Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
In diesem Artikel befassen wir uns mit bewährten Methoden zur Sicherung von Daten in OneLake. Weitere Informationen zum Implementieren von Sicherheit für bestimmte Anwendungsfälle finden Sie in den Schrittanleitungen.
Ansatz der geringsten Rechte
Der geringstprivilegierte Zugriff ist ein grundlegendes Sicherheitsprinzip in der Informatik, das sich dafür einsetzt, die Berechtigungen und Zugriffsrechte der Benutzer auf diese Berechtigungen zu beschränken, die zum Ausführen ihrer Aufgaben erforderlich sind. Bei OneLake bedeutet dies das Zuweisen von Berechtigungen auf der entsprechenden Ebene, um sicherzustellen, dass Benutzer nicht überlastet sind und zur Reduzierung von Risiken.
Wenn Benutzer nur Zugriff auf ein einzelnes Lakehouse oder Datenelement benötigen, verwenden Sie das Freigabefeature, um ihnen nur Zugriff auf dieses Element zu gewähren. Das Zuweisen eines Benutzers zu einer Arbeitsbereichsrolle sollte nur verwendet werden, wenn dieser Benutzer ALLE Elemente in diesem Arbeitsbereich sehen muss.
Verwenden Sie OneLake-Sicherheit , um den Zugriff auf Ordner und Tabellen in einem Seehaus einzuschränken. Bei vertraulichen Daten stellt die Sicherheit auf Sicherheitszeilen - oder Spaltenebene von OneLake sicher, dass geschützte Zeilen und Spalten ausgeblendet bleiben.
Sicher nach Anwendungsfall
Verschiedene Benutzer benötigen die Durchführungsfähigkeit für unterschiedliche Aktionen in Fabric, um ihre Aufgaben auszuführen. Einige häufige Anwendungsfälle werden in diesem Abschnitt zusammen mit der erforderlichen Berechtigungseinrichtung in Fabric und OneLake identifiziert.
Verwalten des Arbeitsbereichszugriffs Die Administrations- oder Mitgliedsarbeitsbereichsrollen sind erforderlich. Diese Rollen können auch OneLake-Sicherheitsrollen für ein Element verwalten.
Erstellen neuer Elemente in Fabric Entweder Administrator-, Mitglieds- oder Mitwirkenderrollen können neue Elemente erstellen oder löschen.
Daten in OneLake schreiben Administrator-, Mitglieds- oder Teilnehmerrollen können Daten in OneLake schreiben, entweder über Spark oder durch Uploads. Sie können auch Daten in ein Warehouse schreiben. Benutzern mit nur Lesezugriff auf einen Lagerort können Berechtigungen zum Schreiben von Daten über SQL-Berechtigungen erteilt werden.
Lesen von Daten aus OneLake Ein Benutzer muss ein Bereichsbetrachter sein oder über die Leseberechtigung und die ReadAll-Berechtigung verfügen, um Daten aus OneLake zu lesen. Für Lakehouses mit aktivierter OneLake-Sicherheitsfunktion (Vorschau) wird der Zugriff auf Daten durch die OneLake-Sicherheitsrollenberechtigungen des Benutzers gesteuert.
Abonnieren von OneLake-Ereignissen Ein Benutzer benötigt SubscribeOneLakeEvents, um Ereignisse von einem Fabric-Element abonnieren zu können. Administrator-, Mitglieds- und Mitwirkenderrollen verfügen standardmäßig über diese Berechtigung. Sie können diese Berechtigung für einen Benutzer mit der Viewer-Rolle hinzufügen.