Jak zabezpieczyć usługę Lakehouse dla zespołów nauki o danych
Wprowadzenie
W tym artykule przedstawimy omówienie sposobu konfigurowania zabezpieczeń usługi Lakehouse w usłudze Fabric do użytku z zespołami nauki o danych i obciążeniami.
Funkcje zabezpieczeń
Usługa Microsoft Fabric używa wielowarstwowego modelu zabezpieczeń z różnymi mechanizmami kontroli dostępnymi na różnych poziomach, aby zapewnić tylko minimalne wymagane uprawnienia. Aby uzyskać więcej informacji na temat różnych funkcji zabezpieczeń dostępnych w usłudze Fabric, zobacz ten dokument.
Zabezpieczanie według przypadku użycia
Zabezpieczenia w usłudze Microsoft Fabric są zoptymalizowane pod kątem zabezpieczania danych pod kątem określonych przypadków użycia. Przypadek użycia to zestaw użytkowników wymagających określonego dostępu i uzyskiwania dostępu do danych za pośrednictwem danego aparatu. W przypadku scenariuszy nauki o danych przykładowe przypadki użycia to:
- Autorzy platformy Apache Spark: użytkownicy, którzy muszą zapisywać dane w usłudze Lakehouse przy użyciu notesów platformy Apache Spark.
- Czytelnicy platformy Apache Spark: użytkownicy, którzy muszą odczytywać dane przy użyciu notesów platformy Apache Spark.
- Czytniki potoków: użytkownicy, którzy muszą odczytywać dane z magazynu lakehouse przy użyciu potoków.
- Twórcy skrótów: użytkownicy, którzy muszą tworzyć skróty do danych w lakehouse.
Następnie możemy wyrównać każdy przypadek użycia z niezbędnymi uprawnieniami w sieci szkieletowej.
Dostęp do zapisu
W przypadku użytkowników, którzy muszą zapisywać dane w sieci szkieletowej, dostęp jest kontrolowany za pośrednictwem ról obszaru roboczego sieć szkieletowa. Istnieją trzy role obszaru roboczego, które udzielają uprawnień do zapisu: Administrator, Członek i Współautor. Wybierz wymaganą rolę i przyznaj użytkownikom dostęp do niej.
Użytkownicy z dostępem do zapisu nie są ograniczeni przez role dostępu do danych usługi OneLake (wersja zapoznawcza). Zapisywanie użytkowników może mieć ograniczony dostęp do danych za pośrednictwem danych punktu końcowego usługi SQL Analytics, ale zachować pełny dostęp do danych w usłudze OneLake. Aby ograniczyć dostęp do danych dla użytkowników zapisu, należy utworzyć oddzielny obszar roboczy dla tych danych.
Dostęp do odczytu
W przypadku użytkowników, którzy muszą odczytywać dane przy użyciu potoków lub notesów platformy Apache Spark, uprawnienia są zarządzane przez uprawnienia elementu sieci szkieletowej wraz z rolami dostępu do danych Usługi OneLake (wersja zapoznawcza). Uprawnienia elementu sieci szkieletowej określają, jakie elementy może zobaczyć użytkownik i jak mogą uzyskać dostęp do tego elementu. Role dostępu do danych usługi OneLake określają, do jakich danych użytkownik może uzyskiwać dostęp za pośrednictwem środowisk łączących się z usługą OneLake. W przypadku usług lakehouse bez włączonej wersji zapoznawczej ról dostępu do danych OneLake zamiast tego dostęp podlega uprawnieniem ReadAll elementu i dostęp do danych OneLake jest przyznawany dla całego magazynu lakehouse.
Aby odczytywać dane, użytkownik najpierw potrzebuje dostępu do magazynu lakehouse, w którym te dane żyją. Udzielenie dostępu do usługi Lakehouse można wykonać, wybierając przycisk Udostępnij w lakehouse na stronie obszaru roboczego lub z poziomu interfejsu użytkownika usługi Lakehouse. Wprowadź adresy e-mail lub grupę zabezpieczeń dla tych użytkowników i wybierz pozycję Udostępnij. (Pozostaw niezaznaczone pola Dodatkowe uprawnienia. W przypadku usług lakehouse bez włączonej wersji zapoznawczej ról dostępu do danych OneLake zaznacz pole Odczytaj wszystkie dane OneLake (ReadAll)).
Następnie przejdź do usługi Lakehouse i wybierz przycisk Zarządzaj dostępem do danych usługi OneLake (wersja zapoznawcza). Za pomocą tych opcji można tworzyć role, które umożliwiają użytkownikom dostęp do wyświetlenia i odczytu z określonych folderów w usłudze Lakehouse. Dostęp do folderów jest domyślnie niedozwolony. Użytkownicy dodani do roli mają dostęp do folderów objętych tą rolą. Aby uzyskać więcej informacji, zobacz Role dostępu do danych usługi OneLake (wersja zapoznawcza). Utwórz role zgodnie z potrzebami, aby przyznać użytkownikom dostęp do odczytywania folderów za pośrednictwem potoków, skrótów lub notesów platformy Spark.
Ważne
Wszystkie magazyny lakehouse korzystające z wersji zapoznawczej ról dostępu do danych OneLake mają rolę DefaultReader, która udziela dostępu do danych lakehouse. Jeśli użytkownik ma uprawnienie ReadAll, nie będzie on ograniczony przez inne role dostępu do danych. Upewnij się, że wszyscy użytkownicy, którzy znajdują się w roli dostępu do danych, nie są również częścią roli DefaultReader lub usuń rolę DefaultReader.
Używanie z skrótami
Skróty to funkcja OneLake, która umożliwia odwołowanie się do danych z jednej lokalizacji bez fizycznego kopiowania danych. Aby uzyskać więcej informacji na temat skrótów, zobacz dokument tutaj.
Dane do użycia można zabezpieczyć za pomocą skrótów, podobnie jak w przypadku dowolnego innego folderu w usłudze OneLake. Po skonfigurowaniu ról dostępu do danych użytkownicy z innych magazynów lake będą mogli tworzyć skróty tylko do folderów, do których mają dostęp. Może to służyć do zapewniania użytkownikom w innych obszarach roboczych dostępu tylko do wybierania danych w usłudze Lakehouse.
Ważne
Punkt końcowy usługi SQL Analytics używa stałej tożsamości do uzyskiwania dostępu do skrótów. Gdy użytkownik wysyła zapytanie do tabeli skrótów za pośrednictwem punktu końcowego usługi SQL Analytics, tożsamość właściciela usługi Lakehouse jest sprawdzana pod kątem dostępu do skrótu. Oznacza to, że podczas tworzenia skrótów do użycia z zapytaniami SQL twórca usługi Lakehouse musi być również częścią wszystkich ról dostępu do danych Usługi OneLake, które ograniczają dostęp tylko do wybranych folderów.