Lakehousen suojaaminen tietojenkäsittelytiimeille
Esittely
Tässä artikkelissa annamme yleiskatsauksen Fabricin lakehouse-tallennustilan suojauksen määrittämisestä tietojenkäsittelytiimejä ja kuormituksia varten.
Suojausominaisuudet
Microsoft Fabric käyttää monikerroksista suojausmallia, jonka eri tasoilla on saatavilla erilaisia ohjausobjekteja ja jonka avulla voidaan antaa vain tarvittavat vähimmäisoikeudet. Katso tästä asiakirjasta lisätietoja Fabricissa käytettävissä olevista erilaisista suojausominaisuuksista.
Käyttötapauksen mukaan suojattu
Microsoft Fabricin suojaus on optimoitu tietojen suojaamisen ympärille tiettyjä käyttötapauksia varten. Käyttötapaus on joukko käyttäjiä, jotka tarvitsevat tietyn käyttöoikeuden ja käyttävät tietoja tietyn moduulin kautta. Tietojenkäsittelyskenaarioiden kohdalla esimerkkejä käyttötapauksista ovat:
- Apache Spark -kirjoittajat: Käyttäjät, joiden on kirjoitettava tietoja lakehouse-järjestelmään Apache Spark -muistikirjojen avulla.
- Apache Spark -lukijat: Käyttäjät, joiden on luettava tietoja Apache Spark -muistikirjojen avulla.
- Jakson lukijat: Käyttäjät, joiden on luettava tietoja lakehousesta putkien avulla.
- Pikakuvakkeiden luojat: Käyttäjät, joiden on luotava pikakuvakkeita lakehousessa olevien tietojen pikakuvakkeisiin.
Voimme sitten tasata kunkin käyttötapauksen Fabricissa tarvittavilla käyttöoikeuksilla.
Kirjoitusoikeus
Fabric-työtilaroolien avulla hallitaan käyttäjien, joiden on kirjoitettava tietoja Fabric-työtilassa. Työtilarooleja on kolme, jotka myöntävät kirjoitusoikeudet: järjestelmänvalvoja, jäsen ja osallistuja. Valitse tarvittava rooli ja myönnä käyttäjille käyttöoikeus siihen.
OneLake-tietojen käyttöoikeusroolit (esikatselu) eivät rajoita käyttäjiä, joilla on kirjoitusoikeus. Kirjoittamisen käyttäjien käyttöoikeudet voivat olla rajoitettuja tietoihin SQL Analytics -päätepistetietojen kautta, mutta he säilyttävät täydet käyttöoikeudet tietoihin OneLakessa. Jos haluat rajoittaa tietojen käyttöä kirjoittaville käyttäjille, tiedoille on luotava erillinen työtila.
Lukuoikeus
Käyttäjille, joiden on luettava tietoja putkien tai Apache Spark -muistikirjojen avulla, käyttöoikeuksia säätelevät Fabric-kohteen käyttöoikeudet yhdessä OneLake-tietojen käyttöoikeusroolien (esikatselu) kanssa . Fabric-kohteen käyttöoikeudet ohjaavat sitä, mitä kohteita käyttäjä voi nähdä ja miten hän voi käyttää kyseistä kohdetta. OneLake-tietojen käyttöroolit ohjaavat sitä, mitä tietoja käyttäjä voi käyttää OneLakeen yhdistävän kokemuksen kautta. Lakehouse-kohteissa, joihin ei ole otettu käyttöön OneLake-tietojen käyttöroolien esikatselua, sovelletaan sen sijaan ReadAll-kohteen käyttöoikeutta, ja OneLake-tietojen käyttöoikeus myönnetään koko Lakehouselle.
Tietojen lukemiseksi käyttäjän on ensin päästävä lakehouseen, jossa nämä tiedot sijaitsevat. Lakehouse-käyttöoikeuden myöntäminen voidaan tehdä valitsemalla Jaa-painike lakehouse-osassa joko työtilasivulta tai Lakehousen käyttöliittymästä. Anna kyseisten käyttäjien sähköpostiosoitteet tai käyttöoikeusryhmä ja valitse Jaa. (Jätä Lisäkäyttöoikeusruudut valitsematta. Jos lakehouse-tilassa ei ole käytössä OneLake-tietoyhteysroolien esikatselua, valitse Lue kaikki OneLake-tiedot (ReadAll)) -ruutu.
Siirry seuraavaksi Lakehouse-tallennustilaan ja valitse OneLake-tietojen käytön hallinta (esikatselu) -painike. Näiden vaihtoehtojen avulla voit luoda rooleja, jotka antavat käyttäjille käyttöoikeuden nähdä ja lukea lakehousen tietyistä kansioista. Kansioiden käyttöoikeuksia ei sallita oletusarvoisesti. Rooliin lisätyille käyttäjille myönnetään käyttöoikeus tämän roolin kattamiin kansioihin. Lisätietoja on kohdassa OneLake-tietojen käyttöroolit (esikatselu). Luo tarvittaessa rooleja, jotta käyttäjät voivat lukea kansioita jaksojen, pikanäppäinten tai Spark-muistikirjojen kautta.
Tärkeä
Kaikilla Lakehouse-asennoilla, jotka käyttävät OneLake-tietojen käyttöroolien esikatselua, on DefaultReader-rooli, joka myöntää pääsyn Lakehouse-tietoihin. Jos käyttäjällä on ReadAll-käyttöoikeus, muut tietojen käyttöroolit eivät rajoita häntä. Varmista, että kaikki käyttäjät, jotka kuuluvat tietojen käyttörooliin, eivät myöskään kuulu DefaultReader-rooliin, tai poista oletuslukija-rooli.
Käyttäminen pikakuvakkeiden kanssa
Pikakuvakkeet ovat OneLake-ominaisuus, jonka avulla tietoihin voidaan viitata yhdestä sijainnista kopioimatta tietoja fyysisesti. Katso lisätietoja pikakuvakkeista asiakirjasta täältä.
Voit suojata tiedot käytettäviksi pikakuvakkeiden kanssa samaan tapaan kuin minkä tahansa muun OneLake-kansion kanssa. Kun tietojen käyttöoikeusroolit on määritetty, muiden Lakehouse-talojen käyttäjät voivat luoda pikakuvakkeita vain niihin kansioihin, joihin heillä on käyttöoikeus. Tämän avulla muiden työtilojen käyttäjät voivat valita vain lakehouse-järjestelmän tietoja.
Tärkeä
SQL Analytics -päätepiste käyttää kiinteitä käyttäjätietoja pikakuvakkeiden käyttämiseen. Kun käyttäjä tekee kyselyn pikakuvaketaulukkoon SQL Analytics -päätepisteen kautta, Lakehouse-omistajan käyttäjätiedot tarkistetaan pikakuvakkeen käyttöä varten. Tämä tarkoittaa sitä, että kun luot pikakuvakkeita SQL-kyselyiden kanssa käytettäväksi, Lakehouse-luojan on oltava osa myös OneLake-tietojen käyttörooleja, jotka rajoittavat käyttöoikeuksia vain valittuihin kansioihin.