如何針對資料科學團隊保護 lakehouse
簡介
本文將概述如何設定 Fabric 的 lakehouse 安全性,以便與資料科學團隊及工作負載搭配使用。
安全性功能
Microsoft Fabric 使用多層安全性模型,在不同層級提供不同控制項,以便僅提供最低需求權限。 如需 Fabric 可用的不同安全性功能詳細資訊,請參閱本 文件。
按使用案例保護
Microsoft Fabric 已針對保護特定使用案例的資料最佳化安全性。 使用案例是一組需要特定存取權限的使用者,且其透過特定引擎存取資料。 對於資料科學案例,部分使用案例範例如下:
- Apache Spark 寫入者:此類使用者需要使用 Apache Spark 筆記本將資料寫入 lakehouse。
- Apache Spark 讀取者:此類使用者需要使用 Apache Spark 筆記本讀取資料。
- 管線讀取者:此類使用者需要使用管線從 lakehouse 讀取資料。
- 捷徑建立者:此類使用者需要在 lakehouse 建立資料捷徑。
然後,我們可將每個使用案例與 Fabric 必要權限對齊。
寫入存取
對於需要在 Fabric 寫入資料的使用者,可透過 Fabric 工作區角色控制存取權限。有三個工作區角色可授予寫入權限:管理員、成員與參與者。 選擇所需的角色並授予使用者存取權限。
具有寫入存取權的使用者不受 OneLake 資料存取角色(預覽版)限制。寫入使用者可透過 SQL 分析端點資料來限制資料存取權限,但保留 OneLake 資料的完整存取權限。 若要限制寫入使用者的資料存取權限,需為該資料建立個別工作區。
讀取存取權
對於需要使用管線或 Apache Spark 筆記本讀取資料的使用者,權限由 Fabric 項目權限以及 OneLake 資料存取角色(預覽版)來管理。 Fabric 項目權限會管理使用者可看到的項目以及如何存取該項目。 OneLake 資料存取角色會管理使用者可透過連線 OneLake 的體驗存取哪些資料。 對於未啟用 OneLake 資料存取角色預覽版的 lakehouse,則由 ReadAll 項目權限管理存取權限,並向整個 lakehouse 授予 OneLake 資料存取權限。
為讀取資料,使用者首先需要存取該資料所在的 lakehouse。 若要授予 lakehouse 存取權限,可從工作區頁面或在 lakehouse UI 內選取 lakehouse 的 共用 按鈕。 輸入這些使用者的電子郵件地址或安全性群組,然後選取 共用。 (請勿勾選「其他權限」方塊。) 對於未啟用 OneLake 資料存取角色預覽版的 lakehouse,請勾選 讀取所有 OneLake 資料 (ReadAll) 方塊。
接下來,導航到 lakehouse,選取 管理 OneLake 資料存取(預覽版) 按鈕。 您可使用這些選項來建立角色,向使用者授予存取權限,以查看及讀取 lakehouse 特定資料夾。 依預設,不允許存取資料夾。 新增至角色的使用者將獲得該角色所涵蓋的資料夾存取權限。 如需詳細資訊,請參閱 OneLake 資料存取角色(預覽版)。根據需要建立角色,向使用者授予存取權限,以便透過管線、捷徑或 Spark 筆記本讀取資料夾。
重要
所有使用 OneLake 資料存取角色預覽版的 lakehouse 都具有 DefaultReader 角色,該角色會授予 lakehouse 資料存取權限。 若使用者具有 ReadAll 權限,則不受其他資料存取角色限制。 請確定包含在資料存取角色的任何使用者並未同時屬於 DefaultReader 角色,或者移除 DefaultReader 角色。
與捷徑搭配使用
捷徑是 OneLake 功能,可讓您從單一位置參考資料而無需複製實體資料。 如需捷徑的詳細資訊,請參閱此處的文件。
您可保護資料以便搭配捷徑一起使用,就像 OneLake 的任何其他資料夾一樣。 在設定資料存取角色之後,其他 lakehouse 的使用者僅能針對其可存取的資料夾建立捷徑。 這可用於限制其他工作區的使用者僅能存取 lakehouse 的選定資料。
重要
SQL 分析端點使用固定身分來存取捷徑。 當使用者透過 SQL 分析端點查詢捷徑資料表時,系統會檢查 lakehouse 擁有者的身分是否具捷徑存取權。 這表示在建立 SQL 查詢專用捷徑時,lakehouse 建立者也需要成為任何 OneLake 資料存取角色的一部分,這些角色會限制存取權限為僅限選定資料夾。