Skydda data för vanliga dataarkitekturer
Den här artikeln innehåller en översikt över hur du konfigurerar säkerhet för OneLake-data för både datanät och hubb- och ekerarkitekturer.
Säkerhetsfunktioner
Microsoft Fabric använder en säkerhetsmodell i flera lager med olika kontroller som är tillgängliga på olika nivåer för att endast ge de behörigheter som krävs. Mer information om de olika säkerhetstyper som beskrivs i den här guiden finns i Dataåtkomstkontrollmodell i OneLake.
Skydda för datanät
Data mesh är ett arkitekturparadigm som behandlar data som en produkt, snarare än en tjänst eller en resurs. Data mesh syftar till att decentralisera ägarskapet och styrningen av data över olika domäner och team, samtidigt som samverkan och identifiering möjliggörs via en gemensam plattform. I en datanätsarkitektur hanterar varje decentraliserat team ägarskapet för data som ingår i deras dataprodukt. Säkerhetsvägledningen i det här avsnittet fokuserar på ett enda dataproduktteam som konfigurerar åtkomst för sin arbetsyta. Stegen är avsedda att upprepas av varje dataproduktteam på sin egen arbetsyta, eftersom de ger åtkomst för underordnade användare.
Kom igång med att skapa ett datanät genom att använda Microsoft Fabrics domänfunktion för att tagga arbetsytor enligt deras associerade dataprodukt och ägarskap.
Inom domänerna har varje team sina egna arbetsytor eller arbetsytor. Arbetsytan lagrar de data som behövs för att bygga ut de slutliga dataprodukterna för förbrukning. Ge användare åtkomst till arbetsytan med hjälp av arbetsyteroller.
Identifiera nedströmskonsumenterna av dina dataprodukter och bevilja åtkomst enligt de minsta behörigheter som krävs för att uppnå sina mål. För att hålla användarna i linje med sina målupplevelser kan varje typ av nedströmsanvändare ges åtkomst till ett enda Fabric-dataobjekt. Tabellen nedan visar några vanliga användningsfall för användare av datanät och relevanta infrastrukturobjekt.
| User | Infrastrukturobjekt |
|---|---|
| Dataforskare | Apache Spark-anteckningsböcker eller lakehouse |
| Datatekniker | Apache Spark-notebook-filer, dataflöden eller pipelines |
| Affärsanalytiker | SQL-analysslutpunkt |
| Rapportskapare | Semantiska modeller |
| Rapportera konsumenter | Power BI rapporter |
Säker för hubb och eker
En hubb- och ekerarkitektur skiljer sig från ett datanät genom att alla certifierade dataprodukter hanteras på en enda, centralt ägd plats. Nedströmskonsumenter är mindre fokuserade på att skapa ytterligare dataprodukter och utför i stället analys på de data som produceras av det centrala teamet.
Identifiera nedströmskonsumenterna och bevilja åtkomst enligt de minsta behörigheter som krävs för att uppnå deras mål. För att hålla användarna i linje med sina målupplevelser kan varje typ av nedströmsanvändare ges åtkomst till ett enda Fabric-dataobjekt. Användarpersonatabellen visar några vanliga användningsfall för hubb och eker tillsammans med relevanta infrastrukturobjekt.
| User | Infrastrukturobjekt |
|---|---|
| Dataforskare | Apache Spark-anteckningsböcker eller lakehouse |
| Affärsanalytiker | SQL-analysslutpunkt |
| Rapportskapare | Semantiska modeller |
| Rapportera konsumenter | Power BI rapporter |
Arbetsyteroller
Rolltilldelningar för arbetsytor följer samma riktlinjer för både hubb- och eker- och datanätarkitekturer. Tabellen för jobbansvar beskriver vilken arbetsyteroll som ska tilldelas användare baserat på de funktioner de utför på arbetsytan.
| Jobbansvar | Arbetsyteroll |
|---|---|
| Äga arbetsytan och hantera rolltilldelningar | Administratör |
| Hantera rolltilldelningar för icke-administratörsanvändare | Medlem |
| Skapa infrastrukturobjekt och skriva data | Deltagare |
| Skapa tabeller och vyer med SQL | Visningsprogram + SQL-behörigheter |
Data scientists
Dataforskare behöver åtkomst till data i ett sjöhus för användning via Apache Spark. För datanät och hubb och eker använder Spark-användarna data från en separat arbetsyta än den som data finns i. Detta gör det möjligt för dataforskare att ha åtkomst till att skapa modeller och experiment utan att lägga till oreda på arbetsytan som innehåller data. Dataforskare kan också använda andra icke-Spark-tjänster som ansluter direkt till OneLake-datasökvägarna, till exempel Azure Databricks eller Dremio.
Om du vill etablera åtkomst för dataforskare använder du delningsknappen för att dela lakehouse. Välj rutan Läs alla Apache Spark i dialogrutan. För lakehouses med OneLake-dataåtkomstroller aktiverade ger du samma användare åtkomst genom att lägga till dem i en OneLake-dataåtkomstroll. Om du använder OneLake-dataåtkomstroller får du finare åtkomst till data. Datatekniker kan sedan skapa genvägar för att välja tabeller eller mappar i ett sjöhus.
Dataingenjörer
Datatekniker behöver åtkomst till data i ett sjöhus för att bygga ut nedströmsdataprodukter. Datatekniker behöver åtkomst till data i OneLake så att pipelines eller notebook-filer kan skapas för att läsa data. I en sann hubb- och ekermodell finns datateknikerrollen endast inom lagren i det centrala hubbteamet. För datanät kombinerar dock datatekniker dataprodukter mellan domäner för att skapa nya datauppsättningar.
Använd delningsknappen för att dela lakehouse med datatekniker. Markera rutan Läs alla Apache Spark i dialogrutan. För lakehouses med OneLake-dataåtkomstroller aktiverade ger du samma användare åtkomst genom att lägga till dem i en OneLake-dataåtkomstroll. Om du använder OneLake-dataåtkomstroller får du finare åtkomst till data. Datatekniker kan sedan skapa genvägar för att välja tabeller eller mappar i ett sjöhus.
Affärsanalytiker
Affärsanalytiker (ibland anropa dataanalytiker) frågar efter data via SQL för att besvara affärsfrågor.
Använd delningsknappen för att dela lakehouse med affärsanalytikerna. Markera rutan Läs alla SQL-slutpunktsdata i dialogrutan. Den här inställningen ger affärsanalytiker åtkomst till data i SQL-analysslutpunkten för en Lakehouse, men inte för att se de underliggande OneLake-filerna.
Åtkomst till data kan begränsas ytterligare för dessa användare genom att definiera säkerhet på rad- eller kolumnnivå direkt i SQL.
Rapportskapare
Rapportskapare skapar Power BI-rapporter som andra användare kan använda.
Använd resursknappen för att dela lakehouse med rapportskaparna. Markera kryssrutan Skapa rapporter i standardsemantikmodellen i dialogrutan. Med den här behörigheten kan rapportskaparna skapa rapporter med hjälp av den semantiska modell som är associerad med lakehouse. Dessa användare kan inte komma åt data i OneLake eller ha fullständig åtkomst till SQL-analysslutpunkten.
Rapportera konsumenter
Rapportkonsumenter är företagsledare eller direktörer som visar data i en Power BI-rapport för att fatta beslut.
Dela en rapport med konsumenter med hjälp av resursknappen. Markera inte någon av rutorna för att bevilja åtkomst för att läsa rapporten, men se inte någon av de underliggande data. Om du vill förhindra användare från att komma åt SQL-analysslutpunkten och visa tabeller kontrollerar du att inga SQL-behörigheter har definierats som beviljar åtkomst för dessa användare.
Du kan också dela data med rapportkonsumenter med hjälp av en app. Appar gör det möjligt för användare att komma åt en fördefinierad rapport eller uppsättning rapporter utan att behöva åtkomst till den underliggande arbetsytan. Observera att för rapporter i direct lake-läge måste användarna ha det underliggande lakehouse som delas med dem för att kunna se data.