Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
OneLake — это иерархическое озеро данных, например Azure Data Lake Storage (ADLS) 2-го поколения или файловая система Windows. Безопасность в OneLake применяется как на уровне управления, так и в плоскости данных:
- Разрешения плоскости управления. Управление действиями, которые пользователи могут выполнять в среде, например создание, управление и совместное использование элементов. Разрешения уровня управления часто предоставляют разрешения уровня данных по умолчанию.
- Разрешения плоскости данных. Управление доступом или просмотром пользователей данных независимо от их способности управлять ресурсами.
Вы можете задать безопасность на каждом уровне в озере данных. Однако некоторые уровни в иерархии получают особое внимание, так как они связаны с концепциями Fabric. Безопасность OneLake управляет всем доступом к данным OneLake с разрешениями, унаследованными от родительского элемента или рабочей области. Разрешения можно задать на следующих уровнях:
Рабочая область: среда совместной работы для создания и управления элементами. Вы управляете безопасностью с помощью ролей рабочей области на этом уровне.
Элемент: набор возможностей, объединенных в один компонент. Элемент данных — это подтип элемента, который позволяет хранить данные в нём с использованием OneLake, например, таких как lakehouse, хранилище или база данных SQL. Элементы наследуют разрешения от ролей рабочего пространства, но при этом могут иметь и дополнительные разрешения.
Папки: папки используются в элементе для хранения и управления данными, такими как таблицы или файлы/.
Элементы всегда живут в рабочих областях, а рабочие области всегда живут непосредственно в пространстве имен OneLake. Вы можете визуализировать эту структуру следующим образом:
Разрешения в OneLake
В этом разделе описывается, как разрешения в OneLake управляют доступом на уровне рабочей области и элементов.
Разрешения рабочей области
Разрешения рабочей области определяют действия, которые пользователи могут принимать в рабочей области и его элементах. Управление этими разрешениями на уровне рабочей области. Эти разрешения в основном являются разрешениями уровня управления. Они определяют возможности администрирования и управления элементами, а не прямой доступ к данным. Однако элементы и папки обычно наследуют разрешения рабочей области для предоставления доступа к данным по умолчанию. Разрешения рабочей области определяют доступ ко всем элементам в этой рабочей области.
Четыре разные роли рабочей области предоставляют различные типы доступа. В следующей таблице перечислено поведение каждой роли в рабочей области по умолчанию.
| Роль | Можно ли добавить администраторов? | Можно ли добавить участников? | Можно ли редактировать безопасность OneLake? | Можно ли записывать данные и создавать элементы? | Может ли читать данные в OneLake? | Можно обновить и удалить рабочую область? |
|---|---|---|---|---|---|---|
| Администрирование | Да | Да | Да | Да | Да | Да |
| Член | Нет | Да | Да | Да | Да | Нет |
| Участник | Нет | Нет | Нет | Да | Да | Нет |
| Зритель | Нет | Нет | Нет | Нет | Нет* | Нет |
* Вы можете предоставить наблюдателям доступ к данным посредством ролей безопасности OneLake.
Узнайте больше о ролях в рабочих областях Microsoft Fabric.
Упростите управление ролями рабочей области Fabric, назначая их группам безопасности. Этот метод позволяет управлять доступом, добавляя или удаляя участников из группы безопасности.
Разрешения элемента
С помощью функции общего доступа можно предоставить пользователю прямой доступ к элементу. Пользователь может видеть только этот элемент в рабочей области и не состоит ни в одной из ролей рабочей области. Разрешения элемента предоставляют доступ для подключения к этому элементу и любой из конечных точек, к которым пользователь может получить доступ.
| Разрешение | Просмотрите метаданные элемента? | Просмотр данных в SQL? | Видите данные в OneLake? |
|---|---|---|---|
| Читать | Да | Нет | Нет |
| ЧтениеДанных | Нет | Да | Нет |
| Читать всё | Нет | Нет | Да* |
* Неприменимо к элементам с включенной безопасностью OneLake . Если включена безопасность OneLake, ReadAll предоставляет доступ только в том случае, если используется роль DefaultReader. Если роль DefaultReader редактируется или удаляется, доступ вместо этого предоставляется на основе ролей доступа к данным, в которые входит пользователь.
Другим способом настройки разрешений является страница управления разрешениями элемента. С помощью этой страницы можно добавить или удалить разрешение отдельного элемента для пользователей или групп. Тип элемента определяет, какие разрешения доступны.
Безопасность OneLake (предварительная версия)
Безопасность OneLake позволяет определить детализированную безопасность на основе ролей для данных, хранящихся в OneLake, и обеспечить эту безопасность согласованно во всех вычислительных модулях в Fabric. Безопасность OneLake — это модель безопасности плоскости данных для данных в OneLake.
Пользователи Fabric в ролях администратора или члена могут создавать роли безопасности OneLake, чтобы предоставить пользователям доступ к данным в элементе. Каждая роль имеет четыре компонента:
- Данные: таблицы или папки, к которым у пользователей есть доступ.
- Разрешение: разрешения, которые пользователи имеют в данных.
- Члены: пользователи, которые являются участниками роли.
- Ограничения: компоненты данных, которые исключены из доступа для роли, например, определенные строки или столбцы.
Роли безопасности OneLake предоставляют доступ к данным пользователям, которые находятся в роли наблюдателя рабочей области или имеют разрешение на чтение элемента. Администраторы, члены и участники не зависят от ролей безопасности OneLake и могут читать и записывать все данные в элементе, независимо от их членства в роли. Роль DefaultReader существует во всех озерах и предоставляет любому пользователю разрешение ReadAll на доступ к данным в lakehouse. Вы можете удалить или изменить роль DefaultReader, чтобы удалить этот доступ.
Дополнительные сведения о создании ролей безопасности OneLake для таблиц и папок, столбцов и строк.
Дополнительные сведения о модели управления доступом для безопасности OneLake.
Авторизованные движки и исполнение третьими сторонами
Безопасность OneLake поддерживает меры принудительного обеспечения, осуществляемые авторизованными сторонними движками, с помощью модели авторизованного двигателя. Внешние поисковые движки могут регистрироваться в качестве авторизованных движков, получать определения политик безопасности и предварительно вычисленный эффективный доступ через API OneLake, а также внедрять разрешения таблиц, RLS и CLS во время выполнения запроса. OneLake остается одним источником истины для политик безопасности, и политики создаются один раз и постоянно применяются в подсистемах Fabric и авторизованных внешних подсистем.
Дополнительные сведения см. в обзоре интеграции безопасности OneLake.
Разрешения вычислений
Разрешения вычислений — это тип разрешения плоскости данных, которое применяется к определенному обработчику запросов в Microsoft Fabric. Доступ, предоставленный, применяется только к запросам, выполняемым с этим механизмом, например конечной точкой SQL или семантической моделью Power BI. В зависимости от разрешений вычислений пользователи могут видеть различные результаты при доступе к данным через подсистему вычислений по сравнению с доступом к данным непосредственно в OneLake.
Используйте безопасность OneLake для защиты данных в OneLake, а не разрешений вычислений. Безопасность OneLake обеспечивает согласованные результаты в подсистемах Fabric и любых авторизованных сторонних движках, которые интегрируются с API безопасности OneLake.
Вычислительные подсистемы могут иметь более сложные функции безопасности, недоступные в безопасности OneLake. В этом случае для некоторых сценариев может потребоваться использование разрешений вычислений. При использовании разрешений вычислений для защиты доступа к данным убедитесь, что конечные пользователи получают доступ только к подсистеме вычислений, в которой задана безопасность. Эта рекомендация запрещает доступ к данным с помощью другого механизма без необходимых функций безопасности.
Безопасность компьютерных ярлыков
Сочетания клавиш в Microsoft Fabric упрощают управление данными. Безопасность папок OneLake применяется к ярлыкам OneLake, основанных на ролях, определенных в lakehouse, где данные хранятся.
Дополнительные сведения о сочетаниях клавиш для обеспечения безопасности см. в разделе "Ярлыки модели > управления доступом в OneLake".
Сведения о доступе и проверке подлинности для определенных сочетаний клавиш см. в типах сочетаний клавиш OneLake.
Аутентификация
OneLake использует идентификатор Microsoft Entra для проверки подлинности. Используйте его для предоставления разрешений удостоверениям пользователей и субъектам-службам. OneLake автоматически извлекает удостоверение пользователя из средств, использующих проверку подлинности Microsoft Entra, и сопоставляет его с разрешениями, заданными на портале Fabric.
Примечание.
Чтобы использовать субъекты-службы в клиенте Fabric, администратор клиента должен включить имена субъектов-служб для всего клиента или определенных групп безопасности. Узнайте больше о включении служебных принципалов в параметрах разработчика портала управления арендатором.
Журналы аудита
Чтобы просмотреть журналы аудита OneLake, следуйте инструкциям в разделе "Отслеживание действий пользователей в Microsoft Fabric". Имена операций OneLake соответствуют API ADLS, таким как CreateFile или DeleteFile. Журналы аудита OneLake не включают запросы на чтение или запросы, сделанные в OneLake с помощью рабочих нагрузок Fabric.
Шифрование и сеть
Данные в состоянии покоя
Данные, хранящиеся в OneLake, шифруются по умолчанию с помощью ключей, управляемых Корпорацией Майкрософт. Управляемые корпорацией Майкрософт ключи поворачиваются соответствующим образом. OneLake шифрует и расшифровывает данные прозрачно и соответствует FIPS 140-2.
Можно использовать шифрование данных в состоянии покоя, управляемое ключами клиента, чтобы добавить еще один уровень защиты, с использованием ключей, которыми вы владеете и управляете. Дополнительные сведения см. в разделе "Ключи, управляемые клиентом" для рабочих областей Fabric.
Данные в транзитном режиме
Данные, передаваемые через общедоступный Интернет между службами Майкрософт, всегда шифруются с помощью по крайней мере TLS 1.2. Фреймворк переоговаривается на протокол TLS 1.3, когда это возможно. Трафик между службы Майкрософт всегда направляется по глобальной сети Майкрософт.
Входящий обмен данными OneLake также применяет протокол TLS 1.2 и согласовывает протокол TLS 1.3, когда это возможно. Исходящая связь Fabric с инфраструктурой, принадлежащей клиенту, предпочитает безопасные протоколы, но может вернуться к более старым, небезопасным протоколам (включая TLS 1.0), если новые протоколы не поддерживаются.
Частные ссылки
Чтобы настроить частные ссылки в Fabric, см. Настройка и использование частных ссылок.
Разрешить приложениям, работающим вне Структуры, получать доступ к данным через OneLake
Вы можете разрешить или ограничить доступ к данным OneLake из приложений, которые находятся вне среды Fabric. Администраторы могут найти этот параметр в разделе OneLake параметров клиента портала администрирования.
При включении этого параметра пользователи могут получать доступ к данным из всех источников. Например, включите этот параметр, если у вас есть пользовательские приложения, использующие API Azure Data Lake Storage (ADLS) или файловый проводник OneLake. При отключении этого параметра пользователи по-прежнему могут получать доступ к данным из внутренних приложений, таких как Spark, Data Engineering и Data Warehouse, но не могут получить доступ к данным из приложений, работающих вне сред Fabric.