Så här skyddar du ett sjöhus för datavetenskapsteam
Introduktion
I den här artikeln ger vi en översikt över hur du konfigurerar säkerhet för ett lakehouse i Fabric för användning med datavetenskapsteam och arbetsbelastningar.
Säkerhetsfunktioner
Microsoft Fabric använder en säkerhetsmodell i flera lager med olika kontroller som är tillgängliga på olika nivåer för att endast ge de behörigheter som krävs. Mer information om de olika säkerhetsfunktionerna som är tillgängliga i Infrastruktur finns i det här dokumentet.
Skydda med användningsfall
Säkerheten i Microsoft Fabric är optimerad för att skydda data för specifika användningsfall. Ett användningsfall är en uppsättning användare som behöver specifik åtkomst och åtkomst till data via en viss motor. För datavetenskapsscenarier är några exempel på användningsfall:
- Apache Spark-författare: Användare som behöver skriva data till ett lakehouse med hjälp av Apache Spark-notebook-filer.
- Apache Spark-läsare: Användare som behöver läsa data med apache Spark-notebook-filer.
- Pipelineläsare: Användare som behöver läsa data från en lakehouse med hjälp av pipelines.
- Genvägsskapare: Användare som behöver skapa genvägar till data i ett sjöhus.
Sedan kan vi justera varje användningsfall med nödvändiga behörigheter i Infrastrukturresurser.
Skrivåtkomst
För användare som behöver skriva data i Infrastruktur styrs åtkomsten via arbetsyterollerna infrastrukturresurser. Det finns tre arbetsyteroller som ger skrivbehörighet: Administratör, Medlem och Deltagare. Välj den roll som krävs och ge användarna åtkomst till den.
Användare med skrivåtkomst begränsas inte av OneLake-dataåtkomstroller (förhandsversion). Skrivanvändare kan få sin åtkomst begränsad till data via SQL Analytics-slutpunktsdata, men behålla fullständig åtkomst till data i OneLake. För att begränsa åtkomsten till data för skrivanvändare måste en separat arbetsyta skapas för dessa data.
Läsbehörighet
För användare som behöver läsa data med hjälp av pipelines eller Apache Spark-notebook-filer styrs behörigheter av behörigheter för infrastrukturobjekt tillsammans med OneLake-dataåtkomstroller (förhandsversion). Behörigheter för infrastrukturobjekt styr vilka objekt en användare kan se och hur de kan komma åt objektet. OneLake-dataåtkomstrollerna styr vilka data användaren kan komma åt via upplevelser som ansluter till OneLake. För lakehouses utan förhandsversionen av OneLake-dataåtkomstroller aktiverad styrs åtkomsten i stället av readall-objektbehörigheten och åtkomst till OneLake-data beviljas för hela lakehouse.
För att kunna läsa data behöver en användare först åtkomst till lakehouse där dessa data finns. Du kan ge åtkomst till ett sjöhus genom att välja knappen Dela på ett sjöhus antingen från arbetsytesidan eller inifrån lakehouse-användargränssnittet. Ange e-postadresser eller säkerhetsgrupp för dessa användare och välj Dela. (Lämna rutorna Ytterligare behörigheter avmarkerade. För lakehouses utan att förhandsversionen av OneLake-dataåtkomstroller är aktiverad markerar du kryssrutan Läs alla OneLake-data (ReadAll)).
Gå sedan till lakehouse och välj knappen Hantera OneLake-dataåtkomst (förhandsversion). Med de här alternativen kan du skapa roller som ger användarna åtkomst till att se och läsa från specifika mappar i lakehouse. Åtkomst till mappar tillåts inte som standard. Användare som läggs till i en roll beviljas åtkomst till de mappar som omfattas av den rollen. Mer information finns i OneLake-dataåtkomstroller (förhandsversion). Skapa roller efter behov för att ge användarna åtkomst till att läsa mapparna via pipelines, genvägar eller Spark-notebook-filer.
Viktigt!
Alla lakehouses som använder förhandsversionen av OneLake-dataåtkomstroller har en DefaultReader-roll som ger åtkomst till lakehouse-data. Om en användare har behörigheten ReadAll begränsas de inte av andra dataåtkomstroller. Kontrollera att alla användare som ingår i en dataåtkomstroll inte också är en del av DefaultReader-rollen eller ta bort Rollen DefaultReader.
Använda med genvägar
Genvägar är en OneLake-funktion som gör att data kan refereras från en plats utan att fysiskt kopiera data. Mer information om genvägar finns i dokumentet här.
Du kan skydda data för användning med genvägar precis som andra mappar i OneLake. När du har konfigurerat dataåtkomstrollerna kan användare från andra lakehouses bara skapa genvägar till mappar som de har åtkomst till. Detta kan användas för att ge användare på andra arbetsytor åtkomst till att endast välja data i ett sjöhus.
Viktigt!
SQL Analytics-slutpunkten använder en fast identitet för att komma åt genvägar. När en användare frågar efter en genvägstabell via SQL Analytics-slutpunkten, kontrolleras lakehouse-ägarens identitet för åtkomst till genvägen. Det innebär att när du skapar genvägar för användning med SQL-frågor måste lakehouse-skaparen också vara en del av alla OneLake-dataåtkomstroller som begränsar åtkomsten till endast valda mappar.