ภาพรวมการรักษาความปลอดภัย OneLake
OneLake คือที่จัดเก็บข้อมูลดิบแบบลําดับชั้น เช่น Azure Data Lake Storage (ADLS) Gen2 หรือระบบไฟล์ Windows โครงสร้างนี้ช่วยให้คุณสามารถตั้งค่าการรักษาความปลอดภัยในระดับที่แตกต่างกันในลําดับชั้นเพื่อควบคุมการเข้าถึง บางระดับในลําดับชั้นจะได้รับการรักษาพิเศษเนื่องจากสัมพันธ์กับแนวคิด Fabric
พื้นที่ทํางาน: สภาพแวดล้อมการทํางานร่วมกันสําหรับการสร้างและการจัดการรายการ
รายการ: ชุดของความสามารถรวมเข้าด้วยกันเป็นคอมโพเนนต์เดียว รายการข้อมูลเป็นชนิดย่อยของรายการที่อนุญาตให้เก็บข้อมูลภายในโดยใช้ OneLake
โฟลเดอร์: โฟลเดอร์ภายในรายการที่ใช้สําหรับการจัดเก็บและจัดการข้อมูล
รายการจะถ่ายทอดสดภายในพื้นที่ทํางานและพื้นที่ทํางานจะถ่ายทอดสดโดยตรงภายใต้ Namespace ของ OneLake เสมอ คุณสามารถแสดงโครงสร้างนี้ได้ดังนี้:
การอนุญาตของพื้นที่ทํางาน
สิทธิ์ของพื้นที่ทํางานอนุญาตให้กําหนดการเข้าถึงรายการทั้งหมดภายในพื้นที่ทํางานนั้น มีบทบาทพื้นที่ทํางานที่แตกต่างกัน 4 บทบาท ซึ่งแต่ละบทบาทอนุญาตให้เข้าถึงได้หลายประเภท
| บทบาท | สามารถเพิ่มผู้ดูแลระบบได้หรือไม่ | สามารถเพิ่มสมาชิกได้หรือไม่ | สามารถเขียนข้อมูลและสร้างรายการได้หรือไม่ | สามารถอ่านข้อมูลได้หรือไม่ |
|---|---|---|---|---|
| เขตปกครอง | ใช่ | ใช่ | ใช่ | ใช่ |
| สมาชิก | ไม่ใช่ | ใช่ | ใช่ | ใช่ |
| ผู้สนับสนุน | ไม่ใช่ | ไม่ใช่ | ใช่ | ใช่ |
| ผู้ดู | ไม่ใช่ | ไม่ใช่ | ไม่ใช่ | ใช่ |
หมายเหตุ
คุณสามารถดูสินค้าคลังสินค้าที่มีบทบาทแบบอ่าน-เขียนแต่คุณสามารถเขียนได้เฉพาะคลังสินค้าที่ใช้การสอบถาม SQL เท่านั้น
คุณสามารถทําให้การจัดการบทบาทพื้นที่ทํางาน Fabric ง่ายขึ้นโดยมอบหมายให้กับกลุ่มความปลอดภัย วิธีนี้ช่วยให้คุณสามารถควบคุมการเข้าถึงได้โดยการเพิ่มหรือลบสมาชิกออกจากกลุ่มความปลอดภัย
การอนุญาตรายการ
ด้วยคุณลักษณะการแชร์ คุณสามารถให้ผู้ใช้เข้าถึงรายการได้โดยตรง ผู้ใช้จะสามารถดูได้เฉพาะรายการนั้นในพื้นที่ทํางานเท่านั้น และไม่ใช่สมาชิกของบทบาทพื้นที่ทํางานใด ๆ สิทธิ์รายการอนุญาตให้เข้าถึงเพื่อเชื่อมต่อกับหน่วยข้อมูลนั้นและหน่วยข้อมูลใดที่เป็นจุดสิ้นสุดที่ผู้ใช้สามารถเข้าถึงได้
| สิทธิ์ | ดูเมตาดาต้าของรายการหรือไม่ | ดูข้อมูลใน SQL หรือไม่ | ดูข้อมูลใน OneLake หรือไม่ |
|---|---|---|---|
| อ่าน | ใช่ | ไม่ใช่ | ไม่ใช่ |
| อ่านข้อมูล | ไม่ใช่ | ใช่ | ไม่ใช่ |
| ReadAll | ไม่ใช่ | ไม่ใช่ | ใช่* |
*ไม่สามารถใช้กับรายการที่มีการเปิดใช้งานบทบาทการเข้าถึงข้อมูล OneLake (ตัวอย่าง) ถ้าเปิดใช้งานการแสดงตัวอย่าง ReadAll จะอนุญาตให้เข้าถึงก็ต่อเมื่อมีการใช้งานบทบาท DefaultReader เท่านั้น ถ้าบทบาทนั้นถูกแก้ไขหรือลบ การเข้าถึงจะได้รับอนุญาตแทนตามบทบาทการเข้าถึงข้อมูลที่ผู้ใช้เป็นส่วนหนึ่ง
อีกวิธีในการกําหนดค่าสิทธิ์คือผ่านทางหน้าจัดการสิทธิ์ของรายการ การใช้หน้านี้ คุณสามารถเพิ่มหรือลบสิทธิ์แต่ละรายการสําหรับผู้ใช้หรือกลุ่มได้ สิทธิ์ที่แน่นอนจะกําหนดโดยประเภทรายการ
คํานวณสิทธิ์
การเข้าถึงข้อมูลยังสามารถได้รับผ่านกลไกการคํานวณ SQL ใน Microsoft Fabric การเข้าถึงที่มอบให้ผ่าน SQL จะนําไปใช้กับผู้ใช้ที่เข้าถึงข้อมูลผ่าน SQL เท่านั้น แต่คุณสามารถใช้การรักษาความปลอดภัยนี้เพื่อให้การเข้าถึงแบบเลือกได้มากขึ้นแก่ผู้ใช้บางราย ในสถานะปัจจุบัน SQL สนับสนุนการจํากัดการเข้าถึงตารางและสคีมาที่เฉพาะเจาะจง ตลอดจนการรักษาความปลอดภัยระดับแถวและคอลัมน์
ผู้ใช้ที่เข้าถึงข้อมูลผ่าน SQL อาจเห็นผลลัพธ์ที่แตกต่างจากการเข้าถึงข้อมูลใน OneLake โดยตรง ทั้งนี้ขึ้นอยู่กับสิทธิ์ในการคํานวณที่ใช้ เพื่อป้องกันปัญหานี้ ตรวจสอบให้แน่ใจว่ามีการกําหนดค่าสิทธิ์ในรายการของผู้ใช้เพื่อให้สิทธิ์การเข้าถึงไปยังจุดสิ้นสุดการวิเคราะห์ SQL (โดยใช้ ReadData) หรือ OneLake (โดยใช้ ReadAll หรือตัวอย่างบทบาทการเข้าถึงข้อมูล)
ในตัวอย่างต่อไปนี้ ผู้ใช้จะได้รับสิทธิ์การเข้าถึงแบบอ่านอย่างเดียวในเลคเฮ้าส์ผ่านการแชร์รายการ ผู้ใช้จะได้รับสิทธิ์ SELECT บนตารางผ่านจุดสิ้นสุดการวิเคราะห์ SQL เมื่อผู้ใช้พยายามอ่านข้อมูลผ่าน OneLake API พวกเขาจะถูกปฏิเสธการเข้าถึงเนื่องจากพวกเขาไม่มีสิทธิ์เพียงพอ ผู้ใช้สามารถอ่านได้สําเร็จผ่านคําสั่ง SQL SELECT
บทบาทการเข้าถึงข้อมูล OneLake (ตัวอย่าง)
บทบาทการเข้าถึงข้อมูล OneLake เป็นคุณลักษณะใหม่ที่ช่วยให้คุณสามารถใช้การควบคุมการเข้าถึงตามบทบาท (RBAC) กับข้อมูลของคุณที่จัดเก็บไว้ใน OneLake ได้ คุณสามารถกําหนดบทบาทความปลอดภัยที่ให้สิทธิ์ในการอ่านสําหรับโฟลเดอร์ที่ระบุภายในรายการ Fabric และกําหนดให้กับผู้ใช้หรือกลุ่ม สิทธิ์ในการเข้าถึงจะกําหนดโฟลเดอร์ที่ผู้ใช้เห็นเมื่อเข้าถึงมุมมองข้อมูลผ่าน lakehouse UX สมุดบันทึก หรือ OneLake APIs
ผู้ใช้ Fabric ในบทบาทผู้ดูแลระบบ สมาชิก หรือผู้สนับสนุนสามารถเริ่มต้นโดยการสร้างบทบาทการเข้าถึงข้อมูล OneLake เพื่อให้สิทธิ์เข้าถึงเฉพาะโฟลเดอร์ที่เฉพาะเจาะจงในเลคเฮ้าส์ หากต้องการให้สิทธิ์การเข้าถึงข้อมูลในเลคเฮ้าส์ ให้เพิ่มผู้ใช้ลงในบทบาทการเข้าถึงข้อมูล ผู้ใช้ที่ไม่ได้เป็นส่วนหนึ่งของบทบาทการเข้าถึงข้อมูลจะไม่เห็นข้อมูลในเลคเฮ้าส์นั้น
เรียนรู้เพิ่มเติมเกี่ยวกับการสร้างบทบาทการเข้าถึงข้อมูลใน เริ่มต้นใช้งานด้วยบทบาทการเข้าถึงข้อมูล
เรียนรู้เพิ่มเติมเกี่ยวกับรูปแบบความปลอดภัยสําหรับบทบาท การเข้าถึงแบบจําลองควบคุมการเข้าถึงข้อมูล
การรักษาความปลอดภัยทางลัด
ทางลัดใน Microsoft Fabric ช่วยให้การจัดการข้อมูลง่ายขึ้น แต่มีข้อควรพิจารณาด้านความปลอดภัยบางอย่างที่ต้องทราบ สําหรับข้อมูลเกี่ยวกับการจัดการความปลอดภัยของทางลัด ให้ดูเอกสารนี้
สําหรับบทบาทการเข้าถึงข้อมูล OneLake (ตัวอย่าง) ทางลัดจะได้รับการรักษาพิเศษขึ้นอยู่กับชนิดทางลัด การเข้าถึงทางลัด OneLake จะถูกควบคุมโดยบทบาทการเข้าถึงตามเป้าหมายของทางลัดเสมอ ซึ่งหมายความว่าทางลัดจากเลคเฮ้าส์าไปยังเลคเฮ้าส์บีการรักษาความปลอดภัยของ LakehouseB จะมีผล บทบาทการเข้าถึงข้อมูลใน LakehouseA ไม่สามารถให้หรือแก้ไขความปลอดภัยของทางลัดไปยัง LakehouseB ได้
สําหรับทางลัดภายนอกไปยัง Amazon S3 หรือ ADLS Gen2 ความปลอดภัยได้รับการกําหนดค่าผ่านบทบาทการเข้าถึงข้อมูลใน lakehouse เอง ทางลัดจาก LakehouseA ไปยังบักเก็ต S3 สามารถมีบทบาทการเข้าถึงข้อมูลที่กําหนดค่าไว้ใน LakehouseA ได้ สิ่งสําคัญคือต้องทราบว่าเฉพาะระดับรากของทางลัดเท่านั้นที่สามารถมีการรักษาความปลอดภัยได้ การกําหนดการเข้าถึงโฟลเดอร์ย่อยของทางลัดจะส่งผลให้เกิดข้อผิดพลาดในการสร้างบทบาท
เรียนรู้เพิ่มเติมเกี่ยวกับรูปแบบความปลอดภัยสําหรับทางลัดในรูปแบบ การควบคุมการเข้าถึงข้อมูล