如何为数据科学团队保护湖屋

介绍

本文概述了如何在 Fabric 中配置湖屋的安全性以供数据科学团队和工作负载使用。

安全功能

Microsoft Fabric 使用多层安全模型,在不同的级别提供不同的控制,以便仅提供所需的最低权限。 有关 Fabric 中可用的不同安全功能的更多信息,请参阅本文档

根据用例保护

Microsoft Fabric 的安全性围绕特定用例的数据保护进行了优化。 用例是一组需要特定访问权限并通过给定引擎访问数据的用户。 对于数据科学场景,一些示例用例包括:

  • Apache Spark 写入者:需要使用 Apache Spark 笔记本将数据写入湖屋的用户。
  • Apache Spark 读取者:需要使用 Apache Spark 笔记本读取数据的用户。
  • 管道读取者:需要使用管道从湖屋读取数据的用户。
  • 快捷方式创建者:需要创建湖屋中数据的快捷方式的用户。

然后,我们可以将每个用例与 Fabric 中所需的权限保持一致。

写入权限

对于需要在 Fabric 中写入数据的用户,可通过 Fabric 工作区角色控制访问权限。有三个工作区角色授予写入权限:管理员、成员和参与者。 选择所需的角色并授予用户访问权限。

具有写入访问权限的用户不受 OneLake 数据访问角色(预览)的限制。写入用户可通过 SQL 分析终结点数据限制对数据的访问,但保留对 OneLake 中数据的完全访问权限。 若要限制写入用户对数据的访问,需要为该数据创建单独的工作区。

读取权限

对于需要使用管道或 Apache Spark 笔记本读取数据的用户,权限由 Fabric 项权限和 OneLake 数据访问角色(预览)控制。Fabric 项权限控制用户可以查看哪些项以及如何访问该项。 OneLake 数据访问角色控制用户可通过连接到 OneLake 的体验访问哪些数据。 对于未启用 OneLake 数据访问角色预览的湖屋,访问权限由 ReadAll 项权限控制,并为整个湖屋授予对 OneLake 数据的访问权限。

若要读取数据,用户首先需要访问数据所在的湖屋。 可从工作区页面或在湖屋 UI 中选择湖屋上的“共享”按钮授予对湖屋的访问权限。 输入这些用户的电子邮件地址或安全组,然后选择“共享”。 (取消选中“其他权限”框。) 对于未启用 OneLake 数据访问角色预览的湖屋,请选中“读取所有 OneLake 数据 (ReadAll)”框。

接下来,导航到湖屋,然后选择“管理 OneLake 数据访问(预览)”按钮。 通过这些选项,你可以创建角色,授予用户查看和读取湖屋中特定文件夹的权限。 默认情况下禁止访问文件夹。 添加到角色的用户有权访问该角色涵盖的文件夹。 有关详细信息,请参阅 OneLake 数据访问角色(预览)。根据需要创建角色,授予用户通过管道、快捷方式或 Spark 笔记本读取文件夹的权限。

重要

所有使用 OneLake 数据访问角色预览的湖屋都有一个 DefaultReader 角色,该角色允许访问湖屋数据。 如果用户具有 ReadAll 权限,则不会受到其他数据访问角色的限制。 确保数据访问角色中包含的任何用户都不属于 DefaultReader 角色,或者删除 DefaultReader 角色。

与快捷方式一起使用

快捷方式是 OneLake 的一项功能,它允许从一个位置引用数据,无需实际复制数据。 有关快捷方式的更多信息,请参阅此处的文档。

你可以像 OneLake 中的任何其他文件夹一样,使用快捷方式来保护数据。 配置数据访问角色后,其他湖屋的用户只能创建他们有权访问的文件夹的快捷方式。 这可用于让其他工作区中的用户只能访问湖屋中选定的数据。

重要

SQL 分析终结点使用固定标识访问快捷方式。 当用户通过 SQL 分析终结点查询快捷方式表时,将检查湖屋所有者的身份以获取对快捷方式的访问权限。 这意味着,在创建用于 SQL 查询的快捷方式时,湖屋创建者还需要成为任何 OneLake 数据访问角色的一部分,这些角色仅限制对选定文件夹的访问。