Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
OneLake — это иерархическое озеро данных, например Azure Data Lake Storage (ADLS) 2-го поколения или файловая система Windows. Вы можете установить параметры безопасности на каждом из уровней в озере данных. Однако некоторые уровни в иерархии получают специальное обращение, так как они коррелируют с понятиями Fabric. OneLake security управляет всем доступом к данным OneLake с разными разрешениями, унаследованными от родительского элемента или разрешений рабочей области.
Рабочая область: среда совместной работы для создания и управления элементами.
Элемент: набор возможностей, объединенных в один компонент. Элемент данных — это подтип элемента, который позволяет хранить данные в нем с помощью OneLake.
Папки: папки в элементе, который используется для хранения и управления данными.
Элементы всегда живут в рабочих областях и рабочих областях непосредственно в пространстве имен OneLake. Вы можете визуализировать эту структуру следующим образом:
Безопасность в OneLake
В этом разделе описывается модель безопасности на основе общих возможностей OneLake.
Разрешения рабочей области
Разрешения рабочей области позволяют определять доступ ко всем элементам в этой рабочей области. Существует четыре разные роли рабочей области, каждая из которых предоставляет различные типы доступа.
| Роль | Можно ли добавить администраторов? | Можно ли добавить участников? | Можно ли записывать данные и создавать элементы? | Может ли считывать данные? |
|---|---|---|---|---|
| Администрирование | Да | Да | Да | Да |
| Элемент | No | Да | Да | Да |
| Участник | Нет | Нет | Да | Да |
| Зритель | Нет | Нет | Нет | Да |
Примечание.
Элемент хранилища можно просматривать с ролями чтения и записи, но вы можете записывать только в хранилища с помощью запросов SQL.
Вы можете упростить управление ролями рабочей области Fabric, назначив их группам безопасности. Этот метод позволяет управлять доступом, добавляя или удаляя участников из группы безопасности.
Разрешения элемента
С помощью функции общего доступа можно предоставить пользователю прямой доступ к элементу. Пользователь может видеть только этот элемент в рабочей области и не состоит ни в одной из ролей рабочей области. Разрешения элемента предоставляют доступ для подключения к этому элементу и конечным точкам элементов, к которым пользователь может получить доступ.
| Разрешение | Просмотрите метаданные элемента? | Просмотр данных в SQL? | Просмотр данных в OneLake? |
|---|---|---|---|
| Читать | Да | Нет | Нет |
| ЧтениеДанных | Нет | Да | Нет |
| Читать всё | Нет | Нет | Да* |
*Неприменимо к элементам, для которых активированы роли доступа к данным OneLake (предварительная версия). Если предварительная версия включена, ReadAll предоставляет доступ только в том случае, если используется роль DefaultReader. Если роль DefaultReader редактируется или удаляется, доступ вместо этого предоставляется на основе ролей доступа к данным, в которые входит пользователь.
Другим способом настройки разрешений является страница управления разрешениями элемента. С помощью этой страницы можно добавить или удалить разрешение отдельного элемента для пользователей или групп. Тип элемента определяет, какие разрешения доступны.
Разрешения вычислений
Вы также можете предоставить доступ к данным через подсистему вычислений SQL в Microsoft Fabric. Доступ, предоставленный через SQL, применяется только к пользователям, обращаюющимся к данным через SQL, но эту безопасность можно использовать для предоставления более выборочного доступа определенным пользователям. В текущем состоянии SQL поддерживает ограничение доступа к определенным таблицам и схемам, а также безопасность на уровне строк и столбцов.
Пользователи могут видеть различные результаты при доступе к данным через SQL по сравнению с доступом к данным непосредственно в OneLake в зависимости от примененных разрешений вычислений. Чтобы предотвратить это несоответствие, убедитесь, что разрешения элемента пользователя настроены только для предоставления им доступа к конечной точке аналитики SQL (с помощью ReadData) или OneLake (с помощью ReadAll или ролей доступа к данным (предварительно)).
В следующем примере пользователь получает доступ только для чтения к lakehouse посредством совместного использования элементов. Пользователь получает разрешение SELECT на таблицу через конечную точку аналитики SQL. Когда этот пользователь пытается считывать данные через API OneLake, они отказано в доступе, так как у них нет достаточных разрешений. Пользователь может успешно прочитать запросы SQL SELECT.
Безопасность OneLake (предварительная версия)
Безопасность OneLake позволяет пользователям определять детализированную безопасность на основе ролей для данных, хранящихся в OneLake, и обеспечить безопасность согласованно во всех вычислительных модулях в Fabric.
Примечание.
Безопасность OneLake в настоящее время доступна в ограниченной предварительной версии. Чтобы запросить присоединение к предварительной версии и получить доступ к этим функциям, заполните форму по https://aka.ms/onelakesecuritypreview.
Безопасность OneLake заменяет существующую функцию доступа к данным OneLake (предварительная версия), выпущенную в апреле 2024 года.
Пользователи Fabric в ролях "Администратор", "Член" или "Участник" могут создавать роли безопасности OneLake, чтобы предоставить пользователям доступ к данным в одном элементе. Каждая роль имеет четыре компонента:
- Данные: таблицы или папки, к которым у пользователей есть доступ.
- #A1 Разрешения #B0: разрешения прав, которые пользователи имеют в отношении данных.
- Члены: пользователи, которые являются участниками роли.
- Ограничения: компоненты данных, которые исключены из доступа для роли, например, определенные строки или столбцы.
Пользователи, которые не являются частью роли, не могут видеть данные в этом лейкхаусе.
Дополнительные сведения о создании ролей безопасности OneLake для таблиц и папок, столбцов и строк.
Роли доступа к данным OneLake (предварительная версия)
Роли доступа к данным OneLake — это функция, которая позволяет применять управление доступом на основе ролей (RBAC) к данным, хранящимся в OneLake. Вы можете определить роли безопасности, предоставляющие доступ для чтения к определенным папкам в элементе Fabric, и назначать их пользователям или группам. Разрешения доступа определяют, какие папки пользователи видят при доступе к представлению озера данных через интерфейс UX Lakehouse, записные книжки или API OneLake.
Пользователи системы Fabric в ролях Администратора, Участника или Сотрудника могут начать разработку, создав роли доступа к данным OneLake для предоставления доступа только к определённым папкам в lakehouse. Чтобы предоставить доступ к данным в lakehouse, добавьте пользователей в роль доступа к данным. Пользователи, которые не являются частью роли доступа к данным, не видят никаких данных в этом лейкхаусе.
Узнайте больше о создании ролей доступа к данным в Начало работы с ролями доступа к данным.
Узнайте больше о модели безопасности ролей доступа модели управления доступом к данным.
Безопасность компьютерных ярлыков
Сочетания клавиш в Microsoft Fabric позволяют упростить управление данными. Безопасность папок OneLake применяется к ярлыкам OneLake, основанных на ролях, определенных в lakehouse, где данные хранятся.
Более подробную информацию о соображениях безопасности ярлыков см. в модели управления доступом OneLake.
Сведения о доступе и проверке подлинности для определенных ярлыков см. в разделе Ярлыки OneLake > Типы ярлыков.
Аутентификация
OneLake использует Microsoft Entra ID для проверки подлинности; его можно использовать для предоставления разрешений идентичностям пользователей и служебным принципалам. OneLake автоматически извлекает удостоверение пользователя из средств, которые используют проверку подлинности Microsoft Entra и сопоставляют его с разрешениями, заданными на портале Fabric.
Примечание.
Чтобы использовать субъекты-службы в клиенте Fabric, администратор клиента должен включить имена субъектов-служб для всего клиента или определенных групп безопасности. Узнайте больше о включении служебных принципалов в параметрах разработчика портала управления арендатором.
Журналы аудита
Чтобы просмотреть журналы аудита OneLake, следуйте инструкциям в разделе "Отслеживание действий пользователей в Microsoft Fabric". Имена операций OneLake соответствуют API ADLS, таким как CreateFile или DeleteFile. Журналы аудита OneLake не включают запросы на чтение или запросы, сделанные в OneLake с помощью рабочих нагрузок Fabric.
Шифрование и сеть
Данные в состоянии покоя
Данные, хранящиеся в OneLake, шифруются по умолчанию с помощью ключей, управляемых Корпорацией Майкрософт. Управляемые корпорацией Майкрософт ключи поворачиваются соответствующим образом. Данные в OneLake шифруются и расшифровываются прозрачно и совместимы с FIPS 140-2.
Шифрование неактивных данных с помощью ключей, управляемых клиентом, в настоящее время не поддерживается. Вы можете отправить запрос на эту функцию на сайте идей Microsoft Fabric.
Данные в транзитном режиме
Данные, передаваемые через общедоступный Интернет между службами Майкрософт, всегда шифруются по крайней мере TLS 1.2. Фреймворк переоговаривается на протокол TLS 1.3, когда это возможно. Трафик между службы Майкрософт всегда направляется по глобальной сети Майкрософт.
Входящий обмен данными OneLake также применяет протокол TLS 1.2 и согласовывает протокол TLS 1.3, когда это возможно. Исходящая связь Fabric с инфраструктурой, принадлежащей клиенту, предпочитает безопасные протоколы, но может вернуться к более старым, небезопасным протоколам (включая TLS 1.0), если новые протоколы не поддерживаются.
Частные ссылки
Чтобы настроить частные ссылки в Fabric, см. Настройка и использование частных ссылок.
Разрешить приложениям, работающим вне Структуры, получать доступ к данным через OneLake
OneLake позволяет ограничить доступ к данным из приложений, работающих за пределами сред Fabric. Администраторы могут найти параметр в разделе OneLake портала администрирования клиента.
При включении этого параметра пользователи могут получать доступ к данным через все источники. При отключении этого параметра пользователи не могут получать доступ к данным через приложения, работающие вне сред Fabric. Например, пользователи могут получать доступ к данным через приложения, используя API Azure Data Lake Storage (ADLS) или файловый проводник OneLake.