Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этой статье описаны рекомендации по защите данных в OneLake, включая рекомендации по архитектуре.
Минимальные привилегии
Наименее привилегированный доступ является основным принципом безопасности в компьютерной науке, который выступает за ограничение разрешений пользователей и прав доступа только к этим разрешениям, необходимым для выполнения своих задач. Для OneLake доступ с наименьших привилегий означает назначение разрешений на соответствующем уровне для снижения риска и обеспечения того, чтобы пользователи не получили чрезмерно много разрешений.
Если пользователям требуется доступ только к одному lakehouse или элементу данных, используйте функцию "Поделиться для предоставления им доступа только к этому элементу. Только назначьте пользователя на роль в рабочей области, если этот пользователь должен видеть все элементы в этой рабочей области.
Используйте безопасность OneLake, чтобы ограничить доступ к папкам и таблицам в лейкхаусе. Для конфиденциальных данных безопасность OneLake на уровне строк или столбцов гарантирует, что защищенные строки и столбцы остаются скрытыми.
Для записи данных в OneLake существует два варианта разрешений: роли рабочей области или разрешение OneLake security ReadWrite. Пользователи с ролями рабочей области "Администратор", "Член" или "Участник" могут записывать данные в OneLake. Для зрителей или пользователей с разрешениями только на чтение элемента можно предоставить подробные разрешения OneLake Security ReadWrite на определенные папки и таблицы. Эти разрешения можно использовать с помощью записных книжек Spark, проводника OneLake и API OneLake. В настоящее время операции записи через пользовательский интерфейс Lakehouse не поддерживаются для пользователей с правами просмотра.
Если пользователям необходимо управлять доступом к данным, таким как общий доступ к элементу или настройка ролей безопасности OneLake, требуются роли администратора или участника группы.
Пользователям требуется разрешение SubscribeOneLakeEvents для подписки на события из элемента Fabric. Роли администратора, члена и сотрудника имеют это разрешение по умолчанию. Это разрешение можно добавить для пользователя с ролью зрителя.
Рекомендуемая архитектура
Основной шаблон
Этот шаблон является рекомендуемой базовой архитектурой для реализации безопасности OneLake в масштабе. В некоторых сценариях могут потребоваться альтернативные подходы из-за текущих ограничений безопасности сети. Этот шаблон соответствует долгосрочному направлению безопасности OneLake, поскольку эти ограничения устраняются.
Основным принципом является централизация владения данными и обеспечения безопасности в основной рабочей области. Управляйте данными и защищайте их в источнике данных, а затем делитесь ими с последующими рабочими областями с помощью ярлыков в OneLake. Этот подход гарантирует, что политики безопасности OneLake постоянно применяются независимо от того, где пользователи используют данные.
Создайте основную рабочую область (рабочая область А):
- Создайте основную рабочую область (рабочая область A), которая содержит базу данных типа lakehouse или зеркальную базу данных, а также любые другие элементы исходных данных.
- Включите безопасность OneLake в хранилище данных lakehouse и определите необходимые политики для уровня объектов и тонкой настройки (RLS/CLS).
- Предоставьте пользователям доступ уровня Viewer к рабочему пространству и добавьте их в определенные роли безопасности OneLake.
- Настройте все конечные точки аналитики SQL в рабочей области A на работу под идентичностью пользователя, чтобы политики безопасности OneLake оценивались для каждого пользователя.
Создание подчиненных рабочих областей:
- Создайте подчиненные рабочие области для поддержки использования данных, дополнительных рабочих нагрузок или вариантов использования для конкретного домена.
- В нижестоящих озерах создавайте ярлыки, которые указывают на данные в рабочей области A. Политики безопасности OneLake, определенные в источнике, автоматически применяются, чтобы пользователи имели доступ только к данным, которые они имеют право на просмотр.
- Убедитесь, что конечные точки аналитики SQL в подчиненных рабочих областях настроены для использования режима идентификации пользователя. Рекомендуется также создавать зависимые рабочие области и хранилища данных, используя того же владельца, что и рабочая область A, чтобы получить наиболее согласованный опыт. Эта настройка дает владельцу данных возможность принудительно применять режим идентификации пользователя.