Sådan sikrer du data til almindelige dataarkitekturer
Denne artikel indeholder en oversigt over, hvordan du konfigurerer sikkerhed for OneLake-data for både datanet - og hub- og egearkitekturer .
Sikkerhedsfunktioner
Microsoft Fabric bruger en sikkerhedsmodel med flere lag med forskellige kontrolelementer, der er tilgængelige på forskellige niveauer, for kun at give de nødvendige minimumtilladelser. Du kan få flere oplysninger om de forskellige sikkerhedstyper, der er beskrevet i denne vejledning, under Dataadgangskontrolmodel i OneLake.
Sikker til datanet
Datanet er et arkitektonisk paradigme, der behandler data som et produkt i stedet for en tjeneste eller en ressource. Datanet har til formål at decentralisere ejerskabet og styringen af data på tværs af forskellige domæner og teams og samtidig muliggøre interoperabilitet og registrering via en fælles platform. I en datanetarkitektur administrerer hvert decentralt team ejerskabet af data, der er en del af deres dataprodukt. Sikkerhedsvejledningen i dette afsnit fokuserer på et enkelt dataproduktteam, der konfigurerer adgang til deres arbejdsområde. Trinnene er beregnet til at blive gentaget af hvert dataproduktteam i deres eget arbejdsområde, da de giver adgang for downstreambrugere.
Hvis du vil i gang med at bygge et datanet, skal du bruge Microsoft Fabric's domænefunktion til at mærke arbejdsområder i henhold til deres tilknyttede dataprodukt og ejerskab.
I domænerne har hvert team deres eget arbejdsområde eller arbejdsområder. Arbejdsområdet gemmer de data, der er nødvendige for at udarbejde de endelige dataprodukter til forbrug. Giv brugere adgang til arbejdsområdet ved hjælp af arbejdsområderoller.
Identificer downstreamforbrugerne af dine dataprodukter, og giv adgang i henhold til de minimumtilladelser, der er nødvendige for at nå deres mål. For at holde brugerne i overensstemmelse med deres måloplevelser kan hver type downstream-bruger få adgang til et enkelt Fabric-dataelement. I nedenstående tabel vises nogle almindelige use cases for forbrugere af datanet og de relevante Fabric-elementer.
User | Stofelementer |
---|---|
Dataforskere | Apache Spark-notesbøger eller lakehouse |
Datateknikere | Apache Spark-notesbøger, dataflows eller pipelines |
Forretningsanalytikere | SQL Analytics-slutpunkt |
Rapportoprettere | Semantiske modeller |
Rapportforbrugere | Power BI-rapporter |
Sikker til hub og eger
En hub- og egearkitektur adskiller sig fra en datamaske ved at have alle de certificerede dataprodukter administreret på en enkelt placering, der ejes centralt. Downstreamforbrugere fokuserer mindre på at bygge yderligere dataprodukter og udfører i stedet analyser af de data, der er produceret af det centrale team.
Identificer downstreamforbrugerne, og giv adgang i henhold til de minimumtilladelser, der er nødvendige for at nå deres mål. For at holde brugerne i overensstemmelse med deres måloplevelser kan hver type downstream-bruger få adgang til et enkelt Fabric-dataelement. Brugerpersonatabellen viser nogle almindelige use cases for hubben og talte sammen med de relevante Fabric-elementer.
User | Stofelementer |
---|---|
Dataforskere | Apache Spark-notesbøger eller lakehouse |
Forretningsanalytikere | SQL Analytics-slutpunkt |
Rapportoprettere | Semantiske modeller |
Rapportforbrugere | Power BI-rapporter |
Arbejdsområderoller
Rolletildelinger for arbejdsområder følger de samme retningslinjer for både hub- og ege- og datanetarkitekturer. Tabellen over ansvarsområder beskriver, hvilken rolle i arbejdsområdet der skal tildeles til brugerne baseret på de funktioner, de udfører i arbejdsområdet.
Ansvarsområder | Arbejdsområderolle |
---|---|
Ejer arbejdsområdet og administrerer rolletildelinger | Administrator |
Administrer rolletildelinger for brugere, der ikke er administratorer | Medlem |
Opret Fabric-elementer, og skriv data | Bidragyder |
Opret tabeller og visninger med SQL | Fremviser + SQL-tilladelser |
Dataeksperter
Datateknikere skal have adgang til data i et lakehouse for at kunne forbruge via Apache Spark. I forbindelse med datanet og hub og talte bruger Spark-brugerne data fra et separat arbejdsområde end det, dataene er placeret i. Dette giver dataforskere adgang til at oprette modeller og eksperimenter uden at føje rod til det arbejdsområde, der indeholder dataene. Datateknikere kan også bruge andre ikke-Spark-tjenester, der opretter direkte forbindelse til OneLake-datastierne, f.eks. Azure Databricks eller Dremio.
Hvis du vil klargøre adgang for dataforskere, skal du bruge delingsknappen til at dele lakehouse. Vælg feltet Læs alle Apache Spark i dialogboksen. For lakehouses med OneLake-dataadgangsroller aktiveret, skal du give de samme brugere adgang ved at føje dem til en OneLake-dataadgangsrolle. Brug af OneLake-dataadgangsroller giver detaljeret adgang til dataene. Datateknikere kan derefter oprette genveje til at vælge tabeller eller mapper i et lakehouse.
Dataudviklere
Datateknikere skal have adgang til data i et lakehouse for at kunne bygge downstream-dataprodukter. Datateknikere skal have adgang til dataene i OneLake, så der kan oprettes pipelines eller notesbøger for at kunne læse dataene. I en ægte hub- og talmodel findes datateknikerrollen kun i lagene i det centrale hubteam. Men for datanet kombinerer datateknikere dataprodukter på tværs af domæner for at bygge nye datasæt.
Brug delingsknappen til at dele lakehouse med datateknikere. Markér feltet Læs alle Apache Spark i dialogboksen. For lakehouses med OneLake-dataadgangsroller aktiveret, skal du give de samme brugere adgang ved at føje dem til en OneLake-dataadgangsrolle. Brug af OneLake-dataadgangsroller giver detaljeret adgang til dataene. Datateknikere kan derefter oprette genveje til at vælge tabeller eller mapper i et lakehouse.
Forretningsanalytikere
Forretningsanalytikere (også kaldet dataanalytikere) forespørger data via SQL for at besvare forretningsspørgsmål.
Brug delingsknappen til at dele lakehouse med forretningsanalytikerne. Markér afkrydsningsfeltet Læs alle SQL-slutpunktsdata i dialogboksen. Denne indstilling giver forretningsanalytikere adgang til dataene i SQL Analytics-slutpunktet for et Lakehouse, men ikke til at se de underliggende OneLake-filer.
Adgangen til data kan begrænses yderligere for disse brugere ved at definere sikkerhed på række- eller kolonneniveau direkte i SQL.
Rapportoprettere
Rapportoprettere opretter Power BI-rapporter, så andre brugere kan forbruge dem.
Brug delingsknappen til at dele lakehouse med rapportopretterne. Markér feltet Opret rapporter i standardsemantisk model i dialogboksen. Denne tilladelse gør det muligt for rapportoprettere at oprette rapporter ved hjælp af den semantiske model, der er knyttet til lakehouse. Disse brugere kan ikke få adgang til dataene i OneLake eller har fuld adgang til SQL Analytics-slutpunktet.
Rapportforbrugere
Rapportforbrugere er de virksomhedsledere eller -direktører, der får vist data i en Power BI-rapport for at træffe beslutninger.
Del en rapport med forbrugere ved hjælp af delingsknappen. Markér ikke nogen af afkrydsningsfelterne for at give adgang til at læse rapporten, men ikke se nogen af de underliggende data. Hvis du vil forhindre brugerne i at få adgang til SQL Analytics-slutpunktet og visningstabellerne, skal du sørge for, at der ikke er defineret SQL-tilladelser, der giver adgang til disse brugere.
Du kan også dele data med rapportforbrugere ved hjælp af en app. Apps giver brugerne adgang til en foruddefineret rapport eller et sæt rapporter uden at have adgang til det underliggende arbejdsområde. Bemærk, at for rapporter i direkte lake-tilstand skal brugerne have det underliggende lakehouse delt med dem for at kunne se data.