Sådan sikrer du et lakehouse til datavidenskabsteams
Introduktion
I denne artikel giver vi et overblik over, hvordan du konfigurerer sikkerhed for et lakehouse i Fabric til brug sammen med datavidenskabsteams og arbejdsbelastninger.
Sikkerhedsfunktioner
Microsoft Fabric bruger en sikkerhedsmodel med flere lag med forskellige kontrolelementer, der er tilgængelige på forskellige niveauer, for kun at give de nødvendige minimumtilladelser. Du kan få flere oplysninger om de forskellige sikkerhedsfunktioner, der er tilgængelige i Fabric, i dette dokument.
Sikker efter use case
Sikkerhed i Microsoft Fabric er optimeret til sikring af data til specifikke use cases. En use case er et sæt brugere, der har brug for specifik adgang og adgang til data via et givent program. I forbindelse med datavidenskabsscenarier er nogle eksempler på use cases:
- Apache Spark-forfattere: Brugere, der skal skrive data til et lakehouse ved hjælp af Apache Spark-notesbøger.
- Apache Spark-læsere: Brugere, der skal læse data ved hjælp af Apache Spark-notesbøger.
- Pipelinelæsere: Brugere, der skal læse data fra et lakehouse ved hjælp af pipelines.
- Genvejsforfattere: Brugere, der skal oprette genveje til data i et lakehouse.
Vi kan derefter justere hver enkelt use case med de nødvendige tilladelser i Fabric.
Skriveadgang
For brugere, der har brug for at skrive data i Fabric, styres adgangen via rollerne i Fabric-arbejdsområdet . Der er tre arbejdsområderoller, der giver skrivetilladelser: Administrator, Medlem og Bidragyder. Vælg den påkrævede rolle, og giv brugerne adgang til den.
Brugere med skriveadgang er ikke begrænset af OneLake-dataadgangsroller (prøveversion). Skrivebrugere kan få begrænset adgang til data via SQL Analytics-slutpunktsdata, men bevare fuld adgang til dataene i OneLake. Hvis du vil begrænse adgangen til data for skrivebrugere, skal der oprettes et separat arbejdsområde for disse data.
Læseadgang
For brugere, der har brug for at læse data ved hjælp af pipelines eller Apache Spark-notesbøger, styres tilladelserne af Fabric-elementtilladelserne sammen med OneLake-dataadgangsrollerne (prøveversion). Fabric-elementtilladelserne styrer, hvilke elementer en bruger kan se, og hvordan vedkommende kan få adgang til elementet. OneLake-dataadgangsrollerne styrer, hvilke data brugeren kan få adgang til via oplevelser, der opretter forbindelse til OneLake. For lakehouses, hvor prøveversionen af OneLake-dataadgangsroller er aktiveret, styres adgangen i stedet af tilladelsen ReadAll-element, og adgang til OneLake-data gives for hele lakehouse'et.
For at kunne læse data skal en bruger først have adgang til det lakehouse, hvor dataene findes. Tildeling af adgang til et lakehouse kan gøres ved at vælge knappen Del på et lakehouse enten fra arbejdsområdesiden eller i lakehouse-brugergrænsefladen. Angiv mailadresserne eller sikkerhedsgruppen for disse brugere, og vælg Del. (Lad afkrydsningsfelterne Yderligere tilladelser være fjernet. For lakehouses uden oneLake-eksempelvisningen af dataadgangsroller aktiveret, skal du markere afkrydsningsfeltet Læs alle OneLake-data (ReadAll)).
Derefter skal du navigere til lakehouse og vælge knappen Administrer OneLake-dataadgang (prøveversion). Med disse indstillinger kan du oprette roller, der giver brugerne adgang til at se og læse fra bestemte mapper i lakehouse. Adgang til mapper er som standard ikke tilladt. Brugere, der føjes til en rolle, får adgang til de mapper, der er omfattet af den pågældende rolle. Du kan få flere oplysninger under OneLake-dataadgangsroller (prøveversion). Opret roller efter behov for at give brugerne adgang til at læse mapperne via pipelines, genveje eller Spark-notesbøger.
Vigtigt
Alle lakehouses, der bruger eksempelvisningen af OneLake-dataadgangsroller, har en DefaultReader-rolle, der giver adgang til lakehouse-dataene. Hvis en bruger har tilladelsen ReadAll, begrænses vedkommende ikke af andre dataadgangsroller. Sørg for, at alle brugere, der er inkluderet i en dataadgangsrolle, ikke også er en del af rollen DefaultReader, eller fjern rollen DefaultReader.
Bruges sammen med genveje
Genveje er en OneLake-funktion, der gør det muligt at referere til data fra én placering uden fysisk at kopiere dataene. Du kan få flere oplysninger om genveje i dokumentet her.
Du kan sikre data til brug sammen med genveje på samme måde som alle andre mapper i OneLake. Når du har konfigureret dataadgangsrollerne, kan brugere fra andre lakehouses kun oprette genveje til mapper, de har adgang til. Dette kan bruges til at give brugere i andre arbejdsområder adgang til kun at vælge data i et lakehouse.
Vigtigt
SQL Analytics-slutpunktet bruger en fast identitet til at få adgang til genveje. Når en bruger forespørger en genvejstabel via SQL Analytics-slutpunktet, kontrolleres identiteten af ejeren af lakehouse for at få adgang til genvejen. Det betyder, at når du opretter genveje til brug sammen med SQL-forespørgsler, skal opretteren af lakehouse også være en del af alle OneLake-dataadgangsroller, der begrænser adgangen til kun udvalgte mapper.