Πώς να διασφαλίσετε ένα lakehouse για ομάδες αποθήκευσης δεδομένων
Εισαγωγή
Σε αυτό το άρθρο, παρέχουμε μια επισκόπηση του τρόπου ρύθμισης παραμέτρων της ασφάλειας για μια λίμνη στο Fabric για χρήση με χρήστες SQL με ερωτήματα T-SQL. Αυτοί οι χρήστες μπορεί να είναι επιχειρηματικοί αναλυτές που καταναλώνουν δεδομένα μέσω SQL, δημιουργών αναφορών ή μηχανικών δεδομένων που δημιουργούν νέους πίνακες και προβολές.
Δυνατότητες ασφαλείας
Το Microsoft Fabric χρησιμοποιεί ένα μοντέλο ασφαλείας πολλών επιπέδων με διαφορετικά στοιχεία ελέγχου που είναι διαθέσιμα σε διαφορετικά επίπεδα, προκειμένου να παρέχει μόνο τα ελάχιστα απαραίτητα δικαιώματα. Για περισσότερες πληροφορίες σχετικά με τις διάφορες δυνατότητες ασφαλείας που είναι διαθέσιμες στο Fabric, ανατρέξτε στο θέμα Μοντέλο ελέγχου πρόσβασης δεδομένων στο OneLake.
Στον φόρτο εργασίας αποθήκης δεδομένων Fabric, τα στοιχεία τελικού σημείου αποθήκης και ανάλυσης SQL επιτρέπουν επίσης τον ορισμό εγγενούς ασφάλειας SQL. Η ασφάλεια SQL χρησιμοποιεί την πλήρη βιβλιοθήκη των κατασκευαστών ασφάλειας T-SQL για να επιτρέπει λεπτομερή έλεγχο πρόσβασης πινάκων, προβολών, γραμμών και στηλών μέσα σε ένα στοιχείο. Για περισσότερες πληροφορίες σχετικά με την ασφάλεια SQL, ανατρέξτε στο θέμα Δικαιώματα σε υποδιαίρεση SQL.
Τα δικαιώματα SQL που έχουν ρυθμιστεί στο τελικό σημείο αποθήκης ή ανάλυσης SQL ισχύουν μόνο για ερωτήματα που εκτελούνται σε σχέση με το τελικό σημείο αποθήκης ή ανάλυσης SQL. Τα υποκείμενα δεδομένα βρίσκονται στο OneLake, αλλά η πρόσβαση στα δεδομένα OneLake ελέγχεται ξεχωριστά μέσω των ρόλων πρόσβασης δεδομένων OneLake. Για να βεβαιωθείτε ότι οι χρήστες με συγκεκριμένα δικαιώματα SQL δεν βλέπουν δεδομένα στα οποία δεν έχουν πρόσβαση SQL, μην συμπεριλάβετε αυτούς τους χρήστες σε έναν ρόλο πρόσβασης δεδομένων OneLake.
Ασφαλής κατά περίπτωση χρήσης
Η ασφάλεια στο Microsoft Fabric έχει βελτιστοποιηθεί γύρω από την ασφάλεια δεδομένων για συγκεκριμένες περιπτώσεις χρήσης. Μια περίπτωση χρήσης είναι ένα σύνολο χρηστών που χρειάζονται συγκεκριμένη πρόσβαση και έχουν πρόσβαση σε δεδομένα μέσω μιας συγκεκριμένης μηχανής. Για σενάρια SQL, ορισμένες συνήθεις περιπτώσεις χρήσης είναι οι εξής:
- Συντάκτες SQL: Χρήστες που πρέπει να δημιουργήσουν νέους πίνακες, να προβάλουν ή να γράψουν δεδομένα σε υπάρχοντες πίνακες.
- Προγράμματα ανάγνωσης SQL: Χρήστες που χρειάζονται ανάγνωση δεδομένων με χρήση ερωτημάτων SQL. Μπορεί να έχουν πρόσβαση στη σύνδεση SQL απευθείας ή μέσω άλλης υπηρεσίας, όπως το Power BI.
Στη συνέχεια, μπορούμε να στοιχίσουμε κάθε υπόθεση χρήσης με τα απαραίτητα δικαιώματα στο Fabric.
Πρόσβαση εγγραφής SQL
Υπάρχουν δύο τρόποι για να εκχωρηθεί πρόσβαση εγγραφής σε έναν χρήστη σε μια αποθήκη ή σε τελικό σημείο ανάλυσης SQL:
- Μέσω των ρόλων χώρου εργασίας Fabric, μπορείτε να εκχωρήσετε δικαιώματα μέλους σε τρεις ρόλους χώρου εργασίας που εκχωρούν δικαιώματα εγγραφής. Κάθε ρόλος μεταφράζεται αυτόματα σε έναν αντίστοιχο ρόλο στην SQL που εκχωρεί ισοδύναμη πρόσβαση εγγραφής.
- Εκχωρήστε πρόσβαση ανάγνωσης στον μηχανισμό SQL και εκχωρήστε προσαρμοσμένα δικαιώματα SQL για εγγραφή σε ορισμένα ή σε όλα τα δεδομένα.
Εάν ένας χρήστης χρειάζεται πρόσβαση εγγραφής σε όλες τις αποθήκες ή τελικά σημεία ανάλυσης SQL σε έναν χώρο εργασίας, εκχωρήστε τον σε έναν ρόλο χώρου εργασίας. Εκτός εάν ένας χρήστης χρειάζεται να αναθέσει σε άλλους χρήστες ρόλους χώρου εργασίας, θα πρέπει να χρησιμοποιηθεί ο ρόλος Συμβάλλων.
Εάν ένας χρήστης χρειάζεται μόνο να γράψει σε συγκεκριμένες αποθήκες ή αναλύσεις SQL, εκχωρήστε του άμεση πρόσβαση μέσω δικαιωμάτων SQL.
Πρόσβαση ανάγνωσης SQL
Υπάρχουν δύο τρόποι για να εκχωρηθεί σε έναν χρήστη πρόσβαση ανάγνωσης σε μια αποθήκη ή τελικό σημείο ανάλυσης SQL:
- Εκχωρήστε πρόσβαση ανάγνωσης μέσω του δικαιώματος ReadData, το οποίο εκχωρείται ως μέρος των ρόλων χώρου εργασίας Fabric. Και οι τέσσερις ρόλοι χώρου εργασίας εκχωρούν το δικαίωμα ReadData.
- Εκχωρήστε πρόσβαση ανάγνωσης στη μηχανή SQL και εκχωρήστε προσαρμοσμένα δικαιώματα SQL για ανάγνωση σε ορισμένα ή σε όλα τα δεδομένα.
Εάν ένας χρήστης είναι μέλος ενός ρόλου χώρου εργασίας Fabric, του εκχωρείται το δικαίωμα ReadData. Το δικαίωμα ReadData αντιστοιχίζει τον χρήστη σε έναν ρόλο SQL που παρέχει δικαιώματα SELECT σε όλους τους πίνακες στην αποθήκη ή το lakehouse. Αυτό το δικαίωμα είναι χρήσιμο εάν ένας χρήστης χρειάζεται να δει όλα ή τα περισσότερα δεδομένα στο lakehouse ή την αποθήκη. Τα δικαιώματα SQL DENY που έχουν οριστεί σε μια συγκεκριμένη λίμνη ή αποθήκη εξακολουθούν να ισχύουν και να περιορίζουν την πρόσβαση σε πίνακες. Επιπλέον, μπορεί να οριστεί ασφάλεια σε επίπεδο γραμμών και στηλών σε πίνακες για τον περιορισμό της πρόσβασης σε λεπτομερές επίπεδο.
Εάν ένας χρήστης χρειάζεται πρόσβαση μόνο σε μια συγκεκριμένη λίμνη ή αποθήκη, η δυνατότητα κοινής χρήσης παρέχει πρόσβαση μόνο στο κοινόχρηστο στοιχείο. Κατά τη διάρκεια της κοινής χρήσης, οι χρήστες μπορούν να επιλέξουν να εκχωρούν μόνο δικαίωμα ανάγνωσης ή Ανάγνωση + ReadData. Η εκχώρηση δικαιώματος ανάγνωσης επιτρέπει στον χρήστη να συνδεθεί στο τελικό σημείο αποθήκης ή ανάλυσης SQL, αλλά δεν παρέχει πρόσβαση σε πίνακα. Η εκχώρηση στους χρήστες δικαιωμάτων ReadData τους παρέχει πλήρη πρόσβαση ανάγνωσης σε όλους τους πίνακες στο τελικό σημείο αποθήκης ή ανάλυσης SQL. Και στις δύο περιπτώσεις, είναι δυνατή η ρύθμιση πρόσθετης ασφάλειας SQL για εκχώρηση ή άρνηση πρόσβασης σε συγκεκριμένους πίνακες. Αυτή η ασφάλεια SQL μπορεί να περιλαμβάνει λεπτομερή έλεγχο πρόσβασης, όπως ασφάλεια σε επίπεδο γραμμών ή στηλών.
Χρήση με συντομεύσεις
Οι συντομεύσεις είναι μια δυνατότητα OneLake που επιτρέπει την αναφορά δεδομένων από μία τοποθεσία χωρίς φυσική αντιγραφή των δεδομένων. Οι συντομεύσεις είναι ένα ισχυρό εργαλείο που επιτρέπει την εύκολη επαναχρησιασμό δεδομένων από μία λίμνη σε άλλες τοποθεσίες χωρίς τη δημιουργία διπλότυπων αντιγράφων δεδομένων.
Οι αποθήκες στο Fabric δεν υποστηρίζουν συντομεύσεις. Ωστόσο, υπάρχει ειδική συμπεριφορά για τον τρόπο με τον οποίο το τελικό σημείο ανάλυσης SQL για μια λίμνη αλληλεπιδρά με τις συντομεύσεις.
Η πρόσβαση σε όλες τις συντομεύσεις σε μια λίμνη γίνεται σε λειτουργία ανάθεσης κατά την υποβολή ερωτημάτων μέσω του τελικού σημείου ανάλυσης SQL. Η πληρεξούσιος ταυτότητας είναι ο χρήστης Fabric στον οποίο ανήκει το lakehouse. Από προεπιλογή, ο κάτοχος είναι ο χρήστης που δημιούργησε το τελικό σημείο lakehouse και ανάλυσης SQL. Ο κάτοχος μπορεί να αλλάξει σε επιλεγμένες περιπτώσεις και ο τρέχων κάτοχος εμφανίζεται στη στήλη Κάτοχος στο Fabric κατά την προβολή του στοιχείου στη λίστα στοιχείων χώρου εργασίας. Η συμπεριφορά ανάθεσης σημαίνει ότι ένας χρήστης που εκτελεί ερωτήματα έχει τη δυνατότητα ανάγνωσης από πίνακες συντομεύσεων εάν ο κάτοχος έχει πρόσβαση στα υποκείμενα δεδομένα και όχι ο χρήστης που εκτελεί το ερώτημα. Ο χρήστης υποβολής ερωτημάτων χρειάζεται μόνο πρόσβαση για να επιλέξει από τον πίνακα συντόμευσης.
Σημείωμα
Για παράδειγμα, η UserA είναι ο κάτοχος μιας lakehouse και η UserB εκτελεί ένα ερώτημα σε έναν πίνακα που είναι μια συντόμευση. Το UserB πρέπει πρώτα να έχει πρόσβαση ανάγνωσης στον πίνακα, είτε μέσω δικαιωμάτων ReadData είτε μέσω SQL. Για να δει τα δεδομένα, το ερώτημα, στη συνέχεια, ελέγχει αν ο Χρήστης Α έχει πρόσβαση στη συντόμευση. Εάν η UserA έχει πρόσβαση, η συνάρτηση UserB θα δει τα αποτελέσματα του ερωτήματος. Εάν η UserA δεν έχει πρόσβαση, το ερώτημα θα αποτύχει.
Για τις λιμνοθάλασσες που χρησιμοποιούν τη δυνατότητα Ρόλοι πρόσβασης δεδομένων OneLake, η πρόσβαση σε μια συντόμευση προσδιορίζεται από το εάν ο κάτοχος τελικού σημείου ανάλυσης SQL έχει πρόσβαση για να δει τη λίμνη προορισμού και να διαβάσει τον πίνακα μέσω ενός ρόλου πρόσβασης δεδομένων OneLake.
Για τις λιμνοθάλασσες που δεν χρησιμοποιούν ακόμα τη δυνατότητα ρόλοι πρόσβασης δεδομένων OneLake, η πρόσβαση συντόμευσης προσδιορίζεται από το εάν ο κάτοχος του τελικού σημείου ανάλυσης SQL έχει το δικαίωμα Ανάγνωση και ΑνάγνωσηΌλ στη διαδρομή προορισμού.