Share via

使用網狀架構、計算引擎和 OneLake 保護數據

  • 發行項

網狀架構提供多層式安全性模型,提供簡化和彈性來管理數據存取。 您可以針對整個工作區、個別項目設定安全性,或透過每個網狀架構引擎中的細微許可權來設定安全性。

細微的引擎許可權允許定義更細緻的訪問控制,例如數據表、數據行和數據列層級安全性。 這些細微許可權適用於針對該引擎執行的查詢。 不同的引擎支援不同類型的細微安全性,讓每個引擎特別針對其目標使用者量身打造。

此圖顯示 Fabric、計算引擎和 OneLake 中不同層級的安全性。

網狀架構數據安全性

網狀架構會使用 工作區專案控制數據存取。 在工作區中,數據會以網狀架構專案的形式顯示,除非您授與他們工作區的存取權,否則使用者無法在 [專案] 中檢視或使用數據。

工作區許可權會授與工作區內所有專案的存取權。 相反地,網狀架構專案許可權允許授與特定專案的存取權,例如 Lakehouse、倉儲或報表。 管理員 可以決定使用者可以互動的 Fabric 專案。 例如,限制透過 Analytics SQL 端點存取數據,同時透過 Lakehouse 或直接透過 OneLake API 存取相同的數據。

深入瞭解如何使用 Microsoft 中安全性中的 Fabric 工作區和專案許可權來控制數據存取。

引擎特定的數據安全性

許多網狀架構引擎允許定義更細緻的訪問控制,例如數據表、數據行和數據列層級安全性。 Fabric 中的某些計算引擎有自己的安全性模型。 例如,網狀架構倉儲可讓使用者使用 T-SQL 語句來定義存取權。 當您使用該引擎存取數據時,一律會強制執行計算特定安全性。 當計算引擎安全性直接存取 OneLake 時,可能無法套用至特定網狀架構角色中的使用者。

深入瞭解引擎特定的細微資料安全性:

OneLake 資料存取角色 (預覽)

OneLake 資料存取角色 (預覽) 可讓使用者在 Lakehouse 內建立自定義角色,並在存取 OneLake 時只授與指定資料夾的讀取許可權。 針對每個 OneLake 角色,用戶可以指派使用者、安全組,或根據工作區角色授與自動指派。

此圖顯示連接到個別保護容器之 Data Lake 的結構。

深入瞭解 OneLake 資料 存取控制 模型開始使用資料存取 。

快捷方式安全性

Microsoft Fabric 中的快捷方式允許簡化的數據管理。 OneLake 資料夾安全性會根據儲存資料之 Lakehouse 中定義的角色,套用 OneLake 資料夾安全性。

如需快捷方式安全性考慮的詳細資訊,請參閱 OneLake 訪問控制模型。 如需快捷方式的詳細資訊,請參閱這裡。

驗證

OneLake 會使用 Microsoft Entra ID 進行驗證;您可以使用它來授與使用者身分識別和服務主體的許可權。 OneLake 會自動從使用 Microsoft Entra 驗證的工具擷取使用者身分識別,並將其對應至您在 Fabric 入口網站中設定的許可權。

注意

若要在 Fabric 租使用者中使用服務主體,租用戶系統管理員必須啟用整個租使用者或特定安全組的服務主體名稱(SPN)。 深入瞭解在租使用者 管理員 入口網站的開發人員 設定 中啟用服務主體

待用數據

根據預設,儲存在 OneLake 中的數據會使用 Microsoft 管理的密鑰進行待用加密。 Microsoft 管理的密鑰會適當地輪替。 OneLake 中的數據會以透明方式加密和解密,且符合 FIPS 140-2 規範。

目前不支援使用客戶管理的密鑰進行待用加密。 您可以在 Microsoft Fabric Ideas提交這項功能的要求。

傳輸中資料

Microsoft 服務 之間的公用因特網傳輸數據一律會以至少 TLS 1.2 加密。 網狀架構會盡可能交涉到 TLS 1.3。 Microsoft 服務 之間的流量一律會透過 Microsoft 全域網路路由傳送。

輸入 OneLake 通訊也會強制執行 TLS 1.2,並盡可能交涉至 TLS 1.3。 不支援較新的通訊協定時,對客戶擁有基礎結構的輸出網狀架構通訊偏好安全通訊協定,但可能會回復為較舊的不安全通訊協定(包括 TLS 1.0)。

Fabric 目前不支援透過非網狀架構產品和 Spark 存取 OneLake 數據的私人連結。

允許在 Fabric 外部執行的應用程式透過 OneLake 存取數據

OneLake 可讓您限制從在 Fabric 環境外部執行的應用程式存取數據。 管理員 可以在 中找到 設定租使用者 管理員 入口網站的 OneLake 區段。 當您開啟此參數時,用戶可以透過所有來源存取數據。 當您關閉開關時,用戶無法透過在 Fabric 環境外部執行的應用程式存取資料。 例如,使用者可以透過 Azure Databricks 之類的應用程式、使用 Azure Data Lake 儲存體 (ADLS) API 或 OneLake 檔案總管的自定義應用程式來存取數據。

相關內容