Τρόπος προστασίας δεδομένων για κοινές αρχιτεκτονικές δεδομένων
Αυτό το άρθρο παρέχει μια επισκόπηση του τρόπου ρύθμισης παραμέτρων της ασφάλειας για δεδομένα OneLake για αμφότερες τις αρχιτεκτονικές πλέγματος δεδομένων και διανομέα και ακτίνων .
Δυνατότητες ασφαλείας
Το Microsoft Fabric χρησιμοποιεί ένα μοντέλο ασφαλείας πολλών επιπέδων με διαφορετικά στοιχεία ελέγχου που είναι διαθέσιμα σε διαφορετικά επίπεδα, προκειμένου να παρέχει μόνο τα ελάχιστα απαραίτητα δικαιώματα. Για περισσότερες πληροφορίες σχετικά με τους διαφορετικούς τύπους ασφαλείας που περιγράφονται σε αυτόν τον οδηγό διαδικασίας, ανατρέξτε στο θέμα Μοντέλο ελέγχου πρόσβασης δεδομένων στο OneLake.
Ασφαλής για πλέγμα δεδομένων
Το πλέγμα δεδομένων είναι ένα αρχιτεκτονικό παράδειγμα που αντιμετωπίζει τα δεδομένα ως προϊόν, αντί για υπηρεσία ή πόρο. Το πλέγμα δεδομένων έχει ως στόχο την αποκέντρωση της κατοχής και διαχείρισης δεδομένων σε διαφορετικούς τομείς και ομάδες, επιτρέποντας παράλληλα τη διαλειτουργικότητα και τη δυνατότητα εντοπισμού μέσω μιας κοινής πλατφόρμας. Σε μια αρχιτεκτονική πλέγματος δεδομένων, κάθε αποκεντρωμένη ομάδα διαχειρίζεται την κυριότητα των δεδομένων που αποτελούν μέρος του προϊόντος δεδομένων τους. Η καθοδήγηση ασφαλείας που παρέχεται σε αυτή την ενότητα εστιάζει σε μια ενιαία ομάδα προϊόντων δεδομένων που ρυθμίζει την πρόσβαση για τον χώρο εργασίας της. Σκοπός των βημάτων είναι να επαναληφθούν από κάθε ομάδα προϊόντων δεδομένων στον δικό της χώρο εργασίας, καθώς επιτρέπουν την πρόσβαση για μεταγενέστερους χρήστες.
Για να ξεκινήσετε τη δημιουργία ενός πλέγματος δεδομένων, χρησιμοποιήστε τη δυνατότητα τομέα του Microsoft Fabric για να επισημάνετε χώρους εργασίας σύμφωνα με το σχετικό προϊόν δεδομένων και κυριότητα.
Εντός των τομέων, κάθε ομάδα έχει τον δικό της χώρο εργασίας ή χώρους εργασίας. Ο χώρος εργασίας αποθηκεύει τα δεδομένα που απαιτούνται για τη δημιουργία των τελικών προϊόντων δεδομένων για κατανάλωση. Εκχωρήστε στους χρήστες πρόσβαση στον χώρο εργασίας χρησιμοποιώντας ρόλους χώρου εργασίας.
Προσδιορίστε τους μεταγενέστερους καταναλωτές των προϊόντων δεδομένων σας και εκχωρήστε πρόσβαση σύμφωνα με τα ελάχιστα δικαιώματα που απαιτούνται για την επίτευξη των στόχων τους. Για να διατηρήσετε τους χρήστες ευθυγραμμισμένους με τις εμπειρίες προορισμού τους, κάθε τύπος μεταγενέστερου χρήστη μπορεί να αποκτήσει πρόσβαση σε ένα μοναδικό στοιχείο δεδομένων Fabric. Ο παρακάτω πίνακας εμφανίζει ορισμένες συνήθεις περιπτώσεις χρήσης για καταναλωτές πλέγματος δεδομένων και τα σχετικά στοιχεία Fabric.
| User | Στοιχεία fabric |
|---|---|
| Επιστήμονες δεδομένων | Σημειωματάρια Apache Spark ή lakehouse |
| Μηχανικοί δεδομένων | Σημειωματάρια Apache Spark, ροές δεδομένων ή διοχετεύσεις |
| Επιχειρηματικοί αναλυτές | Τελικό σημείο ανάλυσης SQL |
| Δημιουργοί αναφορών | Σημασιολογικά μοντέλα |
| Καταναλωτές αναφορών | Αναφορές Power BI |
Ασφαλής για διανομέα και ομιλία
Ένας διανομέας και μια αρχιτεκτονική ομιλίας διαφέρουν από ένα πλέγμα δεδομένων, μέσω της διαχείρισης όλων των πιστοποιημένων προϊόντων δεδομένων σε μια μοναδική, κεντρική θέση. Οι μεταγενέστεροι καταναλωτές εστιάζουν λιγότερο στη δημιουργία πρόσθετων προϊόντων δεδομένων και, αντί για αυτό, εκτελούν ανάλυση των δεδομένων που παράγονται από την κεντρική ομάδα.
Προσδιορίστε τους μεταγενέστερους καταναλωτές και εκχωρήστε πρόσβαση σύμφωνα με τα ελάχιστα δικαιώματα που απαιτούνται για την επίτευξη των στόχων τους. Για να διατηρήσετε τους χρήστες ευθυγραμμισμένους με τις εμπειρίες προορισμού τους, κάθε τύπος μεταγενέστερου χρήστη μπορεί να αποκτήσει πρόσβαση σε ένα μοναδικό στοιχείο δεδομένων Fabric. Ο πίνακας persona χρήστη εμφανίζει ορισμένες συνήθεις περιπτώσεις χρήσης για το hub και μίλησε μαζί με τα σχετικά στοιχεία Fabric.
| User | Στοιχεία fabric |
|---|---|
| Επιστήμονες δεδομένων | Σημειωματάρια Apache Spark ή lakehouse |
| Επιχειρηματικοί αναλυτές | Τελικό σημείο ανάλυσης SQL |
| Δημιουργοί αναφορών | Σημασιολογικά μοντέλα |
| Καταναλωτές αναφορών | Αναφορές Power BI |
Ρόλοι χώρου εργασίας
Οι αναθέσεις ρόλων χώρου εργασίας ακολουθούν τις ίδιες οδηγίες για αμφότερες τις αρχιτεκτονικές διανομέα και πλέγματος δεδομένων και ακτίνων. Ο πίνακας ευθυνών εργασίας περιγράφει τον ρόλο χώρου εργασίας που πρέπει να αναθέσετε σε χρήστες με βάση τις συναρτήσεις που εκτελούν στον χώρο εργασίας.
| Εργασιακές ευθύνες | Ρόλος χώρου εργασίας |
|---|---|
| Κάτοχος του χώρου εργασίας και διαχείριση αναθέσεων ρόλων | Διαχειριστής |
| Διαχείριση αναθέσεων ρόλων για μη διαχειριστές | Μέλος |
| Δημιουργία στοιχείων Fabric και εγγραφή δεδομένων | Συμβάλλων |
| Δημιουργία πινάκων και προβολών με το SQL | Δικαιώματα θεατή + SQL |
Επιστήμονες δεδομένων
Οι επιστήμονες δεδομένων χρειάζονται πρόσβαση σε δεδομένα σε ένα lakehouse για να καταναλώσουν μέσω του Apache Spark. Για το πλέγμα δεδομένων και το κέντρο και την ομιλία, οι χρήστες spark καταναλώνουν δεδομένα από έναν ξεχωριστό χώρο εργασίας από εκείνον στον οποίο βρίσκονται τα δεδομένα. Αυτό επιτρέπει στους επιστήμονες δεδομένων να έχουν πρόσβαση για τη δημιουργία μοντέλων και πειραμάτων χωρίς να προσθέτουν ακαταστασία στον χώρο εργασίας που περιέχει τα δεδομένα. Οι επιστήμονες δεδομένων μπορούν επίσης να χρησιμοποιήσουν άλλες υπηρεσίες που δεν είναι Spark που συνδέονται απευθείας με τις διαδρομές δεδομένων OneLake, όπως το Azure Databricks ή το Dremio.
Για να αποκτήσετε πρόσβαση σε επιστήμονες δεδομένων, χρησιμοποιήστε το κουμπί κοινής χρήσης για να μοιραστείτε το lakehouse. Επιλέξτε το πλαίσιο Ανάγνωση όλων των Apache Spark στο παράθυρο διαλόγου. Για τις λιμνοθάλασσες με ενεργοποιημένους τους ρόλους πρόσβασης δεδομένων OneLake, εκχωρήστε στους ίδιους χρήστες πρόσβαση προσθέτων σε έναν ρόλο πρόσβασης δεδομένων OneLake. Η χρήση ρόλων πρόσβασης δεδομένων OneLake παρέχει λεπτομερή πρόσβαση στα δεδομένα. Οι μηχανικοί δεδομένων μπορούν, στη συνέχεια, να δημιουργήσουν συντομεύσεις για να επιλέξουν πίνακες ή φακέλους σε ένα lakehouse.
Μηχανικοί δεδομένων
Οι μηχανικοί δεδομένων χρειάζονται πρόσβαση σε δεδομένα σε ένα lakehouse για να κατασκευάσουν μεταγενέστερα προϊόντα δεδομένων. Οι μηχανικοί δεδομένων χρειάζονται πρόσβαση στα δεδομένα στο OneLake, ώστε να μπορούν να δημιουργηθούν διοχετεύσεις ή σημειωματάρια για την ανάγνωση των δεδομένων. Σε ένα πραγματικό διανομέα και μοντέλο ομιλίας, ο ρόλος του μηχανικού δεδομένων υπάρχει μόνο στα επίπεδα της κεντρικής ομάδας διανομέα. Ωστόσο, για το πλέγμα δεδομένων, οι μηχανικοί δεδομένων συνδυάζουν προϊόντα δεδομένων σε όλους τους τομείς για τη δημιουργία νέων συνόλων δεδομένων.
Χρησιμοποιήστε το κουμπί κοινής χρήσης για να μοιραστείτε τη λίμνη με μηχανικούς δεδομένων. Επιλέξτε το πλαίσιο Ανάγνωση όλων του Apache Spark στο παράθυρο διαλόγου. Για τις λιμνοθάλασσες με ενεργοποιημένους τους ρόλους πρόσβασης δεδομένων OneLake, εκχωρήστε στους ίδιους χρήστες πρόσβαση προσθέτων σε έναν ρόλο πρόσβασης δεδομένων OneLake. Η χρήση ρόλων πρόσβασης δεδομένων OneLake παρέχει λεπτομερή πρόσβαση στα δεδομένα. Οι μηχανικοί δεδομένων μπορούν, στη συνέχεια, να δημιουργήσουν συντομεύσεις για να επιλέξουν πίνακες ή φακέλους σε ένα lakehouse.
Επιχειρηματικοί αναλυτές
Οι επιχειρηματικοί αναλυτές (μερικές φορές καλούν αναλυτές δεδομένων) υποβάλλουν ερωτήματα σε δεδομένα μέσω SQL για να απαντήσουν σε επιχειρηματικές ερωτήσεις.
Χρησιμοποιήστε το κουμπί κοινής χρήσης για να μοιραστείτε τη λίμνη με τους επιχειρηματικούς αναλυτές. Επιλέξτε το πλαίσιο Ανάγνωση όλων των δεδομένων τελικού σημείου SQL στο παράθυρο διαλόγου. Αυτή η ρύθμιση παρέχει στους επιχειρηματικούς αναλυτές πρόσβαση στα δεδομένα στο τελικό σημείο ανάλυσης SQL ενός Lakehouse, αλλά όχι για να δουν τα υποκείμενα αρχεία OneLake.
Η πρόσβαση στα δεδομένα μπορεί να περιοριστεί περαιτέρω για αυτούς τους χρήστες, ορίζοντας ασφάλεια σε επίπεδο γραμμών ή στηλών απευθείας στην SQL.
Δημιουργοί αναφορών
Οι δημιουργοί αναφορών δημιουργούν αναφορές Power BI για κατανάλωση από άλλους χρήστες.
Χρησιμοποιήστε το κουμπί κοινής χρήσης για να μοιραστείτε τη λίμνη με τους δημιουργούς αναφορών. Επιλέξτε το πλαίσιο Δημιουργία αναφορών στο προεπιλεγμένο μοντέλο σημασιολογίας στο παράθυρο διαλόγου. Αυτό το δικαίωμα επιτρέπει στους δημιουργούς αναφορών να δημιουργούν αναφορές χρησιμοποιώντας το σημασιολογικό μοντέλο που σχετίζεται με το lakehouse. Αυτοί οι χρήστες δεν έχουν πρόσβαση στα δεδομένα στο OneLake ή έχουν πλήρη πρόσβαση στο τελικό σημείο ανάλυσης SQL.
Καταναλωτές αναφορών
Οι καταναλωτές αναφορών είναι τα ηγετικά στελέχη επιχειρήσεων ή διευθυντές που βλέπουν δεδομένα σε μια αναφορά Power BI για τη λήψη αποφάσεων.
Κάντε κοινή χρήση μιας αναφοράς με καταναλωτές χρησιμοποιώντας το κουμπί κοινής χρήσης. Μην επιλέξετε κανένα από τα πλαίσια για να εκχωρήσετε πρόσβαση για ανάγνωση της αναφοράς, αλλά μην δείτε κανένα από τα υποκείμενα δεδομένα. Για να εμποδίσετε τους χρήστες να έχουν πρόσβαση στους πίνακες τελικού σημείου και προβολής της ανάλυσης SQL, βεβαιωθείτε ότι δεν έχουν οριστεί δικαιώματα SQL που θα χορηγούσαν πρόσβαση για αυτούς τους χρήστες.
Μπορείτε επίσης να κοινοποιήσετε δεδομένα σε καταναλωτές αναφορών χρησιμοποιώντας μια εφαρμογή. Οι εφαρμογές επιτρέπουν στους χρήστες να έχουν πρόσβαση σε μια προκαθορισμένη αναφορά ή σύνολο αναφορών χωρίς να χρειάζεται πρόσβαση στον υποκείμενο χώρο εργασίας. Σημειώστε ότι για τις αναφορές σε λειτουργία άμεσης λίμνης, οι χρήστες θα πρέπει να έχουν κοινόχρηστο το υποκείμενο lakehouse για να δουν τα δεδομένα.