Partager via


Sécuriser les données avec Fabric, les moteurs de calcul et OneLake

Fabric offre un modèle de sécurité multicouche pour gérer l’accès aux données. La sécurité peut être définie pour un espace de travail entier, pour des éléments individuels ou via des autorisations granulaires dans chaque moteur Fabric. OneLake a ses propres considérations de sécurité, décrites dans ce document.

Rôles d’accès aux données OneLake (préversion)

Les rôles d’accès aux données OneLake (préversion) permettent aux utilisateurs de créer des rôles personnalisés dans un lakehouse et d’accorder des autorisations d'accès en lecture uniquement aux dossiers spécifiés lors de l’accès à OneLake. Pour chaque rôle OneLake, les utilisateurs peuvent attribuer des utilisateurs, des groupes de sécurité ou accorder une attribution automatique en fonction du rôle d’espace de travail.

Diagramme de la structure d’un data lake qui se connecte à des conteneurs sécurisés de manière distincte.

En savoir plus sur le modèle de contrôle d’accès aux données OneLake et bien démarrer avec l’accès aux données .

Sécurité des raccourcis

Les raccourcis dans Microsoft Fabric permettent une gestion des données simplifiée. La sécurité du dossier OneLake s’applique aux raccourcis OneLake en fonction des rôles définis dans le lakehouse où les données sont stockées.

Pour plus d’informations sur les considérations de sécurité des raccourcis, consultez le modèle de contrôle d’accès OneLake. Des informations supplémentaires sur les raccourcis sont disponibles ici..

Authentification

OneLake utilise Microsoft Entra ID pour l’authentification. Vous pouvez l’utiliser pour accorder des autorisations aux identités d’utilisateur et aux principaux de service. OneLake extrait automatiquement l’identité utilisateur des outils qui utilisent l’authentification Microsoft Entra et la mappe aux autorisations que vous avez définies dans le portail Fabric.

Remarque

Pour utiliser des principaux de service dans un locataire Fabric, un administrateur client doit activer les noms de principaux de service (SPN) pour l’ensemble du locataire ou des groupes de sécurité spécifiques. En savoir plus sur l’activation des principaux de service dans le Paramètres développeur du portail administrateur du locataire

Journaux d’audit

Pour afficher vos journaux d’audit OneLake, suivez les instructions dans Suivre les activités des utilisateurs dans Microsoft Fabric. Les noms des opérations OneLake correspondent à API ADLS, telles que CreateFile ou DeleteFile. Les journaux d’audit OneLake n’incluent pas de demandes de lecture ou de demandes adressées à OneLake via des charges de travail Fabric.

Chiffrement et mise en réseau

Données au Repos

Les données stockées dans OneLake sont chiffrées au repos par défaut à l’aide de la clé gérée par Microsoft. Les clés gérées par Microsoft font l'objet d'une rotation appropriée. Les données dans OneLake sont chiffrées et déchiffrées de manière transparente et sont conformes à la norme FIPS 140-2.

Le chiffrement au repos à l’aide de la clé gérée par le client n’est actuellement pas pris en charge. Vous pouvez envoyer une demande de cette fonctionnalité sur Microsoft Fabric Ideas.

Données en transit

Les données en transit sur l’Internet public entre les services Microsoft sont toujours chiffrées avec au moins TLS 1.2. Fabric négocie vers TLS 1.3 dans la mesure du possible. Le trafic entre les services Microsoft achemine toujours sur le réseau global Microsoft.

La communication OneLake entrante applique également TLS 1.2 et négocie vers TLS 1.3, dans la mesure du possible. La communication Fabric sortante vers l’infrastructure détenue par le client préfère les protocoles sécurisés, mais peut revenir aux protocoles plus anciens et non sécurisés (y compris TLS 1.0) quand les protocoles plus récents ne sont pas pris en charge.

Pour configurer des liaisons privées dans Fabric, consultez Configurer et utiliser des liaisons privées.

Autoriser les applications s’exécutant en dehors de Fabric à accéder aux données via OneLake

OneLake vous permet de restreindre l’accès aux données des applications exécutées en dehors des environnements Fabric. Les administrateurs peuvent trouver le paramètre dans la section OneLake du portail administrateur du locataire. Quand vous activez ce paramètre, les utilisateurs peuvent accéder aux données par le biais de toutes les sources. Quand vous désactivez le paramètre, les utilisateurs ne peuvent pas accéder aux données par le biais d’applications exécutées en dehors des environnements Fabric. Par exemple, les utilisateurs peuvent accéder aux données via des applications utilisant les API Azure Data Lake Storage (ADLS) ou l'explorateur de fichiers OneLake.