通过

使用 Fabric、计算引擎和 OneLake 保护数据

  • 项目

Fabric 提供了一个多层安全模型,在管理数据访问方面既简单又灵活。 可为整个工作区、单个项或通过每个 Fabric 引擎中的精细权限设置安全性。

精细引擎权限允许定义细粒度的访问控制,例如表、列和行级别安全性。 这些精细权限适用于针对该引擎运行的查询。 不同的引擎支持不同类型的精细安全性,允许每个引擎专门针对其目标用户定制。

显示 Fabric、计算引擎和 OneLake 中不同安全层的示意图。

Fabric 数据安全性

Fabric 使用工作区控制数据访问。 在工作区中,数据以 Fabric 项的形式显示,除非用户拥有对工作区的访问权限,否则无法查看或使用项中的数据。

工作区权限授予对工作区中所有项的访问权限。 相比之下,Fabric 项权限允许授予对特定项的访问权限,如湖屋、仓库或报告。 管理员可以确定用户能与哪个 Fabric 项交互。 例如,限制通过 Analytics SQL 终结点访问数据,同时允许通过湖屋或直接通过 OneLake API 访问相同的数据。

Microsoft 中的安全性中,了解有关使用 Fabric 工作区和项权限控制数据访问的更多信息。

特定于引擎的数据安全性

许多 Fabric 引擎允许定义细粒度访问控制,例如表、列和行级别的安全性。 Fabric 中的某些计算引擎有自己的安全模型。 例如,Fabric Warehouse 允许用户使用 T-SQL 语句定义访问权限。 使用该引擎访问数据时,始终会实施特定于计算的安全性。 当某些 Fabric 角色的用户直接访问 OneLake 时,计算引擎安全性可能不适用于他们。

了解有关特定于引擎的精细数据安全性的更多信息:

OneLake 数据访问角色(预览)

OneLake 数据访问角色(预览)允许用户在湖屋中创建自定义角色,并在访问 OneLake 时仅向指定文件夹授予读取权限。 对于每个 OneLake 角色,用户可以分配用户、安全组或根据工作区角色授予自动分配。

此示意图显示连接到独立安全容器的数据湖的结构。

了解有关 OneLake 数据访问控制模型数据访问入门的更多信息。

快捷方式安全性

Microsoft Fabric 中的快捷方式可简化数据管理。 OneLake 文件夹安全性适用于 OneLake 快捷方式,该快捷方式基于存储数据的湖屋中定义的角色。

有关快捷方式安全注意事项的更多信息,请参阅 OneLake 访问控制模型。 有关快捷方式的更多信息,请参阅此处

身份验证

OneLake 使用 Microsoft Entra ID 进行身份验证;可以使用它向用户标识和服务主体授予权限。 OneLake 会自动从使用 Microsoft Entra 身份验证的工具中提取用户标识,并将其映射到在 Fabric 门户中设置的权限。

注意

若要在 Fabric 租户中使用服务主体,租户管理员必须为整个租户或特定安全组启用服务主体名称 (SPN)。 在租户管理门户的开发人员设置中,了解有关启用服务主体的更多信息

静态数据

默认情况下,使用 Microsoft 管理的密钥对 OneLake 中存储的数据进行静态加密。 Microsoft 管理的密钥会适当轮换。 OneLake 中的数据经过透明加密和解密,且符合 FIPS 140-2 标准。

目前不支持使用客户管理的密钥进行静态加密。 你可以在 Microsoft Fabric 意见中提交有关此功能的请求。

传输中的数据

在公共 Internet 之间传输的数据始终使用至少 TLS 1.2 加密 Microsoft 服务。 条件允许时,Fabric 尽可能协商到 TLS 1.3。 Microsoft 服务之间的流量始终通过 Microsoft 全球网络路由。

入站 OneLake 通信还会强制实施 TLS 1.2,并尽可能协商到 TLS 1.3。 当不支持较新协议时,发送到客户所有的基础结构的出站 Fabric 通信首选安全协议,但可能回退使用更旧的不安全的协议(包括 TLS 1.0)。

Fabric 目前不支持通过非 Fabric 产品和 Spark 访问 OneLake 数据的专用链接。

允许在 Fabric 外部运行的应用通过 OneLake 访问数据

OneLake 允许限制从 Fabric 环境外部运行的应用程序访问数据。 管理员可以在租户管理门户的 OneLake 部分找到相应设置。 如果将此开关切换为“开”,则用户可以通过所有源访问数据。 如果将此开关切换为“关”,则用户无法通过 Fabric 环境外部运行的应用程序访问数据。 例如,用户可以通过 Azure Databricks、使用 Azure Data Lake Storage (ADLS) API 的应用程序或 OneLake 文件资源管理器访问数据。

相关内容