ลายเซ็นการเข้าถึงที่ใช้ร่วมกันของ OneLake (SAS) คืออะไร (ตัวอย่าง)
ลายเซ็นการเข้าถึงที่ใช้ร่วมกันของ OneLake (SAS) ให้การเข้าถึงแหล่งข้อมูลใน OneLake ของคุณที่ปลอดภัย ระยะสั้น และได้รับมอบหมาย ด้วย OneLake SAS คุณสามารถควบคุมวิธีการเข้าถึงข้อมูลของคุณที่ละเอียดของไคลเอ็นต์ได้ ตัวอย่างเช่น:
- แหล่งข้อมูลใดที่ไคลเอ็นต์สามารถเข้าถึงได้
- สิทธิ์ที่พวกเขามีต่อทรัพยากร
- SAS ถูกต้องนานเพียงใด
OneLake SAS (และคีย์การรับมอบสิทธิ์ของผู้ใช้) ทุกรายการมีการสนับสนุนโดยข้อมูลประจําตัวของ Microsoft Entra มีอายุการใช้งานสูงสุด 1 ชั่วโมงและสามารถให้สิทธิ์เข้าถึงโฟลเดอร์และไฟล์ภายในรายการข้อมูลเท่านั้น เช่น lakehouse
สำคัญ
คุณลักษณะนี้อยู่ในตัวอย่าง
วิธีการทํางานของลายเซ็นการเข้าถึงที่ใช้ร่วมกัน
ลายเซ็นสําหรับการเข้าถึงที่ใช้ร่วมกันคือโทเค็นที่ผนวกเข้ากับ URI สําหรับทรัพยากร OneLake โทเค็นประกอบด้วยชุดพารามิเตอร์คิวรีพิเศษที่ระบุว่าไคลเอ็นต์สามารถเข้าถึงทรัพยากรได้อย่างไร หนึ่งในพารามิเตอร์คิวรีคือลายเซ็น ซึ่งถูกสร้างขึ้นจากพารามิเตอร์ SAS และลงชื่อด้วยคีย์ที่ใช้ในการสร้าง SAS OneLake ใช้ลายเซ็นนี้เพื่ออนุญาตให้เข้าถึงโฟลเดอร์หรือไฟล์ใน OneLake OneLake SASs ใช้รูปแบบและคุณสมบัติ เดียวกันกับ SAS ที่รับมอบสิทธิ์โดยผู้ใช้ Azure Storage แต่มีข้อจํากัดด้านความปลอดภัยเพิ่มเติมตลอดอายุการใช้งานและขอบเขต
A OneLake SAS มีการลงชื่อด้วยคีย์การรับมอบสิทธิ์ของผู้ใช้ (UDK) ซึ่งได้รับการหนุนหลังด้วยข้อมูลประจําตัวของ Microsoft Entra คุณสามารถร้องขอคีย์การรับมอบสิทธิ์ผู้ใช้ด้วย การดําเนินการรับคีย์ การมอบหมายผู้ใช้ จากนั้นคุณใช้คีย์นี้ (ในขณะที่ยังคงถูกต้อง) เพื่อสร้าง OneLake SAS สิทธิ์ของบัญชี Microsoft Entra นั้นพร้อมกับสิทธิ์ที่มอบให้กับ SAS อย่างชัดเจนจะกําหนดการเข้าถึงทรัพยากรของลูกค้า
การอนุญาต OneLake SAS
เมื่อไคลเอ็นต์หรือแอปพลิเคชันเข้าถึง OneLake ด้วย OneLake SAS คําขอจะได้รับอนุญาตให้ใช้ข้อมูลประจําตัวของ Microsoft Entra ที่ร้องขอ UDK ที่ใช้ในการสร้าง SAS ดังนั้นสิทธิ์ OneLake ทั้งหมดที่มอบให้กับข้อมูลประจําตัวของ Microsoft Entra นั้นใช้กับ SAS ซึ่งหมายความว่า SAS จะไม่สามารถเกินสิทธิ์ของผู้ใช้ที่สร้างขึ้นได้ นอกจากนี้ เมื่อสร้าง SAS คุณให้สิทธิ์อย่างชัดเจน ช่วยให้คุณให้สิทธิ์ที่กําหนดขอบเขตมากขึ้นใน SAS ระหว่างข้อมูลประจําตัวของ Microsoft Entra สิทธิ์ที่ได้รับมอบอย่างชัดเจนและอายุการใช้งานสั้น OneLake จะปฏิบัติตามแนวทางปฏิบัติที่ดีที่สุดสําหรับการให้สิทธิ์การเข้าถึงข้อมูลของคุณที่ได้รับมอบสิทธิ์
เมื่อไรที่ควรใช้ OneLake SAS
OneLake SASs มอบสิทธิ์การเข้าถึง OneLake ที่ปลอดภัยและชั่วคราวซึ่งได้รับการสนับสนุนโดยข้อมูลประจําตัว Microsoft Entra แอปพลิเคชันที่ไม่มีการสนับสนุน Microsoft Entra แบบเนทีฟสามารถใช้ OneLake SAS เพื่อรับการเข้าถึงชั่วคราวเพื่อโหลดข้อมูลโดยไม่ต้องตั้งค่าและรวมงานที่ซับซ้อน
OneLake SASs ยังสนับสนุนแอปพลิเคชันที่ให้บริการเป็นพร็อกซีระหว่างผู้ใช้และข้อมูลของพวกเขา ตัวอย่างเช่น ผู้จัดจําหน่ายซอฟต์แวร์อิสระ (ISV) บางรายจะเรียกใช้ระหว่างผู้ใช้และพื้นที่ทํางาน Fabric ของพวกเขา ซึ่งให้ฟังก์ชันการทํางานเพิ่มเติมและอาจเป็นแบบจําลองการรับรองความถูกต้องที่แตกต่างกัน โดยการรับมอบสิทธิ์การเข้าถึงด้วย OneLake SAS ISV เหล่านี้สามารถจัดการการเข้าถึงข้อมูลเบื้องต้นและให้การเข้าถึงข้อมูลโดยตรง แม้ว่าผู้ใช้ของพวกเขาไม่มีข้อมูลประจําตัวของ Microsoft Entra
การจัดการ OneLake SAS
การตั้งค่าสองรายการในผู้เช่า Fabric ของคุณจะจัดการการใช้ OneLake SASs สิ่งแรกคือการตั้งค่า ระดับผู้เช่า ใช้โทเค็น SAS ที่มอบหมายโดยผู้ใช้สั้น ซึ่งจัดการการสร้างคีย์การรับมอบสิทธิ์ผู้ใช้ เนื่องจากคีย์การรับมอบสิทธิ์ผู้ใช้ถูกสร้างขึ้นในระดับผู้เช่า จึงควบคุมโดยการตั้งค่าผู้เช่า การตั้งค่านี้จะเปิดใช้งานตามค่าเริ่มต้น เนื่องจากคีย์การรับมอบสิทธิ์ของผู้ใช้เหล่านี้มีสิทธิ์เทียบเท่ากับข้อมูลประจําตัวของ Microsoft Entra ที่ร้องขอข้อมูลประจําตัวผู้ใช้เหล่านั้นและจะเป็นแบบสั้นๆ เสมอ
หมายเหตุ
การปิดคุณลักษณะนี้จะป้องกันไม่ให้พื้นที่ทํางานทั้งหมดใช้ OneLake SASs เนื่องจากผู้ใช้ทั้งหมดจะไม่สามารถสร้างคีย์การรับมอบสิทธิ์ของผู้ใช้ได้
การตั้งค่าที่สองคือการตั้งค่า พื้นที่ทํางานที่ได้รับมอบหมาย รับรองความถูกต้องด้วยโทเค็น SAS ที่มอบหมายโดยผู้ใช้ OneLake ซึ่งควบคุมว่าพื้นที่ทํางานยอมรับ OneLake SAS หรือไม่ การตั้งค่านี้จะปิดใช้งานตามค่าเริ่มต้น และสามารถเปิดใช้งานโดยผู้ดูแลระบบพื้นที่ทํางานที่ต้องการอนุญาตการรับรองความถูกต้องกับ OneLake SAS ในพื้นที่ทํางานของพวกเขา ผู้ดูแลระบบผู้เช่าสามารถเปิดการตั้งค่านี้สําหรับพื้นที่ทํางานทั้งหมดผ่านการตั้งค่าผู้เช่า หรือปล่อยให้ผู้ดูแลระบบพื้นที่ทํางานเปิดใช้งานได้
คุณยังสามารถตรวจสอบการสร้างคีย์การรับมอบสิทธิ์ผู้ใช้ผ่านพอร์ทัลการปฏิบัติตามข้อบังคับของ Microsoft Purview คุณสามารถค้นหาชื่อ การดําเนินการ generateonelakeudk เพื่อดูคีย์ทั้งหมดที่สร้างขึ้นในผู้เช่าของคุณได้ เนื่องจากการสร้าง SAS เป็นการทํางานฝั่งไคลเอ็นต์ คุณจะไม่สามารถตรวจสอบหรือจํากัดการสร้าง OneLake SAS ได้ เฉพาะการสร้าง UDK เท่านั้น
แนวทางปฏิบัติที่ดีที่สุดด้วย OneLake SAS
- ใช้ HTTPS เพื่อสร้างหรือแจกจ่าย SAS เพื่อป้องกันการโจมตีแบบตรงกลางที่พยายามสกัดกั้น SAS
- ติดตามเวลาหมดอายุของโทเค็น คีย์ และโทเค็น SAS ของคุณ คีย์การมอบสิทธิ์ผู้ใช้ OneLake และ SASs มีอายุการใช้งานสูงสุด 1 ชั่วโมง การพยายามขอ UDK หรือสร้าง SAS ที่มีอายุการใช้งานนานกว่า 1 ชั่วโมงทําให้คําขอล้มเหลว เพื่อป้องกัน SAS ถูกใช้เพื่อขยายอายุการใช้งานของโทเค็น OAuth ที่หมดอายุ อายุการใช้งานของโทเค็นต้องใช้เวลานานกว่าเวลาหมดอายุของคีย์การรับมอบสิทธิ์ของผู้ใช้และ SAS
- โปรดระวังเวลาเริ่มต้นของ SAS การตั้งค่าเวลาเริ่มต้นสําหรับ SAS เป็นเวลาปัจจุบันอาจทําให้เกิดความล้มเหลวในช่วงสองถึงสามนาทีแรก เนื่องจากเวลาเริ่มต้นระหว่างเครื่อง (นาฬิกาเบ้) แตกต่างกัน การตั้งค่าเวลาเริ่มต้นเป็นสองสามนาทีในอดีตจะช่วยป้องกันข้อผิดพลาดเหล่านี้
- ให้สิทธิ์ที่เป็นไปได้น้อยที่สุดแก่ SAS การให้สิทธิ์ขั้นต่ําที่จําเป็นกับทรัพยากรที่เป็นไปได้น้อยที่สุดคือแนวทางปฏิบัติที่ดีที่สุดสําหรับการรักษาความปลอดภัยและลดผลกระทบหาก SAS ถูกบุกรุก
- ตรวจสอบการสร้างคีย์การรับมอบสิทธิ์ผู้ใช้ คุณสามารถตรวจสอบการสร้างคีย์การรับมอบสิทธิ์ของผู้ใช้ในพอร์ทัลการปฏิบัติตามข้อบังคับของ Microsoft Purview ค้นหาชื่อการดําเนินการ 'generateonelakeudk' เพื่อดูคีย์ที่สร้างขึ้นในผู้เช่าของคุณ
- ทําความเข้าใจเกี่ยวกับข้อจํากัดของ OneLake SASS เนื่องจาก OneLake SASs ไม่สามารถมีสิทธิ์ระดับพื้นที่ทํางาน จึงไม่สามารถเข้ากันได้กับเครื่องมือ Azure Storage บางตัวที่คาดว่าจะมีสิทธิ์ระดับคอนเทนเนอร์ในการดําเนินการข้อมูล เช่น Azure Storage Explorer