Πώς να διασφαλίσετε ένα lakehouse για ομάδες επιστήμης δεδομένων
Εισαγωγή
Σε αυτό το άρθρο, θα παρέχουμε μια επισκόπηση του τρόπου ρύθμισης παραμέτρων της ασφάλειας για μια λίμνη στο Fabric για χρήση με ομάδες επιστήμης δεδομένων και φόρτους εργασίας.
Δυνατότητες ασφαλείας
Το Microsoft Fabric χρησιμοποιεί ένα μοντέλο ασφαλείας πολλών επιπέδων με διαφορετικά στοιχεία ελέγχου που είναι διαθέσιμα σε διαφορετικά επίπεδα, προκειμένου να παρέχει μόνο τα ελάχιστα απαραίτητα δικαιώματα. Για περισσότερες πληροφορίες σχετικά με τις διάφορες δυνατότητες ασφαλείας που είναι διαθέσιμες στο Fabric, ανατρέξτε σε αυτό το έγγραφο.
Ασφαλής κατά περίπτωση χρήσης
Η ασφάλεια στο Microsoft Fabric έχει βελτιστοποιηθεί γύρω από την ασφάλεια δεδομένων για συγκεκριμένες περιπτώσεις χρήσης. Μια περίπτωση χρήσης είναι ένα σύνολο χρηστών που χρειάζονται συγκεκριμένη πρόσβαση και έχουν πρόσβαση σε δεδομένα μέσω μιας συγκεκριμένης μηχανής. Για σενάρια επιστήμης δεδομένων, ορισμένα παραδείγματα περιπτώσεων χρήσης είναι τα εξής:
- Συγγραφείς Apache Spark: Χρήστες που πρέπει να γράψουν δεδομένα σε ένα lakehouse χρησιμοποιώντας σημειωματάρια Apache Spark.
- Αναγνώστες Apache Spark: Χρήστες που χρειάζεται να διαβάζουν δεδομένα χρησιμοποιώντας σημειωματάρια Apache Spark.
- Αναγνώστες διοχέτευσης: Χρήστες που χρειάζεται να διαβάσουν δεδομένα από ένα lakehouse χρησιμοποιώντας διοχετεύσεις.
- Δημιουργοί συντομεύσεων: Χρήστες που χρειάζεται να δημιουργούν συντομεύσεις για δεδομένα σε ένα lakehouse.
Στη συνέχεια, μπορούμε να στοιχίσουμε κάθε υπόθεση χρήσης με τα απαραίτητα δικαιώματα στο Fabric.
Πρόσβαση εγγραφής
Για τους χρήστες που χρειάζεται να γράψουν δεδομένα στο Fabric, η πρόσβαση ελέγχεται μέσω των ρόλων χώρου εργασίας Fabric. Υπάρχουν τρεις ρόλοι χώρου εργασίας που εκχωρούν δικαιώματα εγγραφής: Διαχειριστής, Μέλος και Συμβάλλων. Επιλέξτε τον απαιτούμενο ρόλο και εκχωρήστε στους χρήστες πρόσβαση σε αυτόν.
Οι χρήστες με πρόσβαση εγγραφής δεν περιορίζονται από τους ρόλους πρόσβασης δεδομένων OneLake (προεπισκόπηση). Οι χρήστες εγγραφής μπορούν να έχουν περιορισμένη την πρόσβασή τους σε δεδομένα μέσω των δεδομένων τελικού σημείου της ανάλυσης SQL, διατηρώντας όμως πλήρη πρόσβαση στα δεδομένα στο OneLake. Για να περιορίσετε την πρόσβαση σε δεδομένα για χρήστες εγγραφής, πρέπει να δημιουργηθεί ένας ξεχωριστός χώρος εργασίας για αυτά τα δεδομένα.
Πρόσβαση ανάγνωσης
Για τους χρήστες που χρειάζεται να διαβάζουν δεδομένα χρησιμοποιώντας διοχετεύσεις ή σημειωματάρια Apache Spark, τα δικαιώματα διέπονται από τα δικαιώματα στοιχείου Fabric μαζί με τους ρόλους πρόσβασης δεδομένων OneLake (προεπισκόπηση). Τα δικαιώματα του στοιχείου Fabric διέπουν τα στοιχεία που μπορεί να δει ένας χρήστης και τον τρόπο με τον οποίο μπορεί να αποκτήσει πρόσβαση σε αυτό το στοιχείο. Οι ρόλοι πρόσβασης δεδομένων OneLake διέπουν τα δεδομένα στα οποία μπορεί να αποκτήσει πρόσβαση ο χρήστης μέσω εμπειριών που συνδέονται στο OneLake. Για τις λιμνοθάλασσες χωρίς ενεργοποιημένη την προεπισκόπηση ρόλων πρόσβασης δεδομένων OneLake, η πρόσβαση διέπεται από το δικαίωμα στοιχείου ReadAll και η πρόσβαση στα δεδομένα OneLake εκχωρείται για ολόκληρο το lakehouse.
Για να διαβάσει τα δεδομένα, ένας χρήστης χρειάζεται πρώτα πρόσβαση στο lakehouse όπου βρίσκονται τα συγκεκριμένα δεδομένα. Η εκχώρηση πρόσβασης σε μια λίμνη μπορεί να γίνει επιλέγοντας το κουμπί Κοινή χρήση σε μια λίμνη είτε από τη σελίδα του χώρου εργασίας είτε μέσα από το περιβάλλον εργασίας του lakehouse. Εισαγάγετε τις διευθύνσεις ηλεκτρονικού ταχυδρομείου ή την ομάδα ασφαλείας για αυτούς τους χρήστες και επιλέξτε Κοινή χρήση. (Αφήστε μη ενεργοποιημένη τα πλαίσια Πρόσθετα δικαιώματα. Για lakehouses χωρίς ενεργοποιημένη την προεπισκόπηση ρόλων πρόσβασης δεδομένων OneLake, επιλέξτε το πλαίσιο Ανάγνωση όλων των δεδομένων OneLake (ReadAll)).
Στη συνέχεια, μεταβείτε στη λίμνη και επιλέξτε το κουμπί Διαχείριση πρόσβασης δεδομένων OneLake (προεπισκόπηση ). Με αυτές τις επιλογές, μπορείτε να δημιουργήσετε ρόλους που εκχωρούν στους χρήστες πρόσβαση για να βλέπουν και να διαβάζουν από συγκεκριμένους φακέλους στο lakehouse. Η πρόσβαση στους φακέλους δεν επιτρέπεται από προεπιλογή. Στους χρήστες που προστίθενται σε έναν ρόλο εκχωρείται πρόσβαση στους φακέλους που καλύπτονται από τον συγκεκριμένο ρόλο. Για περισσότερες πληροφορίες, ανατρέξτε στο θέμα Ρόλοι πρόσβασης δεδομένων OneLake (προεπισκόπηση). Δημιουργήστε ρόλους όπως απαιτείται για να παραχωρήσετε στους χρήστες πρόσβαση για να διαβάζουν τους φακέλους μέσω διοχετεύσεων, συντομεύσεων ή σημειωματάριων Spark.
Σημαντικό
Όλες οι λιμνοθάλασσες που χρησιμοποιούν την προεπισκόπηση ρόλων πρόσβασης δεδομένων OneLake έχουν έναν ρόλο DefaultReader που εκχωρεί πρόσβαση στα δεδομένα του lakehouse. Εάν ένας χρήστης έχει το δικαίωμα ReadAll, δεν θα περιορίζεται από άλλους ρόλους πρόσβασης δεδομένων. Βεβαιωθείτε ότι οι χρήστες που περιλαμβάνονται σε έναν ρόλο πρόσβασης δεδομένων δεν αποτελούν επίσης μέρος του ρόλου DefaultReader ή καταργήστε τον ρόλο DefaultReader.
Χρήση με συντομεύσεις
Οι συντομεύσεις είναι μια δυνατότητα OneLake που επιτρέπει την αναφορά δεδομένων από μία τοποθεσία χωρίς φυσική αντιγραφή των δεδομένων. Για περισσότερες πληροφορίες σχετικά με τις συντομεύσεις, ανατρέξτε στο έγγραφο εδώ.
Μπορείτε να διασφαλίσετε τα δεδομένα για χρήση με συντομεύσεις όπως με οποιονδήποτε άλλο φάκελο στο OneLake. Μετά τη ρύθμιση των παραμέτρων των ρόλων πρόσβασης δεδομένων, οι χρήστες από άλλες λίμνες θα μπορούν να δημιουργούν μόνο συντομεύσεις σε φακέλους στους οποίους έχουν πρόσβαση. Αυτό μπορεί να χρησιμοποιηθεί για να παρέχει στους χρήστες σε άλλους χώρους εργασίας πρόσβαση μόνο στην επιλογή δεδομένων σε ένα lakehouse.
Σημαντικό
Το τελικό σημείο της ανάλυσης SQL χρησιμοποιεί μια σταθερή ταυτότητα για την πρόσβαση σε συντομεύσεις. Όταν ένας χρήστης υποβάλλει ερώτημα σε έναν πίνακα συντόμευσης μέσω του τελικού σημείου sql Analytics, η ταυτότητα του κατόχου του lakehouse ελέγχεται για πρόσβαση στη συντόμευση. Αυτό σημαίνει ότι όταν δημιουργεί συντομεύσεις για χρήση με ερωτήματα SQL, ο δημιουργός του lakehouse πρέπει επίσης να είναι μέρος οποιωνδήποτε ρόλων πρόσβασης δεδομένων OneLake που περιορίζουν την πρόσβαση μόνο σε επιλεγμένους φακέλους.