Как защитить lakehouse для команд обработки и анализа данных
Введение
В этой статье мы рассмотрим, как настроить безопасность для lakehouse в Fabric для использования с командами и рабочими нагрузками для обработки и анализа данных.
Функции безопасности
Microsoft Fabric использует модель безопасности с несколькими уровнями с различными элементами управления, доступными на разных уровнях, чтобы предоставить только минимальные необходимые разрешения. Дополнительные сведения о различных функциях безопасности, доступных в Fabric, см. в этом документе.
Защита по варианту использования
Безопасность в Microsoft Fabric оптимизирована для защиты данных для конкретных вариантов использования. Вариант использования — это набор пользователей, которые нуждаются в определенном доступе и доступе к данным через заданный механизм. Для сценариев обработки и анализа данных в некоторых примерах используются следующие варианты:
- Записи Apache Spark: пользователи, которые должны записывать данные в lakehouse с помощью записных книжек Apache Spark.
- Читатели Apache Spark: пользователи, которые должны считывать данные с помощью записных книжек Apache Spark.
- Средства чтения конвейеров: пользователи, которые должны считывать данные из lakehouse с помощью конвейеров.
- Создатели ярлыков: пользователи, которые должны создавать ярлыки для данных в лейкхаусе.
Затем мы можем выровнять каждый вариант использования с необходимыми разрешениями в Fabric.
Доступ для записи.
Для пользователей, которым требуется записывать данные в Fabric, доступ управляется с помощью ролей рабочей области Fabric. Существует три роли рабочей области, которые предоставляют разрешения на запись: администратор, член и участник. Выберите требуемую роль и предоставьте пользователям доступ к ней.
Пользователи с доступом на запись не ограничены ролями доступа к данным OneLake (предварительная версия). Пользователи могут иметь доступ к данным через данные конечной точки АНАЛИТИКи SQL, но сохранить полный доступ к данным в OneLake. Чтобы ограничить доступ к данным для пользователей записи, для этого необходимо создать отдельную рабочую область.
Доступ на чтение.
Для пользователей, которым требуется считывать данные с помощью конвейеров или записных книжек Apache Spark, разрешения управляются разрешениями элемента Fabric вместе с ролями доступа к данным OneLake (предварительная версия). Разрешения элемента Fabric управляют элементами, которые пользователь может видеть и как они могут получить доступ к этому элементу. Роли доступа к данным OneLake управляют доступом к данным, к которым пользователь может получить доступ через интерфейсы, которые подключаются к OneLake. Для лейкхаусов без предварительной версии ролей доступа к данным OneLake вместо этого доступ регулируется разрешением элемента ReadAll и доступом к данным OneLake предоставляется для всего озера.
Чтобы считывать данные, пользователю сначала нужен доступ к lakehouse, где эти данные находятся. Предоставление доступа к lakehouse можно сделать, нажав кнопку "Общий доступ" на озерном доме на странице рабочей области или в пользовательском интерфейсе Lakehouse. Введите адреса электронной почты или группу безопасности для этих пользователей и выберите "Общий доступ". (Оставьте флажки "Дополнительные разрешения" сняты. Для озерных домов без предварительной версии ролей доступа к данным OneLake установите флажок "Чтение всех данных OneLake(ReadAll)".
Затем перейдите к lakehouse и нажмите кнопку "Управление доступом к данным OneLake(предварительная версия"). С помощью этих параметров можно создать роли, которые предоставляют пользователям доступ к просмотру и чтению из определенных папок в lakehouse. Доступ к папкам по умолчанию запрещен. Пользователи, добавленные в роль, получают доступ к папкам, охватываемым этой ролью. Дополнительные сведения см. в статье о ролях доступа к данным OneLake (предварительная версия). Создайте роли по мере необходимости, чтобы предоставить пользователям доступ к папкам с помощью конвейеров, сочетаний клавиш или записных книжек Spark.
Внимание
Все лейкхаусы с помощью ролей доступа к данным OneLake предварительной версии имеют роль DefaultReader, которая предоставляет доступ к данным lakehouse. Если у пользователя есть разрешение ReadAll, они не будут ограничены другими ролями доступа к данным. Убедитесь, что все пользователи, включенные в роль доступа к данным, также не являются частью роли DefaultReader или удалите роль DefaultReader.
Использование с сочетаниями клавиш
Сочетания клавиш — это функция OneLake, которая позволяет ссылаться на данные из одного расположения без физического копирования данных. Дополнительные сведения о сочетаниях клавиш см . здесь.
Вы можете защитить данные для использования с ярлыками так же, как и любая другая папка в OneLake. После настройки ролей доступа к данным пользователи из других озерных домов смогут создавать ярлыки только для папок, к которых у них есть доступ. Это можно использовать для предоставления пользователям в других рабочих областях доступа только к выбору данных в lakehouse.
Внимание
Конечная точка SQL Analytics использует фиксированное удостоверение для доступа к ярлыкам. Когда пользователь запрашивает ярлыкную таблицу через конечную точку SQL Analytics, удостоверение владельца lakehouse проверяется для доступа к ярлыку. Это означает, что при создании ярлыков для использования с запросами SQL создатель Lakehouse также должен быть частью всех ролей доступа к данным OneLake, которые ограничивают доступ только к выбранным папкам.