Поделиться через


Защита данных с помощью Fabric, вычислительных подсистем и OneLake

Fabric предлагает модель безопасности с несколькими уровнями для управления доступом к данным. Безопасность может быть задана для всей рабочей области, для отдельных элементов или с помощью подробных разрешений в каждом обработчике Fabric. OneLake имеет свои собственные соображения безопасности, описанные в этом документе.

Роли доступа к данным OneLake (предварительная версия)

Роли доступа к данным OneLake (предварительная версия) позволяют пользователям создавать пользовательские роли в lakehouse и предоставлять разрешения на чтение только указанным папкам при доступе к OneLake. Для каждой роли OneLake пользователи могут назначать пользователей, группы безопасности или предоставлять автоматическое назначение на основе роли рабочей области.

Схема, показывающая структуру озера данных, подключающегося к отдельно защищенным контейнерам.

Узнайте больше о модели OneLake data контроль доступа и начале работы с доступом к данным.

Безопасность ярлыков

Сочетания клавиш в Microsoft Fabric позволяют упростить управление данными. Безопасность папки OneLake применяется к сочетаниям клавиш OneLake на основе ролей, определенных в lakehouse, где хранятся данные.

Дополнительные сведения о сочетаниях клавиш см . в модели управления доступом OneLake. Дополнительные сведения о сочетаниях клавиш см. здесь.

Проверка подлинности

OneLake использует идентификатор Microsoft Entra для проверки подлинности; его можно использовать для предоставления разрешений удостоверениям пользователей и субъектам-службам. OneLake автоматически извлекает удостоверение пользователя из средств, которые используют проверку подлинности Microsoft Entra и сопоставляют его с разрешениями, заданными на портале Fabric.

Примечание.

Чтобы использовать субъекты-службы в клиенте Fabric, администратор клиента должен включить имена субъектов-служб для всего клиента или определенных групп безопасности. Дополнительные сведения о включении субъектов-служб в параметрах разработчика портала администрирования клиента

Журналы аудита

Чтобы просмотреть журналы аудита OneLake, следуйте инструкциям в разделе "Отслеживание действий пользователей в Microsoft Fabric". Имена операций OneLake соответствуют API ADLS, таким как CreateFile или DeleteFile. Журналы аудита OneLake не включают запросы на чтение или запросы, сделанные в OneLake с помощью рабочих нагрузок Fabric.

Шифрование и сеть

Данные неактивных данных

Данные, хранящиеся в OneLake, шифруются по умолчанию с помощью ключа, управляемого корпорацией Майкрософт. Управляемые корпорацией Майкрософт ключи поворачиваются соответствующим образом. Данные в OneLake шифруются и расшифровываются прозрачно, и он соответствует FIPS 140-2.

Шифрование неактивных данных с помощью ключа, управляемого клиентом, в настоящее время не поддерживается. Вы можете отправить запрос на эту функцию в Microsoft Fabric Ideas.

Передаваемые данные

Данные, передаваемые через общедоступный Интернет между службы Майкрософт, всегда шифруются по крайней мере tls 1.2. Структура согласовывает протокол TLS 1.3 по возможности. Трафик между службы Майкрософт всегда направляется по глобальной сети Майкрософт.

Входящий обмен данными OneLake также применяет протокол TLS 1.2 и согласовывает протокол TLS 1.3 по возможности. Исходящая связь Fabric с инфраструктурой, принадлежащей клиенту, предпочитает безопасные протоколы, но может вернуться к более старым, небезопасным протоколам (включая TLS 1.0), если новые протоколы не поддерживаются.

Сведения о настройке Приватный канал в Fabric см. в статье "Настройка и использование приватных ссылок".

Разрешить приложениям, работающим вне Структуры, получать доступ к данным через OneLake

OneLake позволяет ограничить доступ к данным из приложений, работающих за пределами сред Fabric. Администраторы могут найти параметр в разделе OneLake на портале администрирования клиента. При включении этого параметра пользователи могут получать доступ к данным через все источники. Если отключить отключение, пользователи не могут получать доступ к данным через приложения, работающие вне сред Fabric. Например, пользователи могут получать доступ к данным через приложения с помощью API Azure Data Lake Storage (ADLS) или проводника OneLake.