在本文中,我们将探讨有关保护 OneLake 中的数据的最佳做法。 有关如何针对特定用例实现安全性的详细信息,请参阅操作指南。
最小特权
最低权限访问是计算机科学中的一项基本安全原则,它主张将用户的权限和访问限制在执行任务所需的权限。 对于 OneLake 来说,这意味着在适当的级别分配权限,以确保用户不会过度配置并降低风险。
如果用户只需要访问单个湖屋或数据项,请使用共享功能授予他们仅访问该项的权限。 仅当用户需要查看该工作区中的所有项时,才能为用户分配工作区角色。
使用 OneLake 安全性 限制对 Lakehouse 中的文件夹和表的访问。 对于敏感数据,OneLake 安全 行 或 列 级别安全性可确保受保护的行和列保持隐藏状态。
按用例进行保护
不同的用户需要在 Fabric 中执行不同的操作,以便完成其作业。 本节介绍了一些常见用例,以及 Fabric 和 OneLake 中必要的权限设置。
管理工作区访问权限:需要管理员或成员工作区角色。 这些角色还可以管理项上的 OneLake 安全角色。
在 Fabric 中创建新项 管理员、成员或参与者角色都可以创建或删除新项。
将数据写入 OneLake 管理员、成员或参与者角色都可以通过 Spark 或上传将数据写入 OneLake。 他们还可以将数据写入仓库。 对仓库只有读取访问权限的用户可以通过 SQL 权限获取写入数据的权限。
从 OneLake 读取数据 用户需要是工作区查看者,或者具有读取权限和 ReadAll 权限才能从 OneLake 读取数据。 对于启用了 OneLake 安全性(预览版)功能的 Lakehouse,对数据的访问由用户的 OneLake 安全角色权限控制。
订阅 OneLake 事件:用户需要 SubscribeOneLakeEvents 才能订阅来自 Fabric 项的事件。 默认情况下,“管理员”、“成员”和“参与者”角色具有此权限。 可以为具有“查看者”角色的用户添加此权限。