Что такое подписанный URL-адрес OneLake (SAS)? (Предварительная версия)
Подписанный URL-адрес OneLake (SAS) обеспечивает безопасный, краткосрочный и делегированный доступ к ресурсам в OneLake. С помощью SAS OneLake у вас есть детальный контроль над доступом клиента к данным. Например:
- Какие ресурсы клиент может получить к ним доступ.
- Какие разрешения у них есть для ресурсов.
- Как долго действует SAS.
Каждый SAS OneLake (и ключ делегирования пользователей) всегда поддерживается удостоверением Microsoft Entra Identity, имеет максимальное время существования 1 часа и может предоставлять доступ только к папкам и файлам в элементе данных, например lakehouse.
Внимание
Эта функция доступна в предварительной версии.
Принцип работы подписанного URL-адреса
Подписанный URL-адрес — это маркер, добавленный к URI для ресурса OneLake. Маркер содержит специальный набор параметров запроса, указывающий, как клиент может получить доступ к ресурсу. Одним из параметров запроса является подпись. Он создан из параметров SAS и подписан ключом, который использовался для создания SAS. OneLake использует эту подпись для авторизации доступа к папке или файлу в OneLake. OneLake SAS использует тот же формат и свойства, что и служба хранилища Azure делегированный пользователем SAS, но с большими ограничениями безопасности на время существования и области.
SAS OneLake подписан с помощью ключа делегирования пользователей (UDK), который поддерживается учетными данными Microsoft Entra. Ключ делегирования пользователя можно запросить с помощью операции получения ключа делегирования пользователей. Затем вы используете этот ключ (пока он по-прежнему действителен) для создания SAS OneLake. Разрешения этой учетной записи Microsoft Entra, а также разрешения, явно предоставленные SAS, определяют доступ клиента к ресурсу.
Авторизация SAS OneLake
Когда клиент или приложение обращается к OneLake с помощью SAS OneLake, запрос авторизован с помощью учетных данных Microsoft Entra, запрашивающих UDK, используемый для создания SAS. Поэтому все разрешения OneLake, предоставленные этому удостоверению Microsoft Entra, применяются к SAS, что означает, что SAS никогда не может превышать разрешения пользователя, создающего его. Кроме того, при создании SAS вы явным образом предоставляете разрешения, позволяя предоставлять еще более ограниченные разрешения SAS. Между удостоверением Microsoft Entra явно предоставленные разрешения и коротким временем существования OneLake следует рекомендациям по обеспечению делегированного доступа к данным.
Когда следует использовать SAS OneLake
OneLake SASs делегирует безопасный и временный доступ к OneLake, поддерживаемое удостоверением Microsoft Entra. Приложения без собственной поддержки Microsoft Entra могут использовать SAS OneLake для получения временного доступа к загрузке данных без сложной настройки и интеграции.
OneLake SAS также поддерживает приложения, которые служат прокси-серверами между пользователями и их данными. Например, некоторые независимые поставщики программного обеспечения (ISV) выполняются между пользователями и рабочей областью Fabric, предоставляя дополнительные функциональные возможности и, возможно, другую модель проверки подлинности. Делегируя доступ с помощью SAS OneLake, эти поставщики программного обеспечения могут управлять доступом к базовым данным и предоставлять прямой доступ к данным, даже если у пользователей нет удостоверений Microsoft Entra.
Управление SAS OneLake
Два параметра в клиенте Fabric управляют использованием OneLake SAS. Первым является параметр уровня клиента, используйте кратковременные маркеры SAS, делегированные пользователем, которые управляют созданием ключей делегирования пользователей. Так как ключи делегирования пользователей создаются на уровне клиента, они управляются параметром клиента. Этот параметр включен по умолчанию, так как эти ключи делегирования пользователей имеют эквивалентные разрешения для удостоверения Microsoft Entra, запрашивающего их, и всегда являются короткими.
Примечание.
Отключение этой функции приведет к тому, что все рабочие области не смогут использовать SAS OneLake, так как все пользователи не смогут создавать ключи делегирования пользователей.
Второй параметр — это делегированный параметр рабочей области, аутентификация с помощью маркеров SAS, делегированных пользователем OneLake, которая определяет, принимает ли рабочая область SAS OneLake. Этот параметр отключен по умолчанию и может быть включен администратором рабочей области, который хочет разрешить проверку подлинности с помощью SAS OneLake в рабочей области. Администратор клиента может включить этот параметр для всех рабочих областей с помощью параметра клиента или оставить его администраторам рабочей области, чтобы включить его.
Вы также можете отслеживать создание ключей делегирования пользователей с помощью Портал соответствия требованиям Microsoft Purview. Вы можете найти имя операции generateonelakeudk , чтобы просмотреть все ключи, созданные в клиенте. Так как создание SAS является клиентской операцией, вы не можете отслеживать или ограничивать создание SAS OneLake, только создание UDK.
Рекомендации по использованию SAS OneLake
- Всегда используйте ПРОТОКОЛ HTTPS для создания или распространения SAS для защиты от атак злоумышленника в середине, стремящихся перехватить SAS.
- Отслеживайте срок действия маркера, ключа и маркера SAS. Ключи делегирования пользователей OneLake и SAS имеют максимальное время существования 1 часа. Попытка запросить UDK или создать SAS со временем существования более 1 часа приводит к сбою запроса. Чтобы предотвратить использование SAS для продления срока действия маркеров OAuth, время существования маркера также должно быть больше времени истечения срока действия ключа делегирования пользователя и SAS.
- Будьте осторожны с временем начала SAS. Установка времени начала для SAS в качестве текущего времени может привести к сбоям в течение первых нескольких минут из-за разных времени начала между компьютерами (часовое отклонение). Установка времени начала в течение нескольких минут в прошлом помогает защититься от этих ошибок.
- Предоставьте наименьшие возможные привилегии SAS. Предоставление минимальных необходимых привилегий наименьшим возможным ресурсам — это рекомендация по обеспечению безопасности и снижение влияния, если SAS скомпрометирован.
- Отслеживайте создание ключей делегирования пользователей. Вы можете проверить создание ключей делегирования пользователей в Портал соответствия требованиям Microsoft Purview. Найдите имя операции generateonelakeudk, чтобы просмотреть ключи, созданные в клиенте.
- Сведения об ограничениях OneLake SAS. Так как у OneLake SAS нет разрешений на уровне рабочей области, они несовместимы с некоторыми средствами служба хранилища Azure, которые ожидают разрешения на уровне контейнера для обхода данных, таких как обозреватель служба хранилища Azure.