Защита данных для распространенных архитектур данных
В этой статье представлен обзор настройки безопасности для данных OneLake как для сетки данных, так и для центральных и периферийных архитектур.
Функции безопасности
Microsoft Fabric использует модель безопасности с несколькими уровнями с различными элементами управления, доступными на разных уровнях, чтобы предоставить только минимальные необходимые разрешения. Дополнительные сведения о различных типах безопасности, рассмотренных в этом руководстве, см . в разделе "Модель управления доступом к данным" в OneLake.
Защита сетки данных
Сетка данных — это архитектурная парадигма, которая обрабатывает данные как продукт, а не службу или ресурс. Сетка данных направлена на децентрализованность владения и управления данными в разных доменах и командах, обеспечивая взаимодействие и возможность обнаружения с помощью общей платформы. В архитектуре сетки данных каждая децентрализованная команда управляет владением данными, которые являются частью своего продукта данных. Рекомендации по безопасности, приведенные в этом разделе, сосредоточены на одной группе разработчиков данных, которая настраивает доступ для своей рабочей области. Действия должны повторяться каждой командой продуктов данных в своей рабочей области, так как они обеспечивают доступ для подчиненных пользователей.
Чтобы приступить к созданию сетки данных, используйте функцию домена Microsoft Fabric для тегов рабочих областей в соответствии с соответствующим продуктом данных и владением.
В доменах каждая команда имеет собственную рабочую область или рабочие области. Рабочая область хранит данные, необходимые для создания конечных продуктов данных для потребления. Предоставьте пользователям доступ к рабочей области с помощью ролей рабочей области.
Определите подчиненных потребителей продуктов данных и предоставьте доступ в соответствии с минимальными разрешениями, необходимыми для достижения своих целей. Чтобы обеспечить соответствие пользователей своим целевым интерфейсам, каждый тип нижестоящего пользователя может быть предоставлен доступ к одному элементу данных Fabric. В таблице ниже показаны некоторые распространенные варианты использования для потребителей сетки данных и соответствующих элементов Fabric.
| User | Элементы Структуры |
|---|---|
| Специалисты по обработке и анализу | Записные книжки Apache Spark или lakehouse |
| Инженеры данных | Записные книжки Apache Spark, потоки данных или конвейеры |
| Бизнес-аналитики | Конечная точка аналитики SQL |
| Создатели отчетов | Семантические модели |
| Отчет потребителей | Отчеты Power BI |
Защита для концентратора и периферийной сети
Центральная и периферийная архитектура отличаются от сетки данных, имея все сертифицированные продукты данных, управляемые в одном централизованном расположении. Подчиненные потребители менее сосредоточены на создании дополнительных продуктов данных и вместо этого выполняют анализ данных, созданных центральной командой.
Определите подчиненных потребителей и предоставьте доступ в соответствии с минимальными разрешениями, необходимыми для достижения своих целей. Чтобы обеспечить соответствие пользователей своим целевым интерфейсам, каждый тип нижестоящего пользователя может быть предоставлен доступ к одному элементу данных Fabric. В таблице user persona показаны некоторые распространенные варианты использования для концентратора и периферийных элементов, а также соответствующие элементы Fabric.
| User | Элементы Структуры |
|---|---|
| Специалисты по обработке и анализу | Записные книжки Apache Spark или lakehouse |
| Бизнес-аналитики | Конечная точка аналитики SQL |
| Создатели отчетов | Семантические модели |
| Отчет потребителей | Отчеты Power BI |
Роли рабочей области
Назначения ролей рабочей области соответствуют одинаковым рекомендациям как для архитектур концентратора, так и для периферийных и сетки данных. Таблица обязанностей задания описывает роль рабочей области для назначения пользователям на основе функций, выполняемых в рабочей области.
| Обязанности по заданию | Роль рабочей области |
|---|---|
| Владение рабочей областью и управление назначениями ролей | Административный |
| Управление назначениями ролей для пользователей, не являющихся администраторами | Элемент |
| Создание элементов Fabric и запись данных | Участник |
| Создание таблиц и представлений с помощью SQL | Просмотр и разрешения SQL |
Для специалистов по обработке и анализу данных
Специалисты по обработке и анализу данных должны получить доступ к данным в озерном доме для использования с помощью Apache Spark. Для сетки данных и концентратора и периферийной сети пользователи Spark используют данные из отдельной рабочей области, чем те, в которые находятся данные. Это позволяет специалистам по обработке и анализу данных иметь доступ к созданию моделей и экспериментов без добавления загромождений в рабочую область, в которой хранятся данные. Специалисты по обработке и анализу данных также могут использовать другие службы, отличные от Spark, которые подключаются непосредственно к путям данных OneLake, например Azure Databricks или Dremio.
Чтобы подготовить доступ для специалистов по обработке и анализу данных, используйте кнопку общего доступа, чтобы предоставить общий доступ к lakehouse. Выберите поле "Чтение всех Apache Spark" в диалоговом окне. Для лейкхаусов с включенными ролями доступа к данным OneLake предоставьте пользователям доступ, добавив их в роль доступа к данным OneLake. Использование ролей доступа к данным OneLake обеспечивает более точный доступ к данным. Затем инженеры данных могут создавать ярлыки для выбора таблиц или папок в lakehouse.
Для специалистов по обработке данных
Инженеры данных нуждаются в доступе к данным в lakehouse для создания подчиненных продуктов данных. Инженеры данных должны получить доступ к данным в OneLake, чтобы конвейеры или записные книжки могли быть созданы для чтения данных. В истинной модели концентратора и периферийной модели роль инженера данных существует только в уровнях центральной группы концентратора. Однако для сетки данных инженеры данных объединяют продукты данных между доменами для создания новых наборов данных.
Используйте кнопку общего доступа для совместного использования lakehouse с инженерами данных. Установите флажок "Чтение всех Apache Spark" в диалоговом окне. Для лейкхаусов с включенными ролями доступа к данным OneLake предоставьте пользователям доступ, добавив их в роль доступа к данным OneLake. Использование ролей доступа к данным OneLake обеспечивает более точный доступ к данным. Затем инженеры данных могут создавать ярлыки для выбора таблиц или папок в lakehouse.
Для специалистов по бизнес-аналитике
Бизнес-аналитики (иногда называют аналитиками данных) запрашивают данные через SQL для ответа на бизнес-вопросы.
Используйте кнопку общего доступа, чтобы поделиться озером с бизнес-аналитиками. Установите флажок "Чтение всех данных конечной точки SQL" в диалоговом окне. Этот параметр предоставляет бизнес-аналитикам доступ к данным в конечной точке аналитики SQL Lakehouse, но не для просмотра базовых файлов OneLake.
Доступ к данным можно дополнительно ограничить для этих пользователей, определив безопасность на уровне строк или столбцов непосредственно в SQL.
Создатели отчетов
Создатели отчетов создают отчеты Power BI для других пользователей.
Используйте кнопку общего доступа, чтобы предоставить общий доступ к lakehouse создателям отчета. Установите флажок "Сборка отчетов" в поле семантической модели по умолчанию в диалоговом окне. Это разрешение позволяет создателям отчетов создавать отчеты с помощью семантической модели, связанной с lakehouse. Эти пользователи не могут получить доступ к данным в OneLake или получить полный доступ к конечной точке аналитики SQL.
Отчет потребителей
Потребители отчетов — это бизнес-лидеры или руководители, которые просматривают данные в отчете Power BI для принятия решений.
Предоставление общего доступа к отчету потребителям с помощью кнопки "Общий доступ". Не установите флажки для предоставления доступа к отчету, но не видите ни одного из базовых данных. Чтобы запретить пользователям получать доступ к конечной точке аналитики SQL и просматривать таблицы, убедитесь, что разрешения SQL не определены, которые предоставляют доступ для этих пользователей.
Вы также можете совместно использовать данные с потребителями отчетов с помощью приложения. Приложения позволяют пользователям получать доступ к предварительно определенному отчету или набору отчетов без доступа к базовой рабочей области. Обратите внимание, что для отчетов в режиме прямого озера пользователям потребуется общий доступ к базовому lakehouse для просмотра данных.