหัสที่ไม่ได้ใช้งานโดยใช้คีย์ที่จัดการโดยลูกค้าเพื่อเพิ่มการป้องกันอีกชั้นหนึ่งโดยใช้คีย์ที่คุณเป็นเจ้าของและควบคุม สําหรับข้อมูลเพิ่มเติม โปรดดูคีย์ที่ลูกค้าจัดการสําหรับพื้นที่ทํางาน Fabric
ข้อมูลระหว่างทาง
ข้อมูลระหว่างการส่งผ่านอินเทอร์เน็ตสาธารณะระหว่างบริการของ Microsoft จะถูกเข้ารหัสลับเสมอโดยใช้ TLS 1.2 เป็นอย่างน้อย Fabric เจรจากับ TLS 1.3 เมื่อใดก็ตามที่เป็นไปได้ ปริมาณการใช้งานระหว่างบริการของ Microsoft จะส่งผ่านเครือข่ายส่วนกลางของ Microsoft เสมอ
การสื่อสาร Inbound OneLake ยังบังคับใช้ TLS 1.2 และเจรจากับ TLS 1.3 เมื่อใดก็ตามที่เป็นไปได้ การสื่อสาร Outbound Fabric ไปยังโครงสร้างพื้นฐานที่ลูกค้าเป็นเจ้าของต้องการโพรโทคอลที่ปลอดภัย แต่อาจกลับไปใช้โพรโทคอลที่ไม่ปลอดภัย (รวมถึง TLS 1.0) ที่เก่ากว่าหากไม่รองรับโปรโตคอลที่ใหม่กว่า
ลิงก์ส่วนตัว
หากต้องการกําหนดค่าลิงก์ส่วนตัวใน Fabric โปรดดู ตั้งค่าและใช้ลิงก์ส่วนตัว
อนุญาตให้แอปทํางานภายนอก Fabric เพื่อเข้าถึงข้อมูลผ่านทาง OneLake
คุณสามารถอนุญาตหรือจํากัดการเข้าถึงข้อมูล OneLake จากแอปพลิเคชันที่อยู่นอกสภาพแวดล้อม Fabric ได้ ผู้ดูแลระบบสามารถค้นหาการตั้งค่านี้ได้ในส่วน OneLake ของการตั้งค่าผู้เช่าพอร์ทัลผู้ดูแลระบบ
เมื่อคุณเปิดการตั้งค่านี้ ผู้ใช้สามารถเข้าถึงข้อมูลจากแหล่งข้อมูลทั้งหมดได้ ตัวอย่างเช่น เปิดการตั้งค่านี้ถ้าคุณมีแอปพลิเคชันแบบกําหนดเองที่ใช้ Azure Data Lake Storage (ADLS) API หรือ OneLake file explorer เมื่อคุณปิดการตั้งค่านี้ ผู้ใช้ยังคงสามารถเข้าถึงข้อมูลจากแอปภายใน เช่น Spark, Data Engineering และ Data Warehouse แต่ไม่สามารถเข้าถึงข้อมูลจากแอปพลิเคชันที่ทํางานอยู่ภายนอกสภาพแวดล้อม Fabric ได้