Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Dans cet article, nous allons examiner les meilleures pratiques relatives à la sécurisation des données dans OneLake. Pour plus d’informations sur la façon d’implémenter la sécurité pour des cas d’utilisation spécifiques, consultez les guides pratiques.
Privilège minimum
L’accès au privilège minimum est un principe de sécurité fondamental dans la science informatique qui préconise de restreindre les autorisations et les droits d’accès des utilisateurs uniquement aux autorisations nécessaires pour effectuer leurs tâches. Pour OneLake, cela signifie attribuer des autorisations au niveau approprié pour s’assurer que les utilisateurs ne sont pas surprovisionnés et réduisent les risques.
Si les utilisateurs n’ont besoin d’accéder qu’à un seul lakehouse ou élément de données, utilisez la fonctionnalité de partage pour leur accorder l’accès à cet élément uniquement. L’attribution d’un utilisateur à un rôle d’espace de travail ne doit être utilisée que si cet utilisateur doit voir tous les éléments de cet espace de travail.
Utilisez la sécurité OneLake pour restreindre l’accès aux dossiers et aux tables au sein d’un lakehouse. Pour les données sensibles, la sécurité au niveau des lignes ou des colonnes OneLake garantit que les lignes et colonnes protégées restent masquées.
Sécuriser par cas d’utilisation
Différents utilisateurs ont besoin de la possibilité d’effectuer différentes actions dans Fabric afin d’effectuer leurs tâches. Certains cas d’utilisation courants sont identifiés dans cette section, ainsi que la configuration des autorisations nécessaires dans Fabric et OneLake.
Gérer l’accès à l’espace de travail Les rôles d’espace de travail administrateur ou membre sont requis. Ces rôles peuvent également gérer des rôles de sécurité OneLake sur un élément.
Créer des éléments dans Fabric Les rôles Administrateur, Membre ou Contributeur peuvent créer ou supprimer de nouveaux éléments.
Écriture des données dans OneLake Les rôles d’administrateur, de membre ou de contributeur peuvent écrire des données dans OneLake par le biais de Spark ou de téléchargements. Ils peuvent également écrire des données dans un entrepôt. Les utilisateurs disposant uniquement d’un accès en lecture sur un entrepôt peuvent recevoir des autorisations pour écrire des données via des autorisations SQL.
Lire les données de OneLake Un utilisateur doit être un Viewer d'espace de travail ou disposer de l'autorisation Read et de l’autorisation ReadAll pour lire les données de OneLake. Pour lakehouses avec la fonctionnalité de sécurité OneLake (préversion) activée, l’accès aux données est contrôlé par les autorisations de rôle de sécurité OneLake de l’utilisateur.
S’abonner aux événements OneLake Un utilisateur a besoin de SubscribeOneLakeEvents pour pouvoir s’abonner à des événements à partir d’un élément Fabric. Les rôles Administrateur, Membre, et Contributeur disposent de cette autorisation par défaut. Vous pouvez ajouter cette autorisation pour un utilisateur avec le rôle de lecteur.