Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
OneLake, Azure Data Lake Storage (ADLS) 2. Nesil veya Windows dosya sistemi gibi hiyerarşik bir veri gölüdür. OneLake'de güvenlik hem denetim düzleminde hem de veri düzleminde zorunlu kılındı:
- Denetim düzlemi izinleri: Kullanıcıların ortamda gerçekleştirebileceği öğeleri oluşturma, yönetme veya paylaşma gibi eylemleri idare edin. Denetim düzlemi izinleri genellikle varsayılan olarak veri düzlemi izinleri sağlar.
- Veri düzlemi izinleri: Kaynakları yönetme yeteneklerinden bağımsız olarak kullanıcıların erişebileceği veya görüntüleyebileceği verileri yönetin. OneLake için bu, OneLake güvenliğini ifade eder.
Data Lake içindeki her düzeyde güvenlik ayarlayabilirsiniz. Ancak, hiyerarşideki bazı düzeyler Doku kavramlarıyla bağıntılı olduğundan özel işlem alır. OneLake güvenliği , üst öğeden veya çalışma alanından devralınan izinlerle OneLake verilerine tüm erişimi denetler. İzinleri aşağıdaki düzeylerde ayarlayabilirsiniz:
Çalışma alanı: Öğeleri oluşturmak ve yönetmek için işbirliğine dayalı bir ortam. Güvenliği bu düzeydeki çalışma alanı rolleri aracılığıyla yönetirsiniz.
Öğe: Tek bir bileşende birlikte paketlenmiş bir özellik kümesi. Veri öğesi, OneLake kullanılarak içinde lakehouse, ambar veya SQL veritabanı gibi verilerin depolanmasına olanak tanıyan bir öğenin alt türüdür. Öğeler çalışma alanı rollerinden izinleri devralır, ancak ek izinlere de sahip olabilir.
Klasörler: Tablolar/ veya Dosyalar/ gibi verileri depolamak ve yönetmek için bir öğenin içindeki klasörleri kullanırsınız.
Öğeler her zaman çalışma alanları içinde, çalışma alanları ise her zaman doğrudan OneLake ad alanı altında yer alır. Bu yapıyı aşağıdaki gibi görselleştirebilirsiniz:
OneLake'de İzinler
Bu bölümde, OneLake'teki izinlerin çalışma alanı ve öğe düzeylerinde erişimi nasıl yönetdiği açıklanmaktadır.
Çalışma alanı izinleri
Çalışma alanı izinleri, kullanıcıların bir çalışma alanı ve öğeleri içinde gerçekleştirebileceği eylemleri tanımlar. Bu izinleri çalışma alanı düzeyinde yönetin. Bu izinler öncelikli olarak denetim düzlemi izinleridir. Doğrudan veri erişimini değil, yönetim ve öğe yönetimi özelliklerini belirler. Ancak, öğeler ve klasörler genellikle varsayılan olarak veri erişimi vermek için çalışma alanı izinlerini devralır. Çalışma alanı izinleri, bu çalışma alanı içindeki tüm öğelere erişimi tanımlar.
Dört farklı çalışma alanı rolü farklı türlerde erişim verir. Aşağıdaki tabloda her çalışma alanı rolünün varsayılan davranışları listelenir:
| Rol | Yönetici ekleyebilir misiniz? | Üye ekleyebilir misiniz? | OneLake güvenliğini düzenleyebilir misiniz? | Veri yazabilir ve öğe oluşturabilir mi? | OneLake'te verileri okuyabilir misiniz? | Çalışma alanını güncelleştirebilir ve silebilir mi? |
|---|---|---|---|---|---|---|
| Yönetici | Evet | Evet | Evet | Evet | Evet | Evet |
| Üye | Hayır | Evet | Evet | Evet | Evet | Hayır |
| Katılımcı | Hayır | Hayır | Hayır | Evet | Evet | Hayır |
| Görüntüleyici | Hayır | Hayır | Hayır | Hayır | Hayır* | Hayır |
* OneLake güvenlik rollerini kullanarak Görüntüleyicilere verilere erişim verebilirsiniz.
Microsoft Fabric'teki çalışma alanlarındaki roller hakkında daha fazla bilgi edinin.
Fabric çalışma alanı rollerini güvenlik gruplarına atayarak yönetimi basitleştirin. Bu yöntem, güvenlik grubuna üye ekleyerek veya güvenlik grubundan üye kaldırarak erişimi denetlemenize olanak tanır.
Öğe izinleri
Paylaşım özelliğini kullanarak, kullanıcıya bir öğeye doğrudan erişim verebilirsiniz. Kullanıcı bu öğeyi yalnızca çalışma alanında görebilir ve herhangi bir çalışma alanı rolünün üyesi değildir. Öğe izinleri, bu öğeye ve kullanıcının erişebileceği uç noktalarına bağlanmak için erişim verir.
| İzin | Öğe meta verilerini görüyor musunuz? | SQL'de verileri görüyor musunuz? | OneLake'de verileri görüyor musunuz? |
|---|---|---|---|
| Write | Evet | Evet | Evet |
| Okundu | Evet | Hayır | Hayır |
| ReadData | Hayır | Yalnızca Temsilci modunda | Hayır |
| Hepsini Oku | Hayır | Hayır | Yalnızca DefaultReader aracılığıyla |
İzinleri yapılandırmanın başka bir yolu da bir öğenin İzinleri yönet sayfası aracılığıyla yapılır. Bu sayfayı kullanarak, kullanıcılar veya gruplar için tek tek öğe izni ekleyebilir veya kaldırabilirsiniz. Öğe türü, hangi izinlerin kullanılabilir olduğunu belirler.
OneLake güvenliği
OneLake güvenliği, OneLake'te depolanan veriler için ayrıntılı rol tabanlı güvenlik tanımlamanızı ve bu güvenliği Doku'daki tüm işlem altyapılarında tutarlı bir şekilde zorunlu kılmanızı sağlar. OneLake güvenliği, OneLake'deki veriler için veri düzlemi güvenlik modelidir.
Yönetici veya Üye çalışma alanı rollerindeki kullanıcılar Fabric, kullanıcılara bir öğe içindeki verilere erişim vermek için OneLake güvenlik rolleri oluşturabilir. Her rolün dört bileşeni vardır:
- Veri: Kullanıcıların erişebileceği tablo veya klasörler.
- İzin: Kullanıcıların verilerde sahip olduğu izinler.
- Üyeler: Rolün üyesi olan kullanıcılar.
- Kısıtlamaları: Varsa, belirli satırlar veya sütunlar gibi rol erişimi dışında tutulan verilerin bileşenleri.
OneLake güvenlik rolleri, Görüntüleyici çalışma alanı rolünde olan veya öğe üzerinde Okuma iznine sahip kullanıcıların verilere erişimini sağlar. Çalışma Alanı Yöneticileri, Üyeler ve Katkıda Bulunanlar OneLake güvenlik rollerinden etkilenmez ve rol üyeliklerinden bağımsız olarak bir öğedeki tüm verileri okuyabilir ve yazabilir. Tüm lakehouse'larda bir DefaultReader rolü vardır ve ReadAll iznine sahip kullanıcılara lakehouse'daki verilere erişim sağlar. Bu erişimi kaldırmak için DefaultReader rolünü silebilir veya düzenleyebilirsiniz.
Tablolar ve klasörler, Sütunlarve Satırlariçin OneLake güvenlik rolleri oluşturma hakkında daha fazla bilgi edinin.
OneLake güvenliği için erişim denetimi modeli hakkında daha fazla bilgi edinin.
Yetkili motorlar ve üçüncü taraf yürütme
OneLake güvenliği, yetkili altyapı modeli aracılığıyla yetkili üçüncü taraf altyapılar tarafından zorunlu kılmayı destekler. Dış sorgu altyapıları yetkili altyapılar olarak kaydolabilir, OneLake API'leri aracılığıyla güvenlik ilkesi tanımlarını ve önceden derlenmiş etkin erişimi alabilir ve sorgu zamanında tablo izinlerini, RLS'yi ve CLS'yi zorunlu kılabilir. OneLake, güvenlik ilkeleri için tek gerçek kaynak olarak kalır ve ilkeler bir kez yazılır ve Fabric motorları ile yetkili dış motorlar arasında tutarlı bir şekilde uygulanır.
Daha fazla bilgi için bkz. OneLake güvenlik tümleştirmelerine genel bakış.
Kısayol güvenliği
Microsoft Fabric'teki kısayollar veri yönetimini basitleştirir. OneLake klasör güvenliği, verilerin depolandığı göl evinde tanımlanan rollere göre OneLake kısayolları için geçerlidir.
Kısayol güvenliğiyle ilgili dikkat edilmesi gerekenler hakkında daha fazla bilgi için bkz. OneLake güvenlik erişim denetimi modeli > Kısayolları.
Belirli kısayollar için erişim ve kimlik doğrulaması ayrıntıları hakkında bilgi için bkz. OneLake kısayollarının türleri.
Kimlik doğrulama
OneLake, kimlik doğrulaması için Microsoft Entra Id kullanır. Kullanıcı kimliklerine ve hizmet sorumlularına izin vermek için kullanın. OneLake, Microsoft Entra kimlik doğrulamasını kullanan araçlardan kullanıcı kimliğini otomatik olarak ayıklar ve doku portalında ayarladığınız izinlerle eşler.
Uyarı
Bir Fabric kiracısında hizmet prensiplerini kullanmak için, kiracı yöneticisinin tüm kiracı veya belirli güvenlik grupları için Hizmet Asıl Adları'nı (SPN) etkinleştirmesi gerekir. kiracı yönetici portalınınGeliştirici ayarlarında Hizmet Sorumlularını etkinleştirme hakkında daha fazla bilgi edinin.
Denetim kayıtları
OneLake denetim günlüklerinizi görüntülemek için Microsoft Fabric'te kullanıcı etkinliklerini izleme başlığındaki yönergeleri izleyin. OneLake işlem adları CreateFile veya DeleteFile gibi ADLS API'lerine karşılık gelir. OneLake denetim günlükleri, okuma isteklerini veya Doku iş yükleri üzerinden OneLake'e yapılan istekleri içermez.
Şifreleme ve ağ
Bekleme durumundaki veriler
OneLake'te depolanan veriler, Microsoft tarafından yönetilen anahtarlar kullanılarak varsayılan olarak beklemede şifrelenir. Microsoft tarafından yönetilen anahtarlar uygun şekilde döndürülür. OneLake verileri saydam bir şekilde şifreler ve şifresini çözer ve FIPS 140-2 ile uyumludur.
Sahibi olduğunuz ve denetlediğiniz anahtarlarla başka bir koruma katmanı eklemek için müşteri tarafından yönetilen anahtarları kullanarak durağan verilerin şifrelemesini kullanabilirsiniz. Daha fazla bilgi için bkz. Doku çalışma alanları için müşteri tarafından yönetilen anahtarlar.
Aktarım hâlindeki veriler
Microsoft hizmetleri arasında genel İnternet üzerinden aktarılan veriler her zaman en az TLS 1.2 kullanılarak şifrelenir. Fabric, mümkün olduğunda TLS 1.3 ile müzakere eder. Microsoft hizmetleri arasındaki trafik her zaman Microsoft genel ağı üzerinden yönlendirilir.
Gelen OneLake iletişimi, aynı zamanda TLS 1.2 zorlaması yapar ve mümkün olduğunda TLS 1.3'e geçiş için müzakere gerçekleştirir. Müşteriye ait altyapıya giden Doku iletişimi güvenli protokolleri tercih eder, ancak daha yeni protokoller desteklenmediğinde eski, güvenli olmayan protokollere (TLS 1.0 dahil) geri dönebilir.
Özel bağlantılar
Fabric'de özel bağlantıları yapılandırmak için bkz. özel bağlantıları ayarlama ve kullanma.
Fabric dışında çalışan uygulamaların OneLake aracılığıyla verilere erişmesine olanak tanı
Doku ortamının dışındaki uygulamalardan OneLake verilerine erişime izin verebilir veya bunları kısıtlayabilirsiniz. Yöneticiler bu ayarı yönetici portalı kiracı ayarlarının OneLake bölümünde bulabilir.
Bu ayarı açtığınızda, kullanıcılar tüm kaynaklardan verilere erişebilir. Örneğin, Azure Data Lake Storage (ADLS) API'lerini veya OneLake dosya gezginini kullanan özel uygulamalarınız varsa bu ayarı açın. Bu ayarı kapattığınızda kullanıcılar Spark, Veri Mühendisliği ve Veri Ambarı gibi dahili uygulamalardan verilere erişmeye devam edebilir ancak Doku ortamları dışında çalışan uygulamalardan verilere erişemez.