Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
OneLake, Azure Data Lake Storage (ADLS) 2. Nesil veya Windows dosya sistemi gibi hiyerarşik bir veri gölüdür. OneLake'de güvenlik, her biri erişim ve denetimin farklı yönlerine karşılık gelen birden çok düzeyde sağlanır. Denetim düzlemi ile veri düzlemi izinleri arasındaki ayrımı anlamak, verilerinizin güvenliğini etkili bir şekilde sağlamak için önemlidir:
- Denetim düzlemi izinleri: Kullanıcıların ortamda gerçekleştirebileceği eylemleri (örneğin, öğeleri oluşturma, yönetme veya paylaşma) idare edin. Denetim düzlemi izinleri genellikle varsayılan olarak veri düzlemi izinleri sağlar.
- Veri düzlemi izinleri: Kaynakları yönetme yeteneklerinden bağımsız olarak kullanıcıların erişebileceği veya görüntüleyebileceği verileri yönetin.
Data Lake içindeki her düzeyde güvenlik ayarlayabilirsiniz. Ancak hiyerarşideki bazı düzeylere Doku kavramlarıyla bağıntılı olduklarından özel işlem yapılır. OneLake güvenliği, üst öğeden veya çalışma alanı izinlerinden devralınan farklı izinlere sahip OneLake verilerine tüm erişimi denetler. İzinleri aşağıdaki düzeylerde ayarlayabilirsiniz:
Çalışma alanı: Öğeleri oluşturmak ve yönetmek için işbirliğine dayalı bir ortam. Güvenlik, bu düzeyde çalışma alanı rolleri aracılığıyla yönetilir.
Öğe: Tek bir bileşende birlikte paketlenmiş bir özellik kümesi. Veri öğesi, OneLake kullanılarak verilerin içinde depolanmasına izin veren bir öğenin alt türüdür. Öğeler çalışma alanı rollerinden izinleri devralır, ancak ek izinlere de sahip olabilir.
Klasörler: Tablolar/ veya Dosyalar/ gibi verileri depolamak ve yönetmek için kullanılan bir öğenin içindeki klasörler.
Öğeler daima çalışma alanları içinde bulunur ve çalışma alanları doğrudan OneLake ad alanı altında yer alır. Bu yapıyı aşağıdaki gibi görselleştirebilirsiniz:
OneLake'de güvenlik
Bu bölümde genel kullanıma sunulan OneLake özelliklerine göre güvenlik modeli açıklanmaktadır.
Çalışma alanı izinleri
Çalışma alanı izinleri, kullanıcıların bir çalışma alanı ve öğeleri içinde gerçekleştirebileceği eylemleri tanımlar. Bu izinler çalışma alanı düzeyinde yönetilir ve öncelikli olarak denetim düzlemi izinleridir; doğrudan veri erişimini değil, yönetim ve öğe yönetimi özelliklerini belirler. Ancak çalışma alanı izinleri genellikle varsayılan olarak veri erişimi vermek için öğe ve klasör düzeyine kadar devralır. Çalışma alanı izinleri, bu çalışma alanı içindeki tüm öğelere erişim tanımlamaya olanak sağlar. Her biri farklı türde erişim sağlayan dört farklı çalışma alanı rolü vardır. Her çalışma alanı rolünün varsayılan davranışları aşağıdadır.
| Rol | Yönetici ekleyebilir misiniz? | Üye ekleyebilir misiniz? | OneLake güvenliğini düzenleyebilir misiniz? | Veri yazabilir ve öğe oluşturabilir mi? | OneLake'te verileri okuyabilir misiniz? | Çalışma alanını güncelleştirin ve silin. |
|---|---|---|---|---|---|---|
| Yönetici | Evet | Evet | Evet | Evet | Evet | Evet |
| Üye | Hayır | Evet | Evet | Evet | Evet | Hayır |
| Katılımcı | Hayır | Hayır | Hayır | Evet | Evet | Hayır |
| Görüntüleyici | Hayır | Hayır | Hayır | Hayır | Hayır* | Hayır |
Microsoft Fabric'teki çalışma alanlarındaki roller hakkında daha fazla bilgi edinin.
Uyarı
*İzleyicilere OneLake güvenlik rolleri aracılığıyla verilere erişim verilebilir.
Fabric çalışma alanı rollerini güvenlik gruplarına atayarak yönetimi basitleştirebilirsiniz. Bu yöntem, güvenlik grubuna üye ekleyerek veya güvenlik grubundan üye kaldırarak erişimi denetlemenize olanak tanır.
Öğe izinleri
Paylaşım özelliğiyle, kullanıcıya bir öğeye doğrudan erişim verebilirsiniz. Kullanıcı bu öğeyi yalnızca çalışma alanında görebilir ve herhangi bir çalışma alanı rolünün üyesi değildir. Öğe izinleri, kullanıcının erişebileceği öğeye ve uç noktalarına bağlanmak için erişim verir.
| İzin | Öğe meta verilerini görüyor musunuz? | SQL'de verileri görüyor musunuz? | OneLake'de verileri görüyor musunuz? |
|---|---|---|---|
| Okundu | Evet | Hayır | Hayır |
| ReadData | Hayır | Evet | Hayır |
| Hepsini Oku | Hayır | Hayır | Evet* |
* OneLake güvenlik veya veri erişim rolleri etkin olan öğeler için geçerli değildir. Önizleme etkinse, erişim yalnızca DefaultReader rolü kullanıldığında ReadAll tarafından sağlanır. DefaultReader rolü düzenlenir veya silinirse, kullanıcının parçası olduğu veri erişim rollerine göre erişim verilir.
İzinleri yapılandırmanın başka bir yolu da bir öğenin İzinleri yönet sayfası aracılığıyla yapılır. Bu sayfayı kullanarak, kullanıcılar veya gruplar için tek tek öğe izni ekleyebilir veya kaldırabilirsiniz. Öğe türü, hangi izinlerin kullanılabilir olduğunu belirler.
OneLake güvenliği (önizleme)
OneLake güvenliği, kullanıcıların OneLake'te depolanan veriler için ayrıntılı rol tabanlı güvenlik tanımlamasına ve bu güvenliği Doku'daki tüm işlem altyapılarında tutarlı bir şekilde zorlamasına olanak tanır. OneLake güvenliği, OneLake'deki veriler için veri düzlemi güvenlik modelidir.
Yönetici veya Üye rollerindeki doku kullanıcıları, kullanıcılara bir öğe içindeki verilere erişim vermek için OneLake güvenlik rolleri oluşturabilir. Her rolün dört bileşeni vardır:
- Veri: Kullanıcıların erişebileceği tablo veya klasörler.
- İzin: Kullanıcıların verilerde sahip olduğu izinler.
- Üyeler: Rolün üyesi olan kullanıcılar.
- Kısıtlamaları: Varsa, belirli satırlar veya sütunlar gibi rol erişimi dışında tutulan verilerin bileşenleri.
OneLake güvenlik rolleri , Görüntüleyici çalışma alanı rolündeki veya öğe üzerinde Okuma izni olan kullanıcılar için verilere erişim verir. Yöneticiler, Üyeler ve Katkıda Bulunanlar OneLake güvenlik rollerinden etkilenmez ve rol üyeliklerinden bağımsız olarak bir öğedeki tüm verileri okuyabilir ve yazabilir. Tüm lakehouse'larda ReadAll iznine sahip kullanıcılara lakehouse'daki verilere erişim izni veren bir DefaultReader rolü vardır. DefaultReader rolü silinebilir veya bu erişimi kaldırmak için düzenlenebilir.
Tablolar ve klasörler, Sütunlarve Satırlariçin OneLake güvenlik rolleri oluşturma hakkında daha fazla bilgi edinin.
OneLake güvenliği için erişim denetimi modeli hakkında daha fazla bilgi edinin..
İşlem izinleri
İşlem izinleri, Microsoft Fabric'teki belirli bir sorgu altyapısına uygulanan bir veri düzlemi izni türüdür. Verilen erişim yalnızca SQL uç noktası veya Power BI anlam modeli gibi belirli bir altyapıda çalıştırılacak sorgular için geçerlidir. Ancak kullanıcılar, uygulanan işlem izinlerine bağlı olarak verilere doğrudan OneLake'te eriştiklerine kıyasla bir işlem altyapısı üzerinden verilere eriştiklerinde farklı sonuçlar görebilir. OneLake güvenliği, kullanıcının etkileşim kurabileceği tüm altyapılarda tutarlı sonuçlar elde etmek için OneLake'deki verilerin güvenliğini sağlamak için önerilen yaklaşımdır.
İşlem altyapıları henüz OneLake güvenliğinde bulunmayan daha gelişmiş güvenlik özelliklerine sahip olabilir ve bu durumda bazı senaryoları çözmek için işlem izinlerinin kullanılması gerekebilir. Verilere erişimin güvenliğini sağlamak için işlem izinlerini kullanırken, son kullanıcılara yalnızca güvenliğin ayarlandığı işlem altyapısına erişim verildiğinden emin olun. Bu, gerekli güvenlik özellikleri olmadan farklı bir altyapı üzerinden verilere erişilmesini engeller.
Kısayol güvenliği
Microsoft Fabric'teki kısayollar, basitleştirilmiş veri yönetimi sağlar. OneLake klasör güvenliği, verilerin depolandığı göl evinde tanımlanan rollere göre OneLake kısayolları için geçerlidir.
Kısayol güvenliğiyle ilgili dikkat edilmesi gerekenler hakkında daha fazla bilgi için bkz. OneLake güvenlik erişim denetimi modeli.
Belirli kısayollar için erişim ve kimlik doğrulaması ayrıntıları hakkında bilgi için bkz. OneLake kısayollarının türleri.
Kimlik doğrulama
OneLake kimlik doğrulaması için Microsoft Entra Id kullanır; kullanıcı kimliklerine ve hizmet sorumlularına izin vermek için kullanabilirsiniz. OneLake, Microsoft Entra kimlik doğrulamasını kullanan ve Doku portalında ayarladığınız izinlerle eşleyen araçlardan kullanıcı kimliğini otomatik olarak ayıklar.
Uyarı
Bir Fabric kiracısında hizmet prensiplerini kullanmak için, kiracı yöneticisinin tüm kiracı veya belirli güvenlik grupları için Hizmet Asıl Adları'nı (SPN) etkinleştirmesi gerekir. kiracı yönetici portalınınGeliştirici ayarlarında Hizmet Sorumlularını etkinleştirme hakkında daha fazla bilgi edinin.
Denetim Günlükleri
OneLake denetim günlüklerinizi görüntülemek için Microsoft Fabric'te kullanıcı etkinliklerini izleme başlığındaki yönergeleri izleyin. OneLake işlem adları CreateFile veya DeleteFile gibi ADLS API'lerine karşılık gelir. OneLake denetim günlükleri, okuma isteklerini veya Doku iş yükleri üzerinden OneLake'e yapılan istekleri içermez.
Şifreleme ve ağ
Hareketsiz Veri
OneLake'te depolanan veriler, Microsoft tarafından yönetilen anahtarlar kullanılarak varsayılan olarak beklemede şifrelenir. Microsoft tarafından yönetilen anahtarlar uygun şekilde döndürülür. OneLake'teki veriler saydam olarak şifrelenir ve şifresi çözülür ve FIPS 140-2 ile uyumludur.
Sahibi olduğunuz ve denetlediğiniz anahtarları kullanarak başka bir koruma katmanı eklemek için müşteri tarafından yönetilen anahtarları kullanarak bekleyen şifrelemeyi kullanabilirsiniz. Daha fazla bilgi için bkz Doku çalışma alanları için müşteri tarafından yönetilen anahtarlar.
Aktarım hâlindeki veriler
Microsoft hizmetleri arasında genel İnternet üzerinden aktarımda olan veriler her zaman en az TLS 1.2 ile şifrelenir. Fabric, mümkün olduğunda TLS 1.3 ile müzakere eder. Microsoft hizmetleri arasındaki trafik her zaman Microsoft genel ağı üzerinden yönlendirilir.
Gelen OneLake iletişimi, aynı zamanda TLS 1.2 zorlaması yapar ve mümkün olduğunda TLS 1.3'e geçiş için müzakere gerçekleştirir. Müşteriye ait altyapıya giden Doku iletişimi güvenli protokolleri tercih eder, ancak daha yeni protokoller desteklenmediğinde eski, güvenli olmayan protokollere (TLS 1.0 dahil) geri dönebilir.
Özel bağlantılar
Fabric'de özel bağlantıları yapılandırmak için bkz. özel bağlantıları ayarlama ve kullanma.
Fabric dışında çalışan uygulamaların OneLake aracılığıyla verilere erişmesine olanak tanı
Doku ortamının dışındaki uygulamalardan OneLake verilerine erişime izin verebilir veya bunları kısıtlayabilirsiniz. Yöneticiler bu ayarı yönetici portalı kiracı ayarlarının OneLake bölümünde bulabilir.
Bu ayarı açtığınızda, kullanıcılar tüm kaynaklardan verilere erişebilir. Örneğin, Azure Data Lake Storage (ADLS) API'lerini veya OneLake dosya gezginini kullanan özel uygulamalarınız varsa bu ayarı açın. Bu ayarı kapattığınızda kullanıcılar Spark, Veri Mühendisliği ve Veri Ambarı gibi dahili uygulamalardan verilere erişmeye devam edebilir ancak Doku ortamları dışında çalışan uygulamalardan verilere erişemez.