Zabezpečení dat pro běžné architektury dat
Tento článek obsahuje přehled konfigurace zabezpečení dat OneLake pro datovou síť i hvězdicovou architekturu.
Funkce zabezpečení
Microsoft Fabric používá vícevrstvý model zabezpečení s různými ovládacími prvky dostupnými na různých úrovních, aby poskytoval pouze minimální potřebná oprávnění. Další informace o různýchtypech
Zabezpečení pro datovou síť
Datová síť je architektonické paradigma, které zpracovává data jako produkt, nikoli jako službu nebo prostředek. Datová síť má za cíl decentralizované vlastnictví a řízení dat napříč různými doménami a týmy a zároveň umožnit interoperabilitu a zjistitelnost prostřednictvím společné platformy. V architektuře datových sítí spravuje každý decentralizovaný tým vlastnictví dat, která jsou součástí jejich datového produktu. Pokyny k zabezpečení uvedené v této části se zaměřují na jeden datový produktový tým, který konfiguruje přístup pro svůj pracovní prostor. Tyto kroky se mají opakovat u každého datového produktového týmu ve vlastním pracovním prostoru, protože umožňují přístup pro podřízené uživatele.
Pokud chcete začít vytvářet datovou síť, použijte funkci domény Microsoft Fabric k označování pracovních prostorů podle přidružených datových produktů a vlastnictví.
V rámci domén má každý tým svůj vlastní pracovní prostor nebo pracovní prostory. Pracovní prostor ukládá data potřebná k vytvoření konečných datových produktů pro spotřebu. Udělte uživatelům přístup k pracovnímu prostoru pomocí rolí pracovního prostoru.
Identifikujte podřízené uživatele vašich datových produktů a udělte přístup podle minimálních oprávnění potřebných k dosažení jejich cílů. Aby uživatelé zůstali v souladu s jejich cílovými prostředími, může být každému typu podřízeného uživatele udělen přístup k jedné datové položce infrastruktury. Následující tabulka uvádí některé běžné případy použití pro uživatele datové sítě a relevantní položky infrastruktury.
| Uživatelská | Položky infrastruktury |
|---|---|
| Datoví vědci | Poznámkové bloky Apache Sparku nebo jezero |
| Datoví inženýři | Poznámkové bloky, toky dat nebo kanály Apache Sparku |
| Obchodní analytici | Koncový bod analýzy SQL |
| Tvůrci sestav | Sémantické modely |
| Uživatelé sestav | Sestavy Power BI |
Zabezpečení pro hvězdicovou hvězdicovou architekturu
Hvězdicová architektura se liší od datové sítě tím, že mají všechny certifikované datové produkty spravované v jediném centrálně vlastněné lokalitě. Podřízení spotřebitelé se méně zaměřují na vytváření dalších datových produktů a místo toho provádějí analýzu dat vytvořených centrálním týmem.
Identifikujte podřízené uživatele a udělte přístup podle minimálních oprávnění potřebných k dosažení svých cílů. Aby uživatelé zůstali v souladu s jejich cílovými prostředími, může být každému typu podřízeného uživatele udělen přístup k jedné datové položce infrastruktury. Tabulka osob uživatelů zobrazuje některé běžné případy použití centra a paprsku spolu s příslušnými položkami infrastruktury.
| Uživatelská | Položky infrastruktury |
|---|---|
| Datoví vědci | Poznámkové bloky Apache Sparku nebo jezero |
| Obchodní analytici | Koncový bod analýzy SQL |
| Tvůrci sestav | Sémantické modely |
| Uživatelé sestav | Sestavy Power BI |
Role pracovního prostoru
Přiřazení rolí pracovního prostoru se řídí stejnými pokyny pro architekturu hvězdicové i datové sítě. Tabulka odpovědností za úlohy popisuje, jakou roli pracovního prostoru mají přiřadit uživatelům na základě funkcí, které v pracovním prostoru provádějí.
| Pracovní povinnosti | Role pracovního prostoru |
|---|---|
| Vlastníte pracovní prostor a spravujte přiřazení rolí. | Správce |
| Správa přiřazení rolí pro uživatele, kteří nejsou správci | Člen |
| Vytváření položek infrastruktury a zápis dat | Přispěvatel |
| Vytváření tabulek a zobrazení pomocí SQL | Čtenář a oprávnění SQL |
Odborníci na data
Datoví vědci potřebují přístup k datům v jezeře, aby je mohli využívat prostřednictvím Apache Sparku. Pro datovou síť a hvězdicovou hvězdicovou síť spotřebovávají uživatelé Sparku data z samostatného pracovního prostoru, ve kterém se data nacházejí. To umožňuje datovým vědcům přístup k vytváření modelů a experimentů, aniž by do pracovního prostoru, který obsahuje data, přidával nepotřebné informace. Datoví vědci mohou také používat jiné služby než Spark, které se připojují přímo k datovým cestám OneLake, jako je Azure Databricks nebo Dremio.
Pokud chcete zřizovat přístup pro datové vědce, použijte tlačítko Sdílet a sdílejte jezero. V dialogovém okně vyberte Možnost Číst vše Apache Spark . U lakehouse s povolenými rolemi přístupu k datům OneLake udělte stejným uživatelům přístup tím, že je přidáte do role přístupu k datům OneLake. Použití rolí přístupu k datům OneLake poskytuje jemně odstupňovaný přístup k datům. Datoví inženýři pak můžou vytvořit zástupce pro výběr tabulek nebo složek v jezeře.
Datoví architekti
Datoví inženýři potřebují přístup k datům v jezeře, aby mohli vytvářet podřízené datové produkty. Datoví inženýři potřebují přístup k datům ve OneLake, aby bylo možné vytvořit kanály nebo poznámkové bloky pro čtení dat. Ve skutečném hvězdicovém modelu existuje role datového inženýra pouze v rámci vrstev centrálního týmu centra. U datových sítí ale datoví inženýři kombinují datové produkty napříč doménami a vytvářejí nové datové sady.
Pomocí tlačítka sdílet ho můžete sdílet s datovými inženýry. V dialogovém okně zaškrtněte políčko Číst vše Apache Spark . U lakehouse s povolenými rolemi přístupu k datům OneLake udělte stejným uživatelům přístup tím, že je přidáte do role přístupu k datům OneLake. Použití rolí přístupu k datům OneLake poskytuje jemně odstupňovaný přístup k datům. Datoví inženýři pak můžou vytvořit zástupce pro výběr tabulek nebo složek v jezeře.
Obchodní analytici
Obchodní analytici (někdy volají datové analytiky) dotazují data prostřednictvím SQL, aby mohli odpovídat na obchodní otázky.
Pomocí tlačítka Sdílet můžete sdílet jezero s obchodními analytiky. V dialogovém okně zaškrtněte políčko Číst všechna data koncového bodu SQL. Toto nastavení dává obchodním analytikům přístup k datům v koncovém bodu analýzy SQL ve službě Lakehouse, ale nezobrazují podkladové soubory OneLake.
Přístup k datům lze pro tyto uživatele dále omezit definováním zabezpečení na úrovni řádků nebo sloupců přímo v SQL.
Tvůrci sestav
Tvůrci sestav vytvářejí sestavy Power BI, aby je mohli využívat i ostatní uživatelé.
Pomocí tlačítka sdílet jezero s tvůrci sestav. V dialogovém okně zkontrolujte sestavy sestavení ve výchozím sémantickém modelu . Toto oprávnění umožňuje tvůrcům sestav vytvářet sestavy pomocí sémantického modelu přidruženého k jezeru. Tito uživatelé nemají přístup k datům ve OneLake nebo mají úplný přístup ke koncovému bodu sql Analytics.
Uživatelé sestav
Spotřebitelé sestav jsou vedoucími pracovníky nebo řediteli, kteří zobrazují data v sestavě Power BI, aby mohli rozhodovat.
Nasdílejte sestavu s uživateli pomocí tlačítka sdílet. Nezaškrtávejte žádná políčka pro udělení přístupu ke čtení sestavy, ale nevidíte žádná podkladová data. Pokud chcete uživatelům zabránit v přístupu ke koncovému bodu analýzy SQL a zobrazení tabulek, ujistěte se, že nejsou definovaná žádná oprávnění SQL, která by těmto uživatelům udělila přístup.
Data můžete také sdílet se spotřebiteli sestav pomocí aplikace. Aplikace umožňují uživatelům přistupovat k předdefinované sestavě nebo sadě sestav bez nutnosti přístupu k podkladovému pracovnímu prostoru. Všimněte si, že pro sestavy v režimu Direct Lake uživatelé budou muset mít podkladový lakehouse sdílený s nimi, aby mohli zobrazit data.