如何針對常見資料架構保護資料
本文概述如何針對資料網格與中樞和支點架構設定 OneLake 資料安全性。
安全性功能
Microsoft Fabric 使用多層安全性模型,在不同層級提供不同控制項,以便僅提供最低需求權限。 如欲深入了解本操作指南討論的不同安全性類型,請參閱 OneLake 資料存取控制模型。
資料網格安全性
資料網格是一種架構範例,將資料視為產品,而非服務或資源。 資料網格旨在分散跨不同領域與團隊的資料所有權與治理,同時透過共同平台達成互通性與可搜尋性。 在資料網格架構,每個分散式團隊都會管理資料產品一部分的資料所有權。 本節所提供的安全性指南聚焦單一資料產品團隊為其工作區設定存取權。 每個資料產品團隊都會在自己的工作區重複這些步驟,以便讓下游使用者進行存取。
若要開始建立資料網格,請使用 Microsoft Fabric 網域功能,根據工作區的相關資料產品與所有權來標記工作區。
在網域內,每個團隊都有自己的一個或多個工作區。 工作區會儲存所需資料,用於建立最終資料產品以供使用。 使用工作區角色向使用者授予工作區存取權。
識別資料產品的下游取用者,並根據達成目標所需的最低權限授予存取權限。 為讓使用者與目標體驗保持一致,每種類型的下游使用者均可獲得單一 Fabric 資料項目的存取權。 下表顯示資料網格取用者與相關 Fabric 項目的部分常見使用案例。
| User | Fabric 項目 |
|---|---|
| 資料科學家 | Apache Spark 筆記本或 lakehouse |
| 資料工程師 | Apache Spark 筆記本、資料流程或管線 |
| 商務分析師 | SQL 分析端點 |
| 報表建立者 | 語意模型 |
| 報表取用者 | Power BI 報表 |
軸輻安全性
軸輻架構與資料網格不同,因為所有經認證的資料產品都在集中擁有的單一位置進行管理。 下游取用者較不著重建立其他資料產品,而是針對中央團隊產生的資料進行分析。
識別下游取用者,並根據達成目標所需的最低權限授予存取權限。 為讓使用者與目標體驗保持一致,每種類型的下游使用者均可獲得單一 Fabric 資料項目的存取權。 使用者角色資料表顯示部分軸輻常見使用案例,以及相關 Fabric 項目。
| User | Fabric 項目 |
|---|---|
| 資料科學家 | Apache Spark 筆記本或 lakehouse |
| 商務分析師 | SQL 分析端點 |
| 報表建立者 | 語意模型 |
| 報表取用者 | Power BI 報表 |
工作區角色
對於軸輻與資料網格架構,工作區角色指派均遵循相同準則。 工作職責表會根據使用者在工作區執行的功能,概述要指派給使用者的工作區角色。
| 工作職責 | 工作區角色 |
|---|---|
| 擁有工作區並管理角色指派 | 管理 |
| 管理非管理員使用者的角色指派 | member |
| 建立 Fabric 項目並寫入資料 | 參與者 |
| 使用 SQL 建立表格與視圖 | 檢視人員 + SQL 權限 |
資料科學家
資料科學家需要存取 lakehouse 資料,才能透過 Apache Spark 取用資料。 對於資料網格與軸輻,Spark 使用者會從與資料所在工作區不同的工作區取用資料。 這讓資料科學家能夠存取以建立模型及實驗,而不會導致儲存資料的工作區更加雜亂。 資料科學家也可使用其他非 Spark 服務,直接連線 OneLake 資料路徑,例如 Azure Databricks 或 Dremio。
若要向資料科學家提供存取權限,請使用共用按鈕即可共用 lakehouse。 在對話方塊選取 讀取所有 Apache Spark 方塊。 對於已啟用 OneLake 資料存取角色的 lakehouse,請將其新增至 OneLake 資料存取角色,以便向相同使用者授予存取權。 使用 OneLake 資料存取角色可提供更細微的資料存取權。 接著,資料工程師可建立捷徑來選擇 lakehouse 的資料表或資料夾。
資料工程師
資料工程師需要存取 lakehouse 資料,才能建立下游資料產品。 資料工程師需要存取 OneLake 資料,以便建立管線或筆記本來讀取資料。 在真正的軸輻模型,資料工程師角色僅存在於中央軸團隊層級內。 然而,對於資料網格,資料工程師將跨網域結合資料產品,以建立新資料集。
使用共用按鈕即可與資料工程師共用 lakehouse。 在對話方塊勾選 讀取所有 Apache Spark 方塊。 對於已啟用 OneLake 資料存取角色的 lakehouse,請將其新增至 OneLake 資料存取角色,以便向相同使用者授予存取權。 使用 OneLake 資料存取角色可提供更細微的資料存取權。 接著,資料工程師可建立捷徑來選擇 lakehouse 的資料表或資料夾。
商務分析師
商務分析師(有時稱為資料分析師)可透過 SQL 查詢資料來回答商務問題。
使用共用按鈕與商務分析師共用 lakehouse。 勾選對話方塊的 讀取所有 SQL 端點資料 方塊。 此設定可讓商務分析師存取 Lakehouse SQL 分析端點資料,但無法查看基礎 OneLake 檔案。
直接在 SQL 定義資料列或資料行層級安全性,可進一步限制這些使用者的資料存取權。
報表建立者
報表建立者會建立 Power BI 報表供其他使用者取用。
使用共用按鈕與報表建立者共用 lakehouse。 勾選對話方塊的 建立預設語意模型報表 方塊。 此權限允許報表建立者使用關聯 lakehouse 的語意模型來建立報表。 這些使用者無法存取 OneLake 資料,也無法完全存取 SQL 分析端點。
報表取用者
報表取用者是企業領袖或主管,透過檢視 Power BI 報表資料來作出決策。
使用共用按鈕與取用者共用報表。 請勿勾選任何方塊,以便授予報表讀取權限,但無法看到任何基礎資料。 若要防止使用者存取 SQL 分析端點並檢視資料表,請確保未定義任何 SQL 權限來授予這些使用者存取權限。
您也可使用應用程式來與報表取用者共用資料。 應用程式可讓使用者存取預定義的報表或一組報表,而無需存取基礎工作區。 請注意,對於位於直接湖模式的報表,需與使用者共用基礎 lakehouse,其才能查看資料。