OneLake 보안 개요
OneLake는 ADLS (Azure 데이터 레이크 저장소) Gen2 혹은 Windows 파일 시스템과 같은 계층적 데이터 레이크입니다. 이 구조를 사용하시게 되면 계층 구조의 여러 가지 수준으로 보안을 설정하셔서 액세스를 제어하실 수 있습니다. 계층 구조의 일부 수준에서는 Fabric 개념과 상관 관계가 있기 때문에 특별한 처리를 제공해 드립니다.
작업 영역: 항목을 만드시고 관리하시기 위한 공동 작업 환경입니다.
항목: 단일 구성 요소로 모두 묶어 번들로 제공되는 기능 세트입니다. 데이터 항목은 OneLake를 사용하셔서 데이터를 지정해 보실 수 있는 항목에 대한 하위 형식인 것입니다.
폴더: 데이터를 저장하시고 관리하시기 위해서 사용되는 항목 내의 폴더입니다.
항목은 항상 작업 영역 내에 있게 되고 작업 영역은 항상 OneLake 네임스페이스 바로 아래에 위치해 있습니다. 이 구조는 다음과 같이 시각화할 수 있습니다.
작업 영역 권한
작업 공간 사용 권한을 사용하게 되시면 해당 작업 공간 내의 모든 항목의 액세스 사용 권한을 정의하실 수 있습니다. 업무 공간 역할에는 4가지 있으며, 각 역할은 서로 다른 종류의 엑세스 사용 권한을 부여해 드립니다.
| 역할 | 관리자를 추가할 수 있는 건가요? | 구성원을 추가할 수 있는 건가요? | 데이터를 작성하고 항목을 만들 수 있는 건가요? | 데이터를 읽을 수 있는 건가요? |
|---|---|---|---|---|
| 관리자 | 예 | 예 | 예 | 예 |
| 멤버 | 예 | 예 | 예 | 예 |
| 기여자 | 아니요 | 아니요 | 예 | 예 |
| 시청자 | 아니요 | 아니요 | 아니요 | 네 |
참고 항목
읽기-쓰기 역할을 사용하여 웨어하우스 항목을 볼 수 있지만 SQL 쿼리를 사용하여 웨어하우스에만 쓸 수 있습니다.
Fabric 작업 영역 역할을 보안 그룹에 할당하여 관리를 간소화할 수 있습니다. 이 방법을 사용하면 보안 그룹에서 멤버를 추가하거나 제거하여 액세스를 제어할 수 있습니다.
항목 권한
공유 기능을 사용시게 되면 사용자에게 항목에 대한 직접 액세스사용 권한을 부여하실 수 있습니다. 사용자는 작업 영역에서만 해당 항목을 보실 수 있고 작업 영역 역할의 구성원은 아닌 것입니다. 항목 사용 권한은 해당 항목에 연결하실 수 있는 액세스 사용 권한과 사용자가 액세스하실 수 있는 항목 엔드포인트를 부여해 드리고 있습니다.
| Permission | 항목 메타데이터를 확인해 보시겠어요? | SQL에서 데이터를 확인해 보시겠어요? | OneLake에서 데이터를 확인해 보시겠어요? |
|---|---|---|---|
| 읽기 | 예 | 아니요 | 아니요 |
| ReadData | 예 | 예 | 아니요 |
| ReadAll | 아니요 | 예 | 예* |
*OneLake 데이터 액세스의 역할 (미리 보기) 은 활성화된 항목에 적용되는 것은 아닙니다. 미리 보기를 사용하시는 경우에 ReadAll은 DefaultReader 역할이 사용 중인 경우에만 액세스 사용 권한을 부여해 드리고 있습니다. 해당 역할을 편집하시거나 삭제하시는 경우에 사용자가 속해진 데이터 액세스 역할을 기반으로 액세스 사용 권한이 대신 부여해 드리고 있습니다.
사용 권한을 구성하는 또 다른 방법에는 항목의 사용 권한 관리 페이지를 사용해 보시는 것입니다. 이 페이지를 사용하시게 되면 사용자 혹은 그룹에 대한 개인별 항목 사용 권한을 추가하사거나 제거하실 수 있습니다. 사용 가능한 정확한 사용 권한은 항목 형식을 기반으로 결정되는 것입니다.
컴퓨팅 사용 권한
Microsoft Fabric의 SQL 컴퓨팅 엔진을 통해서 데이터 액세스를 제공해 드릴수도 있습니다. SQL을 통해 부여된 액세스 사용 권한은 SQL을 통해서 데이터에 액세스하사는 사용자에게만 적용되기는 하지만, 이 보안을 사용하셔서 특정 사용자에게 보다 선택적으로 액세스하실 수 있는 것입니다. 현재 상태에서는 SQL은 특정 테이블 및 스키마를 위한 엑세스 제한과 행 및 열 수준 보안을 지원해 드리고 있습니다.
SQL을 통해서 데이터에 액세스하시는 사용자에게는 적용된 컴퓨팅 권한에 따라서 OneLake에서 직접 데이터에 액세스하시는 것과는 다른 결과를 보실 수 있습니다. 이를 방지하기 위해서는 사용자의 항목 사용 권한이 SQL 분석 엔드포인트 (ReadData 사용) 혹은 OneLake (ReadAll 혹은 데이터 액세스 역할 미리 보기 사용) 을 위한 액세스 사용 권한만을 부여하기 위해서 만들어졌는지 확인해 주세요.
다음 예제에서는 사용자는 항목 공유를 통해서 레이크하우스를 위한 읽기 전용 액세스 사용 권한을 부여해 드리는 것입니다. 사용자에게 SQL 분석 엔드포인트를 통해서 테이블을 위한 SELECT 사용 권한을 부여받게 되는 것입니다. 해당 사용자가 OneLake API를 통해서 데이터를 읽으려고 하실 때 충분한 사용 권한을 갖고 계시지 않기 때문에 액세스가 거부되는 것입니다. 사용자는 SQL SELECT 문을 성공적으로 읽을 수 있습니다.
OneLake 데이터 액세스의 역할 (미리 보기)
OneLake 데이터 액세스 역할은 OneLake에 저장된 데이터에 역할 기반 액세스 제어 (RBAC) 를 적용해 보실 수 있는 새로운 기능입니다. Fabric 항목 내의 특정 폴더를 위한 읽기 사용 권한을 부여해 주시고 사용자 혹은 그룹에 할당하시는 보안 역할을 정의내리실 수 있습니다. 액세스 권한은 레이크하우스 UX, 노트북 혹은 OneLake API를 통해서 데이터의 레이크 보기에 액세스하실 때 사용자에게 표시되는 폴더를 결정해 드립니다.
관리, 구성원 혹은 기여자 역할을 맡으신 Fabric 사용자는 OneLake 데이터 액세스의 역할을 만드셔서 레이크하우스의 특정 폴더에만 액세스 사용 권한을 부여하셔서 시작해 보실 수 있습니다. 레이크하우스의 데이터를 위한 액세스 사용 권한을 부여하기 위해서는 데이터 액세스 역할에 사용자를 추가해 주세요. 데이터 액세스 역할에 속해 있지 않은 사용자는 해당 레이크하우스에 데이터는 표시되지 않고 있습니다.
데이터 액세스 역할 시작하기에서 데이터 액세스 역할을 만드는 방법에 대해 자세하게 알아보세요.
액세스 역할을 위한 보안 모델 데이터 엑세스 제어 모델에 대해서 자세하게 알아보세요.
바로 가기의 보안
Microsoft Fabric에서 바로 가기를 사용하시게 되면 데이터 관리를 간소화되게 하실 수는 있겠지만 몇 가지 유의하셔야 하는 보안 고려 사항이 있습니다. 바로 가기 보안을 관리를 위한 방법에 대한 자세한 정보는 이 문서를 확인해 주세요.
OneLake 데이터 액세스의 역할 (미리 보기) 의 경우에 바로 가기 형식에 따라서 바로 가기에서는 특별한 처리를 제공받게 되는 것입니다. OneLake 바로 가기를 위한 액세스는 항상 바로 가기 대상의 액세스 역할에 의해서 제어되는 것입니다. 즉, 레이크하우스 A에서 레이크하우스 B로 가는 바로 가기의 경우에 레이크하우스 B의 보안은 적용되어 집니다. 레이크하우스 A의 데이터 액세스 역할은 레이크하우스 B를 위한 바로 가기의 보안을 부여하시나 편집하실 수는 없습니다.
Amazon S3 혹은 ADLS Gen2를 위한 외부 바로 가기의 경우에 레이크하우스 자체에서의 데이터 엑세스 역할을 통해서 보안이 만들어지는 것입니다. 레이크하우스 A에서 S3 버킷으로의 바로 가기에는 레이크하우스 A에서 데이터 액세스 역할을 만들어 보실 수 있습니다. 바로 가기의 루트 수준으로만 보안을 적용해 보실 수 있다는 점에 유의하셔야 하는 중요한 점입니다. 바로 가기의 하위 폴더에 대한 액세스 사용 권한을 할당하게 되시면 역할 생성 오류가 발생하게 됩니다.
데이터 액세스 제어 모델의 바로 가기를 위한 보안 모델에 대해 자세하게 알아보기