Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Защита исходящего доступа защищает данные путем ограничения исходящих запросов OneLake, выполненных с помощью сочетаний клавиш и операций копирования.
Что такое защита исходящего доступа?
Защита исходящего доступа помогает обеспечить безопасный доступ к данным в пределах периметра безопасности сети. Например, решения защиты от кражи данных используют средства управления защитой от исходящего доступа, чтобы ограничить способность злоумышленника перемещать большие объемы данных в ненадежное внешнее расположение. Средства защиты исходящего трафика ограничивают только те запросы, которые исходят из рабочей области и взаимодействуют с другой рабочей областью или другим расположением. Комплексное решение для обеспечения безопасности сети также включает в себя защиту входящего трафика через частные каналы, в сочетании с элементами управления доступом к данным, чтобы ограничить доступ к данным.
Дополнительные сведения об управлении защитой исходящего доступа см. в статье "Защита исходящего доступа рабочей области".
Когда OneLake выполняет исходящие запросы?
Существует два сценария, в которых OneLake выполняет исходящий запрос: ярлыки и операции копирования. Исходящий запрос определяется как любой запрос, сделанный из рабочей области в сторону расположения за пределами рабочей области. Имеет значение только направленность вызова: как чтение, так и запись во внешние ресурсы могут привести к утечке конфиденциальной информации в ненадёжные местоположения.
Сочетания клавиш
Ярлыки — это объекты в OneLake, ссылающиеся на другие места хранения, которые могут находиться как внутри, так и вне OneLake. Путь, на который указывает ярлык, называется целевым путём, а путь, по которому находится ярлык, — путём ярлыка. Если целевой объект ярлыка является другой рабочей областью или внешним расположением хранилища, чем путь к ярлыку, это исходящий ярлык и подвержен защите исходящего доступа.
Защита исходящего доступа не ограничивает ярлыки, у которых источник и целевой объект находятся в одной рабочей области, так как все вызовы OneLake остаются в пределах рабочей области.
Копирование данных в OneLake
При копировании данных между двумя рабочими областями OneLake с помощью API копирования службы хранилища Azure OneLake выполняет исходящий вызов из исходной рабочей области в целевую рабочую область. Если в исходной рабочей области включена защита исходящего доступа, этот исходящий вызов блокируется, а операция копирования завершается ошибкой. Чтобы разрешить перемещение данных, необходимо разрешить исходящие запросы из исходной рабочей области в целевую рабочую область через список разрешений соединителя или управляемую частную конечную точку.
Следующая операция копирования из рабочей области A в рабочую область B блокируется при включенной защите исходящего доступа, если вы не утвердите исходящие запросы из рабочей области A в рабочую область B. Как напоминание, операции AzCopy всегда следуют формату azcopy copy <source> <destination>.
Синтаксис
azcopy copy "https://onelake.dfs.fabric.microsoft.com/WorkspaceA/LakehouseA.Lakehouse/Files/sales.csv" "https://onelake.dfs.fabric.microsoft.com/WorkspaceB/LakehouseB.Lakehouse/Files/sales.csv" --trusted-microsoft-suffixes "fabric.microsoft.com"
Защита исходящего доступа не блокирует операции копирования, которые перемещают данные в рабочей области.
Копирование данных между службой хранилища Azure и OneLake
При копировании данных между службой хранилища Azure и OneLake направление исходящих запросов будет отменено. Целевая учетная запись выполняет исходящий вызов исходной учетной записи. Это поведение применяется к операциям копирования, выполняемым непосредственно с помощью API служба хранилища Azure Copy Blob from URL и Put Block from URL. Это также относится к управляемым сценариям копирования с использованием AzCopy и Обозреватель службы хранилища Azure. Защита исходящего доступа ограничивает этот исходящий вызов из назначения в источник. Однако это означает, что защита исходящего доступа не ограничивает рабочую область источником операции копирования, так как исходящий вызов не выполняется из исходной рабочей области.
Например, следующий пример с AzCopy перемещает данные из исходной учетной записи служба хранилища Azure "source" в целевое озеро данных в OneLake. Если рабочая область A включена внешняя защита от исходящего трафика, то исходящий вызов из рабочей области A во внешнюю учетную запись хранения Azure блокируется, а данные не загружаются, если только внешняя учетная запись хранения Azure не разрешена через список разрешений.
Синтаксис
azcopy copy "https://source.blob.core.windows.net/myContainer/sales.csv" "https://onelake.dfs.fabric.microsoft.com/WorkspaceA/LakehouseA.Lakehouse/Files/sales.csv" --trusted-microsoft-suffixes "fabric.microsoft.com"
Однако в следующем сценарии рабочая область A теперь является источником операции копирования с внешней учетной записью хранения Azure в качестве назначения. В этом сценарии защита исходящего доступа не блокирует этот вызов, так как только входящий вызов выполняется в рабочую область A. Сведения об ограничении этих типов операций см. в разделе "Защита входящего трафика".
Синтаксис
azcopy copy "https://onelake.dfs.fabric.microsoft.com/WorkspaceA/LakehouseA.Lakehouse/Files/sales.csv" "https://source.blob.core.windows.net/myContainer/sales.csv" --trusted-microsoft-suffixes "fabric.microsoft.com"
Разрешение запросов к рабочим пространствам Fabric.
Вы можете разрешить рабочей области Fabric отправлять исходящие запросы в другую рабочую область Fabric, создавая правило подключения к данным через соединитель Lakehouse или создавая управляемую частную конечную точку. Если вы включаете целевую рабочую область в белый список или у вас имеется одобренная управляемая частная конечная точка, исходящие запросы разрешены из исходной рабочей области в целевую рабочую область даже при ограниченном исходящем доступе.
Например, создание правила подключения к данным из рабочей области A в рабочую область B позволяет пользователям читать данные в рабочей области B с помощью ярлыка или копировать данные из рабочей области B в рабочую область A с помощью AzCopy.
Разрешение запросов к внешним ресурсам
Вы можете создавать и использовать сочетания клавиш для внешних расположений, даже если защита исходящего доступа включена, создав правило подключения к данным с помощью соответствующего соединителя для целевого объекта ярлыка. Если вы разрешаете выводить список целевого расположения, можно создавать ярлыки и считывать данные с помощью сочетаний клавиш из этого расположения, даже если включена защита исходящего доступа.
Вы также можете скопировать данные из внешней учетной записи хранения Azure, если включена защита исходящего доступа, создав правило подключения к данным для этой учетной записи хранения. Помните, что OneLake выполняет исходящий запрос к учетной записи хранения Azure, когда это источник операции копирования. Служба хранилища Azure поддерживает как конечные точки BLOB-объектов, так и конечные точки DFS, поэтому обязательно используйте правильный соединитель для конечной точки. Если вы включены в список разрешённых при использовании коннектора Azure Data Lake Storage, обязательно используйте конечную точку .dfs в своей команде AzCopy, а конечную точку .blob используйте, если вы включены в список разрешённых через коннектор Хранилище BLOB-объектов Azure.