Zabezpečení dat pomocí prostředků infrastruktury, výpočetních modulů a OneLake
Fabric nabízí vícevrstvý model zabezpečení pro správu přístupu k datům. Zabezpečení lze nastavit pro celý pracovní prostor, pro jednotlivé položky nebo prostřednictvím podrobných oprávnění v jednotlivých modulech Infrastruktury. OneLake má vlastní aspekty zabezpečení, které jsou popsané v tomto dokumentu.
Role přístupu k datům OneLake (Preview)
Role přístupu k datům OneLake (Preview) umožňují uživatelům vytvářet vlastní role v rámci jezera a udělit oprávnění ke čtení jenom určeným složkám při přístupu k OneLake. Pro každou roli OneLake můžou uživatelé přiřazovat uživatele, skupiny zabezpečení nebo udělovat automatické přiřazení na základě role pracovního prostoru.
Přečtěte si další informace o modelu řízení přístupu k datům OneLake a začínáme s přístupem k datům .
Zabezpečení zástupce
Klávesové zkratky v Microsoft Fabric umožňují zjednodušenou správu dat. Zabezpečení složky OneLake se vztahuje na zástupce OneLake na základě rolí definovaných v jezeře, kde jsou data uložena.
Další informace o aspektech zabezpečení klávesových zkratek najdete v tématu Model řízení přístupu OneLake. Další informace o klávesových zkratkách najdete tady..
Ověřování
OneLake používá k ověřování ID Microsoft Entra; Můžete ho použít k udělení oprávnění identitám uživatelů a instančním objektům. OneLake automaticky extrahuje identitu uživatele z nástrojů, které používají ověřování Microsoft Entra, a mapuje ji na oprávnění, která jste nastavili na portálu Fabric.
Poznámka:
Pokud chcete používat instanční objekty v tenantovi Fabric, musí správce tenanta povolit hlavní názvy služeb (SPN) pro celého tenanta nebo pro konkrétní skupiny zabezpečení. Další informace o povolení instančních objektů v nastavení pro vývojáře na portálu pro správu tenanta
Protokoly auditu
Pokud chcete zobrazit protokoly auditu OneLake, postupujte podle pokynů v tématu Sledování aktivit uživatelů v Microsoft Fabric. Názvy operací OneLake odpovídají rozhraním API ADLS, jako jsou CreateFile nebo DeleteFile. Protokoly auditu OneLake nezahrnují požadavky na čtení ani požadavky provedené na OneLake prostřednictvím úloh Fabric.
Šifrování a sítě
Neaktivní uložená data
Neaktivní uložená data se ve výchozím nastavení šifrují pomocí klíče spravovaného Microsoftem. Klíče spravované Microsoftem se odpovídajícím způsobem obměňují. Data v OneLake se šifrují a dešifrují transparentně a jsou kompatibilní se standardem FIPS 140-2.
Šifrování neaktivních uložených dat pomocí klíče spravovaného zákazníkem se v současné době nepodporuje. Žádost o tuto funkci můžete odeslat na webu Microsoft Fabric Ideas.
Přenášená data
Data přenášená přes veřejný internet mezi služby Microsoft se vždy šifrují minimálně protokolem TLS 1.2. Prostředky infrastruktury vyjednávají protokol TLS 1.3, kdykoli je to možné. Provoz mezi služby Microsoft vždy směruje přes globální síť Microsoftu.
Příchozí komunikace OneLake také vynucuje protokol TLS 1.2 a vyjednává s protokolem TLS 1.3, kdykoli je to možné. Odchozí komunikace infrastruktury infrastruktury ve vlastnictví zákazníka preferuje zabezpečené protokoly, ale může se vrátit ke starším nezabezpečeným protokolům (včetně protokolu TLS 1.0), pokud novější protokoly nejsou podporované.
Privátní propojení
Informace o konfiguraci privátních propojení v prostředcích infrastruktury najdete v tématu Nastavení a použití privátních propojení.
Povolit aplikacím spuštěným mimo fabric přístup k datům přes OneLake
OneLake umožňuje omezit přístup k datům z aplikací spuštěných mimo prostředí Fabric. Správci můžou nastavení najít v části OneLake na portálu pro správu tenanta. Když tento přepínač zapnete, budou mít uživatelé přístup k datům prostřednictvím všech zdrojů. Když přepínač vypnete, uživatelé nebudou mít přístup k datům prostřednictvím aplikací spuštěných mimo prostředí Fabric. Uživatelé můžou například přistupovat k datům prostřednictvím aplikací pomocí rozhraní API služby Azure Data Lake Storage (ADLS) nebo Průzkumníka souborů OneLake.