共用方式為


使用 Fabric 、運算引擎與 OneLake 保護資料

Fabric 提供用於管理資料存取的 多層安全性模型。 您可針對整個工作區、個別項目設定安全性,或透過每個 Fabric 引擎的細微權限來設定安全性。 OneLake 有其自身安全性考量,本文件將概述這些考量。

OneLake 資料存取角色(預覽版)

OneLake 資料存取角色(預覽版)允許使用者在 lakehouse 內建立自訂角色,並在存取 OneLake 時,僅針對指定資料夾授予讀取權限。 針對每個 OneLake 角色,使用者可以指派使用者、安全性群組,或根據工作區角色授與自動指派。

圖表顯示連線獨立安全容器的資料湖結構。

深入了解 OneLake 資料存取控制模型,以及開始使用資料存取

捷徑安全性

Microsoft Fabric 捷徑可簡化資料管理。 OneLake 資料夾安全性會根據儲存資料的 lakehouse 所定義的角色套用至 OneLake 捷徑。

如需捷徑安全性考量的詳細資訊,請參閱 OneLake 存取控制模型。 您可以在這裡找到捷徑的詳細資訊。

驗證

OneLake 使用 Microsoft Entra ID 進行驗證;您可用其給予使用者身分與服務主體權限。 OneLake 會自動從使用 Microsoft Entra 驗證的工具擷取使用者身分,並將其對應至您在 Fabric 入口網站設定的權限。

注意

若要在 Fabric 租用戶使用服務主體,租用戶管理員必須為整個租用戶或特定安全性群組啟用服務主體名稱 (SPN)。 深入了解如何在租戶管理員入口網站開發人員設定啟用服務主體

稽核記錄

若要檢視 OneLake 稽核記錄,請遵循在 Microsoft Fabric 追蹤使用者活動的指示。 OneLake 操作名稱對應 ADLS API,例如 CreateFile 或 DeleteFile。 OneLake 稽核記錄不包括讀取要求或透過 Fabric 工作負載向 OneLake 提出的要求。

加密與網路

待用資料

預設情況下,OneLake 儲存的資料使用 Microsoft 管理的金鑰進行靜態加密。 Microsoft 管理的金鑰會適當地輪替。 OneLake 的資料經過透明加密和及密,並符合 FIPS 140-2 規範。

目前不支援使用客戶自控金鑰進行靜態加密。 您可在 Microsoft Fabric Ideas 提交此功能的要求。

傳輸中資料

在 Microsoft 服務之間透過公共網際網路傳輸的資料一律會至少使用 TLS 1.2 加密。 Fabric 會盡可能協商至 TLS 1.3。 Microsoft 服務之間的流量一律透過 Microsoft 全域網路進行路由。

OneLake 輸入通訊也會強制執行 TLS 1.2,並盡可能協商至 TLS 1.3。 Fabric 輸出至客戶自有基礎架構的通訊偏好安全通訊協定,但在不支援較新通訊協定時,可能會回復使用較舊不安全通訊協定(包括 TLS 1.0)。

若要在 Fabric 設定私人連結,請參閱設定及使用私人連結

允許在 Fabric 以外執行的應用程式透過 OneLake 存取資料

OneLake 可讓您針對來自在 Fabric 環境外執行的應用程式限制存取資料。 管理員可在租用戶系統管理員入口網站的 OneLake 區段找到設定。 當開啟此開關時,使用者可透過所有來源存取資料。 當關閉開關時,使用者無法透過在 Fabric 環境外執行的應用程式存取資料。 例如,使用者可使用 Azure Data Lake Storage (ADLS) API 或 OneLake 檔案總管,透過應用程式存取資料。