Panoramica della sicurezza di OneLake
OneLake è un data lake gerarchico, come Azure Data Lake Storage (ADLS) Gen2 o il file system Windows. Questa struttura consente di impostare la sicurezza a livelli diversi nella gerarchia per gestirne l'accesso. Alcuni livelli della gerarchia vengono considerati trattamenti speciali in quanto sono correlati ai concetti di Fabric.
Area di lavoro: un ambiente collaborativo per la creazione e la gestione degli elementi.
Elemento: un set di funzionalità raggruppate in un singolo componente. Un elemento di dati è un sottotipo di elemento che consente di archiviare i dati al suo interno usando OneLake.
Cartelle: cartelle all'interno di un elemento che sono usate per l'archiviazione e la gestione dei dati.
Gli elementi sono sempre presenti all'interno di aree di lavoro e sempre direttamente nello spazio dei nomi OneLake. È possibile visualizzare questa struttura nel modo seguente:
Autorizzazioni dell'area di lavoro
Le autorizzazioni dell'area di lavoro consentono di definire l'accesso a tutti gli elementi di quell'area di lavoro. Esistono 4 ruoli diversi dell'area di lavoro, ognuno dei quali concede diversi tipi di accesso.
Ruolo | È possibile aggiungere amministratori? | È possibile aggiungere membri? | È possibile scrivere dati e creare elementi? | È possibile leggere i dati? |
---|---|---|---|---|
Amministratore | Sì | Sì | Sì | Sì |
Membro | No | Sì | Sì | Sì |
Collaboratore | No | No | Sì | Sì |
Visualizzatore | No | No | No | Sì |
Nota
È possibile visualizzare l'elemento Warehouse con ruoli di lettura/scrittura, ma è possibile scrivere solo nei warehouse usando query SQL.
È possibile semplificare la gestione dei ruoli dell'area di lavoro di Fabric assegnandoli ai gruppi di sicurezza. Questo metodo consente di controllare l'accesso aggiungendo o rimuovendo membri dal gruppo di sicurezza.
Autorizzazioni per gli elementi
Con la funzionalità di condivisione, è possibile dare a un utente l'accesso diretto a un elemento. L'utente può visualizzare solo l'elemento nell'area di lavoro e non è membro di alcun ruolo dell'area di lavoro. Le autorizzazioni degli elementi concedono l'accesso per collegarsi all'elemento e agli endpoint dell'elemento a cui l'utente può accedere.
Autorizzazione | È possibile vedere i metadati di un elemento? | È possibile vedere i dati in SQL? | È possibile vedere i dati in OneLake? |
---|---|---|---|
Lettura | Sì | No | No |
ReadData | No | Sì | No |
ReadAll | No | No | Sì* |
*Non applicabile agli elementi con i ruoli di accesso ai dati OneLake (anteprima) abilitati. Se l'anteprima è abilitata, ReadAll concederà l'accesso solo se è in uso il ruolo DefaultReader. Se tale ruolo viene modificato o eliminato, l'accesso viene invece concesso in base ai ruoli di accesso ai dati di cui fa parte l'utente.
Un altro modo per configurare le autorizzazioni è tramite la pagina Gestisci autorizzazioni di un elemento. Usando questa pagina, è possibile aggiungere o rimuovere l'autorizzazione per singoli elementi per utenti o gruppi. Le autorizzazioni esatte disponibili sono determinate dal tipo di elemento.
Autorizzazioni di calcolo
L'accesso ai dati può essere concesso anche tramite il motore di calcolo SQL su Microsoft Fabric. L'accesso concesso tramite SQL si applica solo agli utenti che accedono ai dati tramite SQL, ma è possibile usare questa sicurezza per dare un accesso più selettivo a determinati utenti. Nello stato corrente, SQL supporta la limitazione dell'accesso a tabelle e schemi specifici, nonché alla sicurezza a livello di riga e colonna.
Gli utenti che accedono ai dati tramite SQL possono visualizzare risultati diversi rispetto all'accesso ai dati direttamente su OneLake, a seconda delle autorizzazioni di calcolo applicate. Per evitare questo problema, assicurarsi che le autorizzazioni degli elementi di un utente siano configurate solo per concedere loro l'accesso all'endpoint di analisi SQL (usando ReadData) o OneLake (usando ReadAll o l'anteprima dei ruoli di accesso ai dati).
Nell'esempio seguente, a un utente viene concesso l'accesso in sola lettura a una lakehouse tramite la condivisione di elementi. Viene concessa l'autorizzazione SELECT all'utente su una tabella tramite l'endpoint di analisi SQL. Quando l'utente tenta di leggere i dati tramite le API OneLake, gli viene negato l'accesso perché non dispone di autorizzazioni sufficienti. L'utente può leggere correttamente le istruzioni di SQL SELECT.
Ruoli di accesso ai dati OneLake (anteprima)
I ruoli di accesso ai dati di OneLake sono una nuova funzionalità che consente di applicare il controllo degli accessi in base al ruolo ai dati archiviati su OneLake. È possibile definire ruoli di sicurezza che concedono l'accesso in lettura a cartelle specifiche all'interno di un elemento di Fabric e assegnarli a utenti o gruppi. Le autorizzazioni di accesso determinano le cartelle che gli utenti vedono quando accedono alla vista Lake dei dati attraverso l'UX della lakehouse, i notebook o le API di OneLake.
Gli utenti di Fabric nei ruoli Amministratore, Membro o Collaboratore possono iniziare creando ruoli di accesso ai dati di OneLake per concedere l'accesso solo a cartelle specifiche in una lakehouse. Per concedere l'accesso ai dati in una lakehouse, aggiungere utenti a un ruolo di accesso ai dati. Gli utenti che non sono parte di un ruolo di accesso ai dati non vedranno dati in tale lakehouse.
Maggiori informazioni sulla creazione di ruoli di accesso ai dati con la sezione Introduzione ai ruoli di accesso ai dati.
Maggiori informazioni sul modello di sicurezza per l'accesso ai ruoli Modello di controllo dell'accesso ai dati.
Sicurezza dei collegamenti
I collegamenti in Microsoft Fabric consentono una gestione semplificata dei dati, ma è importante tenere presente alcune considerazioni sulla sicurezza. Per ulteriori informazioni sulla gestione della sicurezza dei collegamenti, consultare questo documento.
Per i ruoli di accesso ai dati di OneLake (anteprima), i collegamenti ricevono un trattamento speciale a seconda del tipo di collegamento. L'accesso a un collegamento OneLake è sempre controllato dai ruoli di accesso nella destinazione del collegamento. Ciò significa che per un collegamento dalla LakehouseA alla LakehouseB, la sicurezza della LakehouseB avrà effetto. I ruoli di accesso ai dati nella LakehouseA non possono concedere o modificare la sicurezza del collegamento alla LakehouseB.
Per i collegamenti esterni ad Amazon S3 o ADLS Gen2, la sicurezza si configura con i ruoli di accesso ai dati nella lakehouse stessa. Un collegamento dalla LakehouseA a un bucket S3 può avere ruoli di accesso ai dati configurati nella LakehouseA. È importante notare che solo il livello radice del collegamento può essere protetto. Assegnando l'accesso alle sottocartelle del collegamento si genereranno errori di creazione del ruolo.
Maggiori informazioni sul modello di sicurezza per i collegamenti in Modello di controllo dell'accesso ai dati