Τι είναι μια υπογραφή κοινόχρηστης πρόσβασης (SAS); (Προεπισκόπηση)
Μια υπογραφή κοινόχρηστης πρόσβασης (SAS) OneLake παρέχει ασφαλή, βραχυπρόθεσμη και εξουσιοδοτημένη πρόσβαση σε πόρους στο OneLake. Με ένα OneLake SAS, έχετε λεπτομερή έλεγχο του τρόπου με τον οποίο ένα πρόγραμμα-πελάτης μπορεί να αποκτήσει πρόσβαση στα δεδομένα σας. Για παράδειγμα:
- Σε ποιους πόρους μπορεί να έχει πρόσβαση το πρόγραμμα-πελάτης.
- Τι δικαιώματα έχουν για τους πόρους.
- Για πόσο διάστημα το SAS είναι έγκυρο.
Κάθε OneLake SAS (και το κλειδί ανάθεσης χρηστών) υποστηρίζεται πάντα από μια ταυτότητα Microsoft Entra, έχει μέγιστη διάρκεια ζωής 1 ώρας και μπορεί να εκχωρήσει πρόσβαση μόνο σε φακέλους και αρχεία μέσα σε ένα στοιχείο δεδομένων, όπως ένα lakehouse.
Σημαντικό
Αυτή η δυνατότητα είναι σε προεπισκόπηση.
Πώς λειτουργεί μια υπογραφή κοινόχρηστης πρόσβασης
Μια υπογραφή κοινόχρηστης πρόσβασης είναι ένα διακριτικό που προσαρτάται στο URI για έναν πόρο OneLake. Το διακριτικό περιέχει ένα ειδικό σύνολο παραμέτρων ερωτήματος που υποδεικνύουν τον τρόπο με τον οποίο ο υπολογιστής-πελάτης μπορεί να αποκτήσει πρόσβαση στον πόρο. Μία από τις παραμέτρους ερωτήματος είναι η υπογραφή. Κατασκευάζεται από τις παραμέτρους SAS και υπογράφεται με το κλειδί που χρησιμοποιήθηκε για τη δημιουργία της SAS. Το OneLake χρησιμοποιεί αυτήν την υπογραφή για να εξουσιοδοτήσει την πρόσβαση στον φάκελο ή το αρχείο στο OneLake. Το OneLake SASs χρησιμοποιεί την ίδια μορφή και ιδιότητες με τις SAS με ανάθεση χρήστη υπηρεσίας αποθήκευσης Azure, αλλά με περισσότερους περιορισμούς ασφαλείας στη διάρκεια ζωής και την εμβέλειά τους.
Ένα OneLake SAS υπογράφεται με ένα κλειδί ανάθεσης χρήστη (UDK), το οποίο υποστηρίζεται από ένα διαπιστευτήριο Microsoft Entra. Μπορείτε να ζητήσετε ένα κλειδί ανάθεσης χρήστη με τη λειτουργία Λήψη κλειδιού ανάθεσης χρηστών. Στη συνέχεια, χρησιμοποιείτε αυτό το κλειδί (όσο παραμένει έγκυρο) για να δημιουργήσετε το OneLake SAS. Τα δικαιώματα αυτού του λογαριασμού Microsoft Entra, μαζί με τα δικαιώματα που παραχωρούνται ρητά στην SAS, καθορίζουν την πρόσβαση του προγράμματος-πελάτη στον πόρο.
Εξουσιοδότηση oneLake SAS
Όταν ένα πρόγραμμα-πελάτης ή μια εφαρμογή αποκτά πρόσβαση στο OneLake με OneLake SAS, η αίτηση εξουσιοδοτείται χρησιμοποιώντας τα διαπιστευτήρια του Microsoft Entra που ζήτησαν να χρησιμοποιηθεί το UDK για τη δημιουργία του SAS. Επομένως, όλα τα δικαιώματα OneLake που εκχωρούνται σε αυτήν την ταυτότητα Microsoft Entra ισχύουν για το SAS, πράγμα που σημαίνει ότι ένα SAS δεν μπορεί ποτέ να υπερβεί τα δικαιώματα του χρήστη που τα δημιουργεί. Επιπλέον, κατά τη δημιουργία ενός SAS, εκχωρείτε ρητά δικαιώματα, επιτρέποντάς σας να παρέχετε ακόμα περισσότερα δικαιώματα εμβέλειας προς τα κάτω στο SAS. Μεταξύ της ταυτότητας Microsoft Entra, των ρητά εκχωρημένων δικαιωμάτων και της βραχείας διάρκειας ζωής, το OneLake ακολουθεί τις βέλτιστες πρακτικές ασφαλείας για την παροχή πρόσβασης με ανάθεση στα δεδομένα σας.
Πότε να χρησιμοποιήσετε ένα OneLake SAS
Η OneLake SASs αναθέτει ασφαλή και προσωρινή πρόσβαση στο OneLake, με την υποστήριξη μιας ταυτότητας Microsoft Entra. Εφαρμογές χωρίς εγγενή υποστήριξη Microsoft Entra μπορούν να χρησιμοποιήσουν ένα OneLake SAS για προσωρινή πρόσβαση στη φόρτωση δεδομένων χωρίς πολύπλοκες εργασίες ρύθμισης και ενοποίησης.
Το OneLake SASs υποστηρίζει επίσης εφαρμογές που χρησιμεύουν ως διακομιστές μεσολάβηση μεταξύ των χρηστών και των δεδομένων τους. Για παράδειγμα, ορισμένοι ανεξάρτητοι προμηθευτές λογισμικού (ISV) εκτελούνται μεταξύ των χρηστών και του χώρου εργασίας fabric τους, παρέχοντας επιπλέον λειτουργικότητα και πιθανώς ένα διαφορετικό μοντέλο ελέγχου ταυτότητας. Με την ανάθεση πρόσβασης σε ένα OneLake SAS, αυτοί οι ISV μπορούν να διαχειριστούν την πρόσβαση στα υποκείμενα δεδομένα και να παρέχουν άμεση πρόσβαση σε δεδομένα, ακόμα και αν οι χρήστες τους δεν έχουν ταυτότητες Microsoft Entra.
Διαχείριση SAS OneLake
Δύο ρυθμίσεις στον μισθωτή fabric διαχειρίζονται τη χρήση του OneLake SASs. Η πρώτη είναι μια ρύθμιση επιπέδου μισθωτή, Χρήση βραχύβιων διακριτικών SAS με ανάθεση χρήστη, τα οποία διαχειρίζονται τη δημιουργία κλειδιών ανάθεσης χρηστών. Επειδή τα κλειδιά ανάθεσης χρηστών δημιουργούνται σε επίπεδο μισθωτή, ελέγχονται από μια ρύθμιση μισθωτή. Αυτή η ρύθμιση είναι ενεργοποιημένη από προεπιλογή, δεδομένου ότι αυτά τα κλειδιά ανάθεσης χρηστών έχουν ισοδύναμα δικαιώματα για την ταυτότητα Microsoft Entra που τα ζητούν και είναι πάντα βραχύβια.
Σημείωμα
Η απενεργοποίηση αυτής της δυνατότητας θα αποτρέψει τη χρήση του OneLake SASs από όλους τους χώρους εργασίας, καθώς όλοι οι χρήστες δεν θα μπορούν να δημιουργήσουν κλειδιά ανάθεσης χρηστών.
Η δεύτερη ρύθμιση είναι μια ρύθμιση χώρου εργασίας με ανάθεση, Πραγματοποιήστε έλεγχο ταυτότητας με διακριτικά SAS με ανάθεση από τον χρήστη OneLake, τα οποία ελέγχουν εάν ένας χώρος εργασίας αποδέχεται ένα OneLake SAS. Αυτή η ρύθμιση είναι απενεργοποιημένη από προεπιλογή και μπορεί να ενεργοποιηθεί από έναν διαχειριστή χώρου εργασίας που θέλει να επιτρέψει τον έλεγχο ταυτότητας με ένα OneLake SAS στον χώρο εργασίας του. Ένας διαχειριστής μισθωτή μπορεί να ενεργοποιήσει αυτήν τη ρύθμιση για όλους τους χώρους εργασίας μέσω της ρύθμισης μισθωτή ή να την αφήσει στους διαχειριστές χώρου εργασίας για ενεργοποίηση.
Μπορείτε επίσης να παρακολουθείτε τη δημιουργία κλειδιών ανάθεσης χρηστών μέσω της πύλης συμμόρφωσης Microsoft Purview. Μπορείτε να αναζητήσετε το όνομα της λειτουργίας generateonelakeudk για να προβάλετε όλα τα κλειδιά που δημιουργούνται στον μισθωτή σας. Επειδή η δημιουργία ενός SAS είναι μια λειτουργία από την πλευρά του προγράμματος-πελάτη, δεν μπορείτε να παρακολουθήσετε ή περιορίσετε τη δημιουργία ενός OneLake SAS, μόνο τη δημιουργία ενός UDK.
Βέλτιστες πρακτικές με το OneLake SAS
- Να χρησιμοποιείτε πάντα HTTPS για τη δημιουργία ή διανομή ενός SAS για προστασία από επιθέσεις ατόμων στο μέσον που επιδιώκουν την αναχαίτιση της SAS.
- Παρακολουθήστε τους χρόνους λήξης διακριτικού, κλειδιού και διακριτικού SAS. Τα κλειδιά ανάθεσης χρηστών OneLake και τα SAS έχουν μέγιστη διάρκεια ζωής 1 ώρας. Η προσπάθεια αίτησης ενός UDK ή δημιουργίας ενός SAS με διάρκεια ζωής μεγαλύτερη από 1 ώρα προκαλεί αποτυχία της αίτησης. Για να αποτραπεί η χρήση της SAS για την επέκταση της διάρκειας ζωής των διακριτικών OAuth που λήγουν, η διάρκεια ζωής του διακριτικού πρέπει επίσης να είναι μεγαλύτερη από τον χρόνο λήξης του κλειδιού ανάθεσης χρήστη και της SAS.
- Να είστε προσεκτικοί με την ώρα έναρξης μιας SAS. Ο ορισμός της ώρας έναρξης για ένα SAS ως την τρέχουσα ώρα μπορεί να προκαλέσει αποτυχίες για τα πρώτα λεπτά, λόγω διαφορετικών χρόνων έναρξης μεταξύ των μηχανών (αλλοιωθεί το ρολόι). Ο ορισμός της ώρας έναρξης σε λίγα λεπτά στο παρελθόν βοηθά στην προστασία από αυτά τα σφάλματα.
- Εκχωρήστε τα λιγότερα πιθανά δικαιώματα στο SAS. Η παροχή των ελάχιστων απαιτούμενων δικαιωμάτων στους λιγότερους πιθανούς πόρους αποτελεί βέλτιστη πρακτική ασφαλείας και μειώνει τις επιπτώσεις σε περίπτωση που παραβιαστεί ένα SAS.
- Παρακολούθηση της δημιουργίας κλειδιών ανάθεσης χρηστών. Μπορείτε να ελέγξετε τη δημιουργία κλειδιών ανάθεσης χρηστών στην πύλη συμμόρφωσης Microsoft Purview. Αναζητήστε το όνομα της λειτουργίας "generateonelakeudk" για να προβάλετε τα κλειδιά που δημιουργήθηκαν στον μισθωτή σας.
- Κατανοήστε τους περιορισμούς του OneLake SASs. Επειδή τα SAS oneLake δεν μπορούν να έχουν δικαιώματα σε επίπεδο χώρου εργασίας, δεν είναι συμβατά με ορισμένα εργαλεία υπηρεσίας αποθήκευσης Azure που αναμένουν δικαιώματα σε επίπεδο κοντέινερ για τη διέλευση δεδομένων, όπως η Εξερεύνηση υπηρεσίας αποθήκευσης Azure.