OneLake güvenliğine genel bakış
OneLake, Azure Data Lake Depolama (ADLS) 2. Nesil veya Windows dosya sistemi gibi hiyerarşik bir veri gölüdür. Bu yapı, erişimi yönetmek için hiyerarşide farklı düzeylerde güvenlik ayarlamanıza olanak tanır. Hiyerarşideki bazı düzeylere Doku kavramlarıyla bağıntılı olduklarından özel işlem verilir.
Çalışma alanı: Öğeleri oluşturmak ve yönetmek için işbirliğine dayalı bir ortam.
Öğe: Tek bir bileşende birlikte paketlenmiş bir özellik kümesi. Veri öğesi, OneLake kullanılarak verilerin içinde depolanmasına izin veren bir öğenin alt türüdür.
Klasörler: Verileri depolamak ve yönetmek için kullanılan bir öğenin içindeki klasörler.
Öğeler her zaman çalışma alanları içinde ve çalışma alanları doğrudan OneLake ad alanında yaşar. Bu yapıyı aşağıdaki gibi görselleştirebilirsiniz:
Çalışma alanı izinleri
Çalışma alanı izinleri, bu çalışma alanı içindeki tüm öğelere erişim tanımlamaya olanak sağlar. Her biri farklı türde erişim sağlayan 4 farklı çalışma alanı rolü vardır.
| Rol | Yönetici ekleyebilir misiniz? | Üye ekleyebilir misiniz? | Veri yazabilir ve öğe oluşturabilir mi? | Verileri okuyabiliyor musunuz? |
|---|---|---|---|---|
| Yönetici | Yes | Evet | Evet | Yes |
| Üye | Hayır | Evet | Evet | Yes |
| Katılımcı | Hayır | Hayır | Evet | Yes |
| İzleyici | Hayır | Hayır | Hayır | Evet |
Not
Ambar öğesini okuma-yazma rolleriyle görüntüleyebilirsiniz, ancak yalnızca SQL sorgularını kullanarak ambarlara yazabilirsiniz.
Doku çalışma alanı rollerini güvenlik gruplarına atayarak yönetimi basitleştirebilirsiniz. Bu yöntem, güvenlik grubuna üye ekleyerek veya güvenlik grubundan üye kaldırarak erişimi denetlemenize olanak tanır.
Öğe izinleri
Paylaşım özelliğiyle, kullanıcıya bir öğeye doğrudan erişim verebilirsiniz. Kullanıcı bu öğeyi yalnızca çalışma alanında görebilir ve herhangi bir çalışma alanı rolünün üyesi değildir. Öğe izinleri, söz konusu öğeye ve kullanıcının erişebileceği öğe uç noktalarına bağlanmak için erişim verir.
| İzin | Öğe meta verilerini görüyor musunuz? | SQL'de verileri görüyor musunuz? | OneLake'de verileri görüyor musunuz? |
|---|---|---|---|
| Okundu | Yes | Hayır | Hayır |
| Readdata | Hayır | Evet | Hayır |
| ReadAll | Hayır | Hayır | Evet* |
*OneLake veri erişim rolleri (önizleme) etkin olan öğeler için geçerli değildir. Önizleme etkinse, ReadAll yalnızca DefaultReader rolü kullanımdaysa erişim verir. Bu rol düzenlenir veya silinirse, kullanıcının parçası olduğu veri erişim rollerine göre erişim verilir.
İzinleri yapılandırmanın başka bir yolu da bir öğenin İzinleri yönet sayfası aracılığıyla yapılır. Bu sayfayı kullanarak, kullanıcılar veya gruplar için tek tek öğe izni ekleyebilir veya kaldırabilirsiniz. Kullanılabilir tam izinler, öğe türüne göre belirlenir.
İşlem izinleri
Veri erişimi, Microsoft Fabric'teki SQL işlem altyapısı aracılığıyla da verilebilir. SQL aracılığıyla verilen erişim yalnızca SQL aracılığıyla verilere erişen kullanıcılar için geçerlidir, ancak belirli kullanıcılara daha seçmeli erişim vermek için bu güvenliği kullanabilirsiniz. SQL, geçerli durumunda belirli tablo ve şemalara erişimi kısıtlamanın yanı sıra satır ve sütun düzeyinde güvenliği destekler.
SQL aracılığıyla verilere erişen kullanıcılar, uygulanan işlem izinlerine bağlı olarak verilere doğrudan OneLake'te erişmekten farklı sonuçlar görebilir. Bunu önlemek için, kullanıcının öğe izinlerinin yalnızca SQL Uç Noktası 'na (ReadData kullanarak) veya OneLake'e (ReadAll veya veri erişim rolleri önizlemesi kullanarak) erişim vermek üzere yapılandırıldığından emin olun.
Aşağıdaki örnekte, kullanıcıya öğe paylaşımı aracılığıyla bir göl evi için salt okunur erişim verilir. Kullanıcıya SQL analiz uç noktası üzerinden bir tabloda SELECT izni verilir. Bu kullanıcı OneLake API'leri aracılığıyla verileri okumaya çalıştığında, yeterli izinlere sahip olmadığı için erişimi reddedilir. Kullanıcı SQL SELECT deyimlerini başarıyla okuyabilir.
OneLake Veri erişimi rolleri (önizleme)
OneLake veri erişim rolleri, OneLake'te depolanan verilerinize rol tabanlı erişim denetimi (RBAC) uygulamanızı sağlayan yeni bir özelliktir. Doku öğesi içindeki belirli klasörlere okuma erişimi veren güvenlik rolleri tanımlayabilir ve bunları kullanıcılara veya gruplara atayabilirsiniz. Erişim izinleri, kullanıcıların lakehouse UX, not defterleri veya OneLake API'leri aracılığıyla verilerin göl görünümüne erişirken hangi klasörleri göreceğini belirler.
Yönetici, Üye veya Katkıda Bulunan rollerindeki doku kullanıcıları, bir göl evinde yalnızca belirli klasörlere erişim vermek için OneLake veri erişim rolleri oluşturarak başlayabilir. Göl evindeki verilere erişim izni vermek için kullanıcıları bir veri erişim rolüne ekleyin. Veri erişim rolünün parçası olmayan kullanıcılar söz konusu göl evinde veri görmez.
Veri Erişim Rollerini Kullanmaya Başlama bölümünde veri erişim rolleri oluşturma hakkında daha fazla bilgi edinin.
Erişim rolleri için güvenlik modeli hakkında daha fazla bilgi edinin Veri Erişim Denetim Modeli.
Kısayol güvenliği
Microsoft Fabric'teki kısayollar basitleştirilmiş veri yönetimine olanak sağlar, ancak dikkat edilmesi gereken bazı güvenlik konuları vardır. Kısayol güvenliğini yönetme hakkında bilgi için bu belgeye bakın.
OneLake veri erişim rolleri (önizleme) için kısayol türüne bağlı olarak kısayollar özel bir işlem alır. OneLake kısayolu erişimi her zaman kısayolun hedefinde yer alan erişim rolleri tarafından denetlener. Bu, LakehouseA'dan LakehouseB'ye bir kısayol için LakehouseB'nin güvenliğinin etkili olduğu anlamına gelir. LakehouseA'daki veri erişim rolleri, LakehouseB kısayolunun güvenliğini veremez veya düzenleyemez.
Amazon S3 veya ADLS 2. Nesil'e yönelik dış kısayollar için güvenlik, göl evindeki veri erişim rolleri aracılığıyla yapılandırılır. LakehouseA'dan S3 demetine kısayol, LakehouseA'da yapılandırılmış veri erişim rollerine sahip olabilir. Yalnızca kısayolun kök düzeyinde güvenlik uygulanabileceğini unutmayın. Kısayolun alt klasörlerine erişim atamak rol oluşturma hatalarına neden olur.
Veri Erişim Denetim Modeli'ndeki kısayollar için güvenlik modeli hakkında daha fazla bilgi edinin
İlgili içerik
Geri Bildirim
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz. https://aka.ms/ContentUserFeedback.
Gönderin ve geri bildirimi görüntüleyin