Come proteggere i dati per usarli architetture di dati comuni
Questo articolo offre una panoramica di come configurare la sicurezza per i dati OneLake per le architetture di mesh di dati e hub e spoke.
Funzionalità di sicurezza
Microsoft Fabric usa un modello di sicurezza a più livelli con controlli diversi disponibili su diversi livelli, per fornire solo le autorizzazioni minime necessarie. Per altre informazioni sui diversi tipi di sicurezza descritti in questa guida pratica, vedere Modello di controllo di accesso ai dati in OneLake.
Proteggere per la mesh di dati
La mesh di dati è un paradigma dell'architettura che considera i dati come un prodotto, anziché un servizio o una risorsa. La mesh dei dati mira a decentralizzare la titolarità e la governance dei dati in diversi domini e team, consentendo al tempo stesso l'interoperabilità e l'individuabilità tramite una piattaforma comune. In un'architettura mesh di dati, ogni team decentralizzato gestisce la titolarità dei dati che fanno parte del prodotto di dati. Il materiale sussidiario sulla sicurezza fornito in questa sezione è incentrato su un singolo team di prodotto di dati che configura l'accesso per l'area di lavoro. I passaggi devono essere ripetuti da ogni team del prodotto di dati nella propria area di lavoro, in quanto consentono l'accesso per gli utenti downstream.
Per iniziare a creare una mesh di dati, usare la funzionalità di dominio di Microsoft Fabric per contrassegnare le aree di lavoro in base al prodotto di dati e alla titolarità associati.
All'interno dei domini, ogni team ha una propria area di lavoro o le proprie aree di lavoro. L'area di lavoro archivia i dati necessari per creare i prodotti di dati finali per il consumo. Concedere agli utenti l'accesso all'area di lavoro usando i ruoli dell'area di lavoro.
Identificare gli utenti downstream dei prodotti di dati e concedere l'accesso in base alle autorizzazioni minime necessarie per raggiungere i propri obiettivi. Per mantenere gli utenti allineati alle proprie esperienze di obiettivo, è possibile assegnare a ogni tipo di utente downstream l'accesso a un singolo elemento di dati di Fabric. La tabella seguente illustra alcuni casi d'uso comuni per i consumer di mesh di dati e gli elementi di Fabric pertinenti.
| Utente | Articoli di Fabric |
|---|---|
| Scienziati dei dati | Notebook Apache Spark o lakehouse |
| Ingegneri dei dati | Notebook, flussi di dati o pipeline Apache Spark |
| Analisti aziendali | Endpoint di Analisi SQL |
| Autori di report | Modelli semantici |
| Utenti dei report | Report di Power BI |
Rendere sicuro per hub e spoke
Un'architettura hub e spoke differisce da una mesh di dati perché ha tutti i prodotti di dati certificati gestiti in un'unica sede centralizzata. Gli utenti downstream sono meno concentrati sulla creazione di prodotti di dati aggiuntivi ed eseguono invece analisi sui dati prodotti dal team centrale.
Identificare gli utenti downstream e concedere l'accesso in base alle autorizzazioni minime necessarie per raggiungere i propri obiettivi. Per mantenere gli utenti allineati alle proprie esperienze di obiettivo, è possibile assegnare a ogni tipo di utente downstream l'accesso a un singolo elemento di dati di Fabric. La tabella utente-utente tipo mostra alcuni casi d'uso comuni per hub e spoke insieme agli elementi di Fabric pertinenti.
| Utente | Articoli di Fabric |
|---|---|
| Scienziati dei dati | Notebook Apache Spark o lakehouse |
| Analisti aziendali | Endpoint di Analisi SQL |
| Autori di report | Modelli semantici |
| Utenti dei report | Report di Power BI |
Ruoli dell'area di lavoro
Le assegnazioni di ruolo dell'area di lavoro seguono le stesse linee guida sia per le architetture hub e spoke, sia per i mesh di dati. La tabella delle responsabilità del lavoro descrive il ruolo dell'area di lavoro da assegnare agli utenti in base alle funzioni eseguite nell'area di lavoro.
| Responsabilità del lavoro | Ruolo area di lavoro |
|---|---|
| Possedere l'area di lavoro e gestire le assegnazioni di ruolo | Amministratore |
| Gestire le assegnazioni di ruolo per utenti non amministratori | Membro |
| Creare articoli di Fabric e scrivere dati | Collaboratore |
| Creare tabelle e visualizzazioni con SQL | Visualizzatore + autorizzazioni SQL |
Scienziati dei dati
Gli scienziati dei dati devono accedere ai dati in una lakehouse per usarli tramite Apache Spark. Per mesh di dati e hub e spoke, gli utenti Spark usano i dati di un'area di lavoro separata rispetto a quella in cui risiedono i dati. In questo modo, gli scienziati dei dati possono accedere alla creazione di modelli e esperimenti senza aggiungere messaggi secondari all'area di lavoro che contiene i dati. Gli scienziati dei dati possono anche usare altri servizi non di Spark che si connettono direttamente al percorso dati di OneLake, ad esempio Azure Databricks o Dremio.
Per fornire l'accesso agli scienziati dei dati, utilizzare il pulsante di condivisione per condividere la lakehouse. Selezionare la casella Leggi tutto Apache Spark nella casella di dialogo. Per le lakehouse con i ruoli di accesso ai dati di OneLake abilitati, concedere agli stessi utenti l'accesso aggiungendoli a un ruolo di accesso ai dati OneLake. L'uso dei ruoli di accesso ai dati di OneLake consente un accesso più dettagliato ai dati. Gli ingegneri dei dati possono quindi creare collegamenti per selezionare tabelle o cartelle in una lakehouse.
Ingegneri dei dati
Gli ingegneri dei devono accedere ai dati in una lakehouse per creare prodotti di dati downstream. Gli ingegneri dei dati devono accedere ai dati su OneLake in modo che sia possibile creare pipeline o notebook per leggere i dati. In un modello hub e spoke reale, il ruolo degli ingegneri dei dati esiste solo all'interno dei livelli del team dell'hub centrale. Tuttavia, per la mesh di dati, gli ingegneri dei dati combinano i prodotti di dati tra domini per creare nuovi set di dati.
Usare il pulsante di condivisione per condividere la lakehouse con gli ingegneri dei dati. Selezionare la casella Leggi tutto Apache Spark nella finestra di dialogo. Per le lakehouse con i ruoli di accesso ai dati di OneLake abilitati, concedere agli stessi utenti l'accesso aggiungendoli a un ruolo di accesso ai dati OneLake. L'uso dei ruoli di accesso ai dati di OneLake consente un accesso più dettagliato ai dati. Gli ingegneri dei dati possono quindi creare collegamenti per selezionare tabelle o cartelle in una lakehouse.
Analisti aziendali
Gli analisti aziendali (talvolta chiamati analisti dei dati) eseguono query sui dati tramite SQL per rispondere alle domande di lavoro.
Usare il pulsante condividi per condividere la lakehouse con gli analisti aziendali. Selezionare la casella Leggi tutti i dati dell'endpoint SQL nella finestra di dialogo. Questa impostazione consente agli analisti aziendali di accedere ai dati nell'endpoint di analisi SQL di una Lakehouse, ma non ai file OneLake sottostanti.
L'accesso ai dati può essere ulteriormente limitato per questi utenti definendo la sicurezza a livello di riga o di colonna direttamente in SQL.
Autori di report
Gli autori di report assemblano report di Power BI per consentire ad altri utenti di utilizzarli.
Usare il pulsante condividi per condividere la lakehouse con i creatori di report. Selezionare la casella Crea report da modello semantico predefinito nella finestra di dialogo. Questa autorizzazione consente ai creatori di report di creare report usando il modello semantico associato alla lakehouse. Questi utenti non possono accedere ai dati su OneLake o avere accesso completo all'endpoint di analisi SQL.
Utenti dei report
Gli utenti dei report sono i responsabili aziendali o i direttori che visualizzano i dati in un report di Power BI per prendere decisioni.
Condividere un report con gli utenti usando il pulsante condividi. Non selezionare nessuna delle caselle per concedere l'accesso alla lettura del report, ma senza visualizzare i dati sottostanti. Per impedire agli utenti di accedere all'endpoint di analisi SQL e visualizzare le tabelle, assicurarsi che non ci siano autorizzazioni SQL definite che possano concedere l'accesso a questi utenti.
È anche possibile condividere i dati con gli utenti dei report usando un'app. Le app consentono agli utenti di accedere a un report predefinito o a un set di report senza dover accedere all'area di lavoro sottostante. Si noti che per i report in modalità direct lake, gli utenti dovranno condividere la lakehouse sottostante per visualizzare i dati.