รักษาความปลอดภัยของข้อมูลด้วย Fabric, Compute Engines และ OneLake
Fabric มี รูปแบบ การรักษาความปลอดภัยหลายชั้นสําหรับการจัดการการเข้าถึงข้อมูล คุณสามารถตั้งค่าความปลอดภัยสําหรับพื้นที่ทํางานทั้งหมด สําหรับแต่ละรายการ หรือผ่านสิทธิ์ระดับแยกย่อยในแต่ละกลไกจัดการ Fabric OneLake มีข้อควรพิจารณาด้านความปลอดภัยของตนเองที่ระบุไว้ในเอกสารนี้
บทบาทการเข้าถึงข้อมูล OneLake (ตัวอย่าง)
บทบาทการเข้าถึงข้อมูล OneLake (ดูตัวอย่าง) อนุญาตให้ผู้ใช้สร้างบทบาทแบบกําหนดเองภายใน lakehouse และให้สิทธิ์การอ่านไปยังโฟลเดอร์ที่ระบุเท่านั้นเมื่อเข้าถึง OneLake สําหรับแต่ละบทบาท OneLake ผู้ใช้สามารถกําหนดผู้ใช้ กลุ่มความปลอดภัย หรือมอบการมอบหมายโดยอัตโนมัติตามบทบาทพื้นที่ทํางานได้
เรียนรู้เพิ่มเติมเกี่ยวกับ OneLake Data Access Control Model และ เริ่มต้นใช้งานด้วยการเข้าถึงข้อมูล
การรักษาความปลอดภัยทางลัด
ทางลัดใน Microsoft Fabric ช่วยให้สามารถจัดการข้อมูลได้อย่างง่ายดาย ความปลอดภัยของโฟลเดอร์ OneLake ใช้สําหรับทางลัด OneLake ตามบทบาทที่กําหนดไว้ใน lakehouse ที่มีการจัดเก็บข้อมูล
สําหรับข้อมูลเพิ่มเติมเกี่ยวกับข้อควรพิจารณาด้านความปลอดภัยของทางลัด โปรดดู แบบจําลองการควบคุมการเข้าถึง OneLake คุณสามารถดูข้อมูลเพิ่มเติมเกี่ยวกับทางลัดได้ที่นี่
การรับรองความถูกต้อง
OneLake ใช้ Microsoft Entra ID สําหรับการรับรองความถูกต้อง คุณสามารถใช้เพื่อให้สิทธิ์ในข้อมูลประจําตัวผู้ใช้และบริการหลัก OneLake จะแยกข้อมูลประจําตัวผู้ใช้จากเครื่องมือซึ่งใช้การรับรองความถูกต้อง Microsoft Entra และแมปไปยังสิทธิ์ที่คุณตั้งค่าไว้ในพอร์ทัล Fabric
หมายเหตุ
เมื่อต้องการใช้บริการหลักในผู้เช่า Fabric ผู้ดูแลระบบผู้เช่าต้องเปิดใช้งานชื่อบริการหลัก (SPNs) สําหรับผู้เช่าทั้งหมดหรือกลุ่มความปลอดภัยเฉพาะ เรียนรู้เพิ่มเติมเกี่ยวกับการเปิดใช้งานบริการหลักใน การตั้งค่านักพัฒนาของพอร์ทัลผู้ดูแลระบบผู้เช่า
บันทึกการตรวจสอบ
เมื่อต้องการดูบันทึกการตรวจสอบ OneLake ของคุณ ให้ทําตามคําแนะนําใน ติดตามกิจกรรมของผู้ใช้ใน Microsoft Fabric ชื่อการดําเนินการ OneLake ที่ สอดคล้องกับ ADLS API เช่น CreateFile หรือ DeleteFile บันทึกการตรวจสอบ OneLake ไม่รวมคําขออ่านหรือคําขอที่ทํากับ OneLake ผ่านปริมาณงาน Fabric
การเข้ารหัสและเครือข่าย
ข้อมูลที่พัก
ข้อมูลที่จัดเก็บใน OneLake จะถูกเข้ารหัสลับที่เหลือตามค่าเริ่มต้นโดยใช้คีย์ที่จัดการโดย Microsoft คีย์ที่จัดการโดย Microsoft จะถูกหมุนอย่างเหมาะสม ข้อมูลใน OneLake ถูกเข้ารหัสและถอดรหัสอย่างโปร่งใสและเป็นไปตามมาตรฐาน FIPS 140-2
การเข้ารหัสลับที่เหลือโดยใช้คีย์ที่ลูกค้าจัดการในขณะนี้ไม่ได้รับการสนับสนุน คุณสามารถส่งคําขอสําหรับคุณลักษณะนี้บน Microsoft Fabric Ideas ได้
ข้อมูลระหว่างทาง
ข้อมูลในการส่งผ่านอินเทอร์เน็ตสาธารณะระหว่างบริการของ Microsoft มักจะเข้ารหัสลับด้วย TLS 1.2 เป็นอย่างน้อยเสมอ Fabric เจรจากับ TLS 1.3 เมื่อใดก็ตามที่เป็นไปได้ ปริมาณการใช้งานระหว่างบริการของ Microsoft จะส่งผ่านเครือข่ายส่วนกลางของ Microsoft เสมอ
การสื่อสาร Inbound OneLake ยังบังคับใช้ TLS 1.2 และเจรจากับ TLS 1.3 เมื่อใดก็ตามที่เป็นไปได้ การสื่อสาร Outbound Fabric ไปยังโครงสร้างพื้นฐานที่ลูกค้าเป็นเจ้าของต้องการโพรโทคอลที่ปลอดภัย แต่อาจกลับไปใช้โพรโทคอลที่ไม่ปลอดภัย (รวมถึง TLS 1.0) ที่เก่ากว่าหากไม่รองรับโปรโตคอลที่ใหม่กว่า
ลิงก์ส่วนตัว
หากต้องการกําหนดค่าลิงก์ส่วนตัวใน Fabric โปรดดู ตั้งค่าและใช้ลิงก์ส่วนตัว
อนุญาตให้แอปทํางานภายนอก Fabric เพื่อเข้าถึงข้อมูลผ่านทาง OneLake
OneLake ช่วยให้คุณสามารถจํากัดการเข้าถึงข้อมูลจากแอปพลิเคชันที่ทํางานอยู่ภายนอกสภาพแวดล้อม Fabric ผู้ดูแลระบบสามารถค้นหาการตั้งค่าในส่วน OneLake ของพอร์ทัลผู้ดูแลระบบผู้เช่าได้ เมื่อคุณเปิดสวิตช์นี้ ผู้ใช้สามารถเข้าถึงข้อมูลผ่านทางแหล่งข้อมูลทั้งหมด เมื่อคุณปิดสวิตช์ ผู้ใช้จะไม่สามารถเข้าถึงข้อมูลผ่านแอปพลิเคชันที่ทํางานอยู่ภายนอกสภาพแวดล้อม Fabric ได้ ตัวอย่างเช่น ผู้ใช้สามารถเข้าถึงข้อมูลผ่านทางแอปพลิเคชันโดยใช้ Azure Data Lake Storage (ADLS) API หรือ OneLake file explorer