Co je sdílený přístupový podpis OneLake (SAS)? (Preview)
Sdílený přístupový podpis OneLake (SAS) poskytuje zabezpečený, krátkodobý a delegovaný přístup k prostředkům ve vašem OneLake. S OneLake SAS máte podrobnou kontrolu nad tím, jak může klient přistupovat k vašim datům. Příklad:
- K jakým prostředkům má klient přístup.
- Jaká oprávnění mají k prostředkům.
- Jak dlouho je SAS platný.
Každý SAS (a klíč delegování uživatele) OneLake je vždy podporován identitou Microsoft Entra, má maximální životnost 1 hodinu a může udělit přístup pouze ke složkám a souborům v datové položce, jako je lakehouse.
Důležité
Tato funkce je ve verzi Preview.
Jak funguje sdílený přístupový podpis
Sdílený přístupový podpis je token připojený k identifikátoru URI prostředku OneLake. Token obsahuje speciální sadu parametrů dotazu, které označují, jak má klient přístup k prostředku. Jedním z parametrů dotazu je podpis. Vytvoří se z parametrů SAS a je podepsaný klíčem, který se použil k vytvoření sdíleného přístupového podpisu. OneLake tento podpis používá k autorizaci přístupu ke složce nebo souboru ve OneLake. OneLake SAS používají stejný formát a vlastnosti jako sas delegovaný uživatelem služby Azure Storage, ale s většími omezeními zabezpečení týkajícími se jejich životnosti a rozsahu.
Přístupový podpis OneLake SAS je podepsaný klíčem pro delegování uživatele (UDK), který je zajištěný přihlašovacími údaji Microsoft Entra. Klíč delegování uživatele můžete požádat pomocí operace Získat klíč delegování uživatele. Pak tento klíč (i když je stále platný) použijete k sestavení SAS OneLake. Oprávnění tohoto účtu Microsoft Entra spolu s oprávněními explicitně udělenými SAS určují přístup klienta k prostředku.
Autorizace SAS OneLake
Když klient nebo aplikace přistupuje k OneLake pomocí SAS OneLake, žádost se autorizuje pomocí přihlašovacích údajů Microsoft Entra, které požadovaly sadu UDK použitou k vytvoření SAS. Proto všechna oprávnění OneLake udělená této identitě Microsoft Entra platí pro SAS, což znamená, že sas nemůže nikdy překročit oprávnění uživatele, který ho vytváří. Kromě toho při vytváření sdíleného přístupového podpisu explicitně udělujete oprávnění, která vám umožní poskytnout ještě více vymezeným oprávněním sas. Mezi identitou Microsoft Entra, explicitně udělenými oprávněními a krátkou životností se OneLake řídí osvědčenými postupy zabezpečení pro poskytování delegovaného přístupu k vašim datům.
Kdy použít SAS OneLake
OneLake SASs deleguje zabezpečený a dočasný přístup k OneLake založené na identitě Microsoft Entra. Aplikace bez nativní podpory Microsoft Entra můžou pomocí SAS OneLake získat dočasný přístup k načtení dat bez složitého nastavení a integrace práce.
OneLake SAS také podporuje aplikace, které slouží jako proxy servery mezi uživateli a jejich daty. Například někteří nezávislí dodavatelé softwaru (ISV) běží mezi uživateli a jejich pracovním prostorem Fabric, poskytují další funkce a případně jiný model ověřování. Delegováním přístupu pomocí SAS OneLake můžou tito nezávislí výrobci softwaru spravovat přístup k podkladovým datům a poskytovat přímý přístup k datům, i když jejich uživatelé nemají identity Microsoft Entra.
Správa ONELake SAS
Dvě nastavení ve vašem tenantovi Fabric spravují použití onelake SAS. Prvním je nastavení na úrovni tenanta, použití krátkodobých tokenů SAS delegovaných uživatelem, které spravuje generování klíčů delegování uživatelů. Protože se klíče delegování uživatelů generují na úrovni tenanta, řídí se nastavením tenanta. Toto nastavení je ve výchozím nastavení zapnuté, protože tyto klíče delegování uživatelů mají ekvivalentní oprávnění k identitě Microsoft Entra, která je požaduje, a jsou vždy krátkodobé.
Poznámka:
Vypnutím této funkce zabráníte všem pracovním prostorům v používání onelakeových SAS, protože všichni uživatelé nebudou moct generovat klíče delegování uživatele.
Druhé nastavení je nastavení delegovaného pracovního prostoru, ověřování pomocí tokenů SAS delegovaných uživatelem OneLake, které řídí, jestli pracovní prostor přijímá SAS OneLake. Toto nastavení je ve výchozím nastavení vypnuté a může ho zapnout správce pracovního prostoru, který chce ve svém pracovním prostoru povolit ověřování pomocí SAS OneLake. Správce tenanta může toto nastavení zapnout pro všechny pracovní prostory prostřednictvím nastavení tenanta nebo ho nechat správci pracovního prostoru, aby ho zapnuli.
Můžete také monitorovat vytváření klíčů delegování uživatelů prostřednictvím Portál dodržování předpisů Microsoft Purview. Pokud chcete zobrazit všechny klíče vygenerované ve vašem tenantovi, můžete vyhledat název operace generateonelakeudk . Vzhledem k tomu, že vytvoření SAS je operace na straně klienta, nemůžete monitorovat ani omezovat vytváření SAS OneLake, pouze generování UDK.
Osvědčené postupy s OneLake SAS
- K vytvoření nebo distribuci sdíleného přístupového podpisu (SAS) vždy používejte protokol HTTPS, který chrání před útoky man-in-the-middle, které hledají zachycení SAS.
- Sledujte dobu vypršení platnosti tokenu, klíče a tokenu SAS. Klíče delegování uživatele OneLake a SAS mají maximální životnost 1 hodinu. Pokus o vyžádání sady UDK nebo sestavení sdíleného přístupového podpisu s životností delší než 1 hodinu způsobí selhání požadavku. Aby se zabránilo použití SAS k prodloužení životnosti tokenů OAuth, doba platnosti tokenu musí být delší než doba vypršení platnosti klíče delegování uživatele a SAS.
- Buďte opatrní při počátečním čase sdíleného přístupového podpisu. Nastavení času spuštění sas jako aktuálního času může způsobit selhání za několik prvních minut kvůli různým časům spuštění mezi počítači (nerovnoměrná distribuce hodin). Nastavení počátečního času na několik minut v minulosti pomáhá chránit před těmito chybami.
- Udělte sasu nejnižší možná oprávnění. Poskytnutí minimálních požadovaných oprávnění nejmenším možným prostředkům je osvědčeným postupem zabezpečení a sníží dopad v případě ohrožení sdíleného přístupového podpisu.
- Monitorujte generování klíčů delegování uživatelů. V Portál dodržování předpisů Microsoft Purview můžete auditovat vytváření klíčů delegování uživatelů. Vyhledejte název operace generateonelakeudk a zobrazte klíče vygenerované ve vašem tenantovi.
- Seznamte se s omezeními služby OneLake SAS. Protože služby OneLake SAS nemůžou mít oprávnění na úrovni pracovního prostoru, nejsou kompatibilní s některými nástroji azure Storage, které očekávají, že oprávnění na úrovni kontejneru procházejí data, jako je Průzkumník služby Azure Storage.