Tietojen suojaaminen yleisissä tietoarkkitehtuurissa
Tässä artikkelissa annetaan yleiskatsaus siitä, miten voit määrittää OneLake-tietojen suojauksen sekä tietoyhteyksilleettä keskukselle sekä puhearkkitehtuureja varten.
Suojausominaisuudet
Microsoft Fabric käyttää monikerroksista suojausmallia, jonka eri tasoilla on saatavilla erilaisia ohjausobjekteja ja jonka avulla voidaan antaa vain tarvittavat vähimmäisoikeudet. Lisätietoja tässä ohjeartikkelissa kuvatuista suojaustyypeistä on artikkelissa Tietojen käytön hallintamalli OneLakessa.
Turvallinen tietoyksikölle
Tietoverkko on arkkitehtoninen paradigmi, joka käsittelee tietoja tuotteena palvelun tai resurssin sijaan. Dataverkko pyrkii hajauttamaan tietojen omistajuuden ja hallinnan eri toimialueilla ja tiimeissä ja mahdollistaa samalla yhteentoimivuuden ja löydettävyyden yhteisen ympäristön kautta. Tietoverkkoarkkitehtuurissa jokainen hajautettu tiimi hallitsee datan omistajuutta, joka on osa tietotuotetta. Tässä osiossa annetut suojausohjeet keskittyvät yksittäiseen tietojen tuotetiimiin, joka määrittää heidän työtilansa käyttöoikeudet. Eri tietojen tuotetiimit voivat toistaa vaiheet omassa työtilassaan, sillä ne mahdollistavat pääsyn jatkokäyttäjille.
Aloita tietorakenteen luominen Microsoft Fabricin toimialueominaisuuden avulla työtilojen merkitsemiseen niihin liittyvän tietotuotteen ja omistajuuden mukaan.
Kullakin tiimillä on toimialueilla oma työtilansa tai työtilansa. Työtilaan tallennetaan tiedot, joita tarvitaan lopullisten kulutusta varten tarkoitettujen tietotuotteiden luomiseen. Työtilan käyttöoikeuksien myöntäminen käyttäjille työtilan roolien avulla .
Tunnista tietotuotteidesi jatkokäyttäjät ja myönnä käyttöoikeus tavoitteiden saavuttamiseksi tarvittavien vähimmäisoikeuksien mukaisesti. Jotta käyttäjät pysyvät kohdekokemuksissaan linjassa, kullekin jatkokäyttäjätyypille voidaan antaa käyttöoikeus yksittäiseen Fabric-tietokohteeseen. Alla olevassa taulukossa on joitakin yleisiä käyttötapauksia tietoverkkojen kuluttajille ja asiaankuuluville Fabric-kohteille.
| User | Fabric-kohteet |
|---|---|
| Tietojenkäsittelyasiantuntijat | Apache Spark -muistikirjat tai Lakehouse |
| Tietoteknikot | Apache Spark -muistikirjat, tietovuot tai putket |
| Yritysanalyytikot | SQL-analytiikan päätepiste |
| Raporttien luojat | Semanttiset mallit |
| Raportin kuluttajat | Power BI raportit |
Secure for hub ja spoke
Keskus ja puhearkkitehtuuri eroavat tietoytimestä, sillä kaikkien sertifioitujen tietotuotteiden hallinta on yhdessä keskitetyssä sijainnissa. Jatkojalostuskuluttajat eivät keskity niin paljon lisätietotuotteiden luomiseen, vaan tekevät sen sijaan analyyseja keskustiimin tuottamista tiedoista.
Tunnista loppuvaiheen kuluttajat ja myönnä käyttöoikeus tavoitteiden saavuttamiseksi tarvittavien vähimmäisoikeuksien mukaan. Jotta käyttäjät pysyvät kohdekokemuksissaan linjassa, kullekin jatkokäyttäjätyypille voidaan antaa käyttöoikeus yksittäiseen Fabric-tietokohteeseen. Käyttäjän persoona -taulukko näyttää joitain yleisiä hub-käyttötapauksia ja puhui yhdessä asianmukaisten Fabric-kohteiden kanssa.
| User | Fabric-kohteet |
|---|---|
| Tietojenkäsittelyasiantuntijat | Apache Spark -muistikirjat tai Lakehouse |
| Yritysanalyytikot | SQL-analytiikan päätepiste |
| Raporttien luojat | Semanttiset mallit |
| Raportin kuluttajat | Power BI raportit |
Työtilaroolit
Työtilan roolimääritykset noudattavat samoja ohjeita sekä keskuksessa että puhe- ja tietoverkkoarkkitehtuurissa. Työvastuutaulukko näyttää, mikä työtilan rooli käyttäjille määritetään sen perusteella, mitä funktioita he suorittavat työtilassa.
| Vastuualueet | Työtilan rooli |
|---|---|
| Omista työtila ja hallitse roolimäärityksiä | Järjestelmänvalvoja |
| Muiden kuin järjestelmänvalvojien roolimääritysten hallinta | Jäsen |
| Fabric-kohteiden luominen ja tietojen kirjoittaminen | Osallistuja |
| Taulukoiden ja näkymien luominen SQL:n avulla | Katselija + SQL-käyttöoikeudet |
Tietojenkäsittelyasiantuntijat
Tietotutkijat tarvitsevat pääsyn lakehousen tietoihin kuluttaakseen Apache Sparkin kautta. Spark-käyttäjät kuluttavat tietoverkkoa ja keskuksia varten tietoja, jotka ovat peräisin erillisestä työtilasta kuin tiedot. Näin tietojenkäsittelyasiantuntijat voivat luoda malleja ja kokeita lisäämättä tarpeettomia osia työtilaan, joka sisältää tiedot. Tietojenkäsittelyasiantuntijat voivat käyttää myös muita kuin Spark-palveluja, jotka muodostavat yhteyden suoraan OneLake-tietopolkuihin, kuten Azure Databricks tai Dremio.
Voit valmistella tietojenkäsittelytutkijoille pääsyn käyttämällä Jaa-painiketta Lakehousen jakamiseen. Valitse valintaikkunassa Read all Apache Spark -ruutu. Lakehouse-taloissa, joissa on käytössä OneLake-tietojen käyttöoikeusroolit , anna samoille käyttäjille käyttöoikeus lisäämällä heidät OneLake-tietojen käyttöoikeusrooliin. OneLake-tietojen käyttöroolien käyttäminen tarjoaa tarkemmat tiedot. Tietoteknikot voivat sitten luoda pikakuvakkeita taulukoiden tai kansioiden valitsemiseksi Lakehousessa.
Tietoteknikot
Tietoteknikot tarvitsevat pääsyn lakehousen tietoihin jatkodatatuotteiden rakentamiseksi. Tietoteknikot tarvitsevat pääsyn OneLake-tietoihin, jotta putkia tai muistikirjoja voidaan luoda tietojen lukemiseksi. Tosikeskuksessa ja puhemallissa datainsinöörin rooli on olemassa vain keskuskeskustiimin kerroksissa. Tietoverkkoa varten tietoteknikot kuitenkin yhdistävät eri toimialueiden tietotuotteita luodakseen uusia tietojoukkoja.
Jaa-painikkeella voit jakaa Lakehousen datainsinöörien kanssa. Valitse valintaikkunassa Read all Apache Spark -ruutu. Lakehouse-taloissa, joissa on käytössä OneLake-tietojen käyttöoikeusroolit , anna samoille käyttäjille käyttöoikeus lisäämällä heidät OneLake-tietojen käyttöoikeusrooliin. OneLake-tietojen käyttöroolien käyttäminen tarjoaa tarkemmat tiedot. Tietoteknikot voivat sitten luoda pikakuvakkeita taulukoiden tai kansioiden valitsemiseksi Lakehousessa.
Yritysanalyytikot
Yritysanalyytikot (joskus kutsuvat tietoanalyytikoille) kyselevät tietoja SQL:n kautta liiketoimintakysymyksiin vastaamiseksi.
Jaa-painikkeella voit jakaa Lakehousen yritysanalyytikoille. Valitse Lue kaikki SQL-päätepisteet -tietoruutu valintaikkunassa. Tämän asetuksen avulla yritysanalyytikot voivat käyttää Lakehousen SQL-analytiikan päätepisteen tietoja, mutta eivät tarkastella pohjana olevia OneLake-tiedostoja.
Näiden käyttäjien käyttöoikeuksia voidaan rajoittaa entisestään määrittämällä rivi- tai saraketason suojaus suoraan SQL:ssä.
Raporttien luojat
Raporttien luojat luovat Power BI -raportteja muiden käyttäjien käytettäväksi.
Jaa-painikkeella voit jakaa Lakehousen raporttien tekijöille. Valitse valintaikkunassa Koontiraportit oletusarvoisen semanttisen mallin ruudussa. Tämän oikeuden avulla raportin tekijät voivat luoda raportteja käyttämällä Lakehouseen liittyvää semanttista mallia. Kyseiset käyttäjät eivät voi käyttää OneLake-tietoja tai heillä on täydet käyttöoikeudet SQL-analytiikan päätepisteeseen.
Raportin kuluttajat
Raportin kuluttajat ovat yritysjohtajia tai johtajia, jotka tarkastelevat Power BI -raportin tietoja päätöksiä tehdäkseen.
Raportin jakaminen kuluttajille Jaa-painikkeen avulla. Älä valitse mitään ruutua, jotta saat käyttöoikeuden raportin lukemiseen, mutta et näe mitään pohjana olevista tiedoista. Jos haluat estää käyttäjiä käyttämästä SQL-analytiikan päätepistettä ja tarkastelemasta taulukoita, varmista, ettei ole määritetty SQL-käyttöoikeuksia, jotka myöntäisivät käyttöoikeuden näille käyttäjille.
Voit myös jakaa tietoja raporttien kuluttajille sovelluksen avulla. Sovellusten avulla käyttäjät voivat käyttää esimääritettyä raporttia tai raporttijoukkoa tarvitsematta käyttää pohjana olevaa työtilaa. Huomaa, että Direct Lake -tilassa olevien raporttien osalta käyttäjillä on oltava jaettuna pohjana oleva Lakehouse-tallennustila heidän kanssaan, jotta he näkevät tiedot.