Säkerhetsöversikt för OneLake
OneLake är en hierarkisk datasjö, till exempel Azure Data Lake Storage (ADLS) Gen2 eller Windows-filsystemet. Med den här strukturen kan du ange säkerhet på olika nivåer i hierarkin för att styra åtkomsten. Vissa nivåer i hierarkin behandlas särskilt eftersom de korrelerar med fabric-begrepp.
Arbetsyta: en samarbetsmiljö för att skapa och hantera objekt.
Objekt: en uppsättning funktioner som paketeras i en enda komponent. Ett dataobjekt är en undertyp av objekt som gör att data kan lagras i det med hjälp av OneLake.
Mappar: mappar i ett objekt som används för att lagra och hantera data.
Objekten finns alltid i arbetsytor och arbetsytor direkt under OneLake-namnområdet. Du kan visualisera den här strukturen på följande sätt:
Behörigheter för arbetsyta
Behörigheter för arbetsytan gör det möjligt att definiera åtkomst till alla objekt på arbetsytan. Det finns 4 olika arbetsyteroller, som var och en ger olika typer av åtkomst.
Roll | Kan du lägga till administratörer? | Kan du lägga till medlemmar? | Kan du skriva data och skapa objekt? | Kan läsa data? |
---|---|---|---|---|
Administratör | Ja | Ja | Ja | Ja |
Medlem | Nej | Ja | Ja | Ja |
Deltagare | Nej | Nej | Ja | Ja |
Tittare | Nej | Nej | Nej | Ja |
Kommentar
Du kan visa informationslagerobjektet med läs- och skrivroller, men du kan bara skriva till lager med hjälp av SQL-frågor.
Du kan förenkla hanteringen av infrastrukturarbetsyteroller genom att tilldela dem till säkerhetsgrupper. Med den här metoden kan du styra åtkomsten genom att lägga till eller ta bort medlemmar från säkerhetsgruppen.
Objektbehörigheter
Med delningsfunktionen kan du ge en användare direkt åtkomst till ett objekt. Användaren kan bara se objektet på arbetsytan och är inte medlem i några arbetsyteroller. Objektbehörigheter beviljar åtkomst för att ansluta till objektet och vilka objektslutpunkter som användaren kan komma åt.
Behörighet | Ser du objektmetadata? | Ser du data i SQL? | Ser du data i OneLake? |
---|---|---|---|
Lästa | Ja | Nej | Nej |
ReadData | Nej | Ja | Nej |
ReadAll | Nej | Nej | Ja* |
*Gäller inte för objekt med OneLake-dataåtkomstroller (förhandsversion) aktiverat. Om förhandsgranskningen är aktiverad beviljar ReadAll endast åtkomst om rollen DefaultReader används. Om den rollen redigeras eller tas bort beviljas åtkomst i stället baserat på vilka dataåtkomstroller användaren ingår i.
Ett annat sätt att konfigurera behörigheter är via sidan Hantera behörigheter för ett objekt. Med den här sidan kan du lägga till eller ta bort behörighet för enskilda objekt för användare eller grupper. De exakta behörigheter som är tillgängliga bestäms av objekttypen.
Beräkningsbehörigheter
Dataåtkomst kan också ges via SQL-beräkningsmotorn i Microsoft Fabric. Åtkomsten som beviljas via SQL gäller endast för användare som kommer åt data via SQL, men du kan använda den här säkerheten för att ge mer selektiv åtkomst till vissa användare. I det aktuella tillståndet har SQL stöd för att begränsa åtkomsten till specifika tabeller och scheman samt säkerhet på rad- och kolumnnivå.
Användare som kommer åt data via SQL kan se andra resultat än att komma åt data direkt i OneLake beroende på vilka beräkningsbehörigheter som tillämpas. Förhindra detta genom att se till att en användares objektbehörigheter är konfigurerade för att endast ge dem åtkomst till sql-analysslutpunkten (med Hjälp av ReadData) eller OneLake (med readall- eller dataåtkomstroller förhandsgranskning).
I följande exempel får en användare skrivskyddad åtkomst till ett sjöhus via objektdelning. Användaren beviljas SELECT-behörighet i en tabell via SQL-analysslutpunkten. När användaren försöker läsa data via OneLake-API:erna nekas de åtkomst eftersom de inte har tillräckliga behörigheter. Användaren kan läsa igenom SQL SELECT-instruktioner.
OneLake Data-åtkomstroller (förhandsversion)
OneLake-dataåtkomstroller är en ny funktion som gör att du kan tillämpa rollbaserad åtkomstkontroll (RBAC) på dina data som lagras i OneLake. Du kan definiera säkerhetsroller som ger läsbehörighet till specifika mappar i ett infrastrukturobjekt och tilldela dem till användare eller grupper. Åtkomstbehörigheterna avgör vilka mappar användarna ser när de kommer åt sjövyn av data via Lakehouse UX, notebook-filer eller OneLake-API:er.
Infrastrukturanvändare i administratörs-, medlems- eller deltagarrollerna kan komma igång genom att skapa OneLake-dataåtkomstroller för att endast ge åtkomst till specifika mappar i ett sjöhus. Om du vill ge åtkomst till data i ett lakehouse lägger du till användare i en dataåtkomstroll. Användare som inte ingår i en dataåtkomstroll ser inga data i lakehouse.
Läs mer om att skapa dataåtkomstroller i Kom igång med dataåtkomstroller.
Läs mer om säkerhetsmodellen för åtkomstroller Data Access Control Model.
Genvägssäkerhet
Genvägar i Microsoft Fabric möjliggör förenklad datahantering, men har vissa säkerhetsöverväganden att tänka på. Information om hur du hanterar genvägssäkerhet finns i det här dokumentet.
För OneLake-dataåtkomstroller (förhandsversion) får genvägar särskild behandling beroende på genvägstyp. Åtkomsten till en OneLake-genväg styrs alltid av åtkomstrollerna på genvägens mål. Det innebär att för en genväg från LakehouseA till LakehouseB träder säkerheten i LakehouseB i kraft. Dataåtkomstroller i LakehouseA kan inte bevilja eller redigera säkerheten för genvägen till LakehouseB.
För externa genvägar till Amazon S3 eller ADLS Gen2 konfigureras säkerheten via dataåtkomstroller i själva lakehouse. En genväg från LakehouseA till en S3-bucket kan ha dataåtkomstroller konfigurerade i LakehouseA. Det är viktigt att observera att endast rotnivån för genvägen kan ha säkerhet tillämpad. Om du tilldelar åtkomst till undermappar för genvägen resulterar det i fel vid skapande av roller.
Läs mer om säkerhetsmodellen för genvägar i dataåtkomstkontrollmodellen