Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
OneLake est un lac de données hiérarchique, comme Azure Data Lake Storage (ADLS) Gen2 ou le système de fichiers Windows. La sécurité dans OneLake est appliquée à plusieurs niveaux, chacune correspondant à différents aspects de l’accès et du contrôle. La compréhension de la distinction entre le plan de contrôle et les autorisations de plan de données est essentielle pour sécuriser efficacement vos données :
- Autorisations de plan de contrôle : régir les actions que les utilisateurs peuvent effectuer dans l’environnement (par exemple, création, gestion ou partage d’éléments). Les autorisations de plan de contrôle fournissent souvent des autorisations de plan de données par défaut.
- Autorisations de plan de données : régir les données auxquelles les utilisateurs peuvent accéder ou afficher, quelle que soit leur capacité à gérer les ressources.
Vous pouvez définir la sécurité à chaque niveau dans le lac de données. Toutefois, certains niveaux de la hiérarchie reçoivent un traitement spécial, car ils sont mis en corrélation avec les concepts Fabric. La sécurité OneLake contrôle tous les accès aux données OneLake grâce à différentes autorisations, qui sont héritées de l'autorisation de l'élément parent ou de l'espace de travail. Vous pouvez définir des autorisations aux niveaux suivants :
Espace de travail : environnement collaboratif pour la création et la gestion d’éléments. La sécurité est gérée via des rôles d’espace de travail à ce niveau.
Élément : ensemble de fonctionnalités regroupées dans un seul composant. Un élément de données est un sous-type d’élément qui permet de stocker des données à l’aide de OneLake. Les éléments héritent des autorisations des rôles de l’espace de travail, mais peuvent aussi posséder des autorisations supplémentaires.
Dossiers : dossiers au sein d’un élément utilisé pour stocker et gérer des données, tels que des tables/ ou des fichiers/.
Les éléments vivent toujours dans les espaces de travail et les espaces de travail vivent toujours directement sous l’espace de noms OneLake. Vous pouvez visualiser cette structure comme suit :
Sécurité dans OneLake
Cette section décrit le modèle de sécurité basé sur les fonctionnalités OneLake généralement disponibles.
Autorisations d’espace de travail
Les autorisations d’espace de travail définissent les actions que les utilisateurs peuvent effectuer dans un espace de travail et ses éléments. Ces autorisations sont gérées au niveau de l’espace de travail et sont principalement des autorisations de plan de contrôle ; ils déterminent les fonctionnalités de gestion d’administration et d’élément, et non l’accès direct aux données. Toutefois, les autorisations dans l'espace de travail sont généralement héritées jusqu'au niveau des éléments et des dossiers pour accorder l'accès aux données par défaut. Les autorisations relatives à l'espace de travail permettent de définir l'accès à tous les éléments de cet espace. Il existe quatre rôles d’espace de travail différents, chacun d’eux accorde différents types d’accès. Vous trouverez ci-dessous les comportements par défaut de chaque rôle d’espace de travail.
| Rôle | Peut ajouter des administrateurs ? | Peut ajouter des membres ? | Peut-il modifier la sécurité OneLake ? | Peut écrire des données et créer des éléments ? | Peut-on lire des données dans OneLake ? | Mettez à jour et supprimez l’espace de travail. |
|---|---|---|---|---|---|---|
| Administrateur | Oui | Oui | Oui | Oui | Oui | Oui |
| Membre | Non | Oui | Oui | Oui | Oui | Non |
| Collaborateur | Non | Non | Non | Oui | Oui | Non |
| Visionneuse | Non | Non | Non | Non | Non* | Non |
En savoir plus sur les rôles dans les espaces de travail dans Microsoft Fabric.
Remarque
*Les utilisateurs peuvent avoir accès aux données via les rôles de sécurité de OneLake.
Vous pouvez simplifier la gestion des rôles d’espace de travail Fabric en les affectant à des groupes de sécurité. Cette méthode vous permet de contrôler l’accès en ajoutant ou en supprimant des membres du groupe de sécurité.
Autorisations d’élément
Avec la fonctionnalité de partage, vous pouvez accorder à un utilisateur un accès direct à un élément. L’utilisateur ne peut voir que cet élément dans l’espace de travail, et il n’est membre d’aucun rôle d’espace de travail. Les autorisations d’élément accordent l’accès pour se connecter à cet élément et à ses points de terminaison auxquels l’utilisateur est en mesure d’accéder.
| Autorisation | Voir les métadonnées de l'élément ? | Voir les données dans SQL ? | Voir les données dans OneLake ? |
|---|---|---|---|
| Lire | Oui | Non | Non |
| LireLesDonnées | Non | Oui | Non |
| Lire tout | Non | Non | Oui* |
*Non applicable aux éléments avec des rôles de sécurité OneLake ou d’accès aux données activés. Si la préversion est activée, ReadAll accorde uniquement l’accès si le rôle DefaultReader est en cours d’utilisation. Si le rôle DefaultReader est modifié ou supprimé, l’accès est accordé en fonction des rôles d’accès aux données dont l’utilisateur fait partie.
Une autre façon de configurer les autorisations consiste à utiliser la page Gérer les autorisations d’un élément. À l’aide de cette page, vous pouvez ajouter ou supprimer une autorisation d’élément individuelle pour les utilisateurs ou les groupes. Le type d’élément détermine les autorisations disponibles.
Sécurité OneLake (préversion)
La sécurité OneLake permet aux utilisateurs de définir une sécurité granulaire basée sur les rôles sur les données stockées dans OneLake et d’appliquer cette sécurité de manière cohérente sur tous les moteurs de calcul dans Fabric. La sécurité oneLake est le modèle de sécurité du plan de données pour les données dans OneLake.
Les utilisateurs d’infrastructure dans les rôles Administrateur ou Membre peuvent créer des rôles de sécurité OneLake pour accorder aux utilisateurs l’accès aux données au sein d’un élément. Chaque rôle a quatre composants :
- Données : tables ou dossiers auxquels les utilisateurs peuvent accéder.
- Autorisation : autorisations dont disposent les utilisateurs sur les données.
- Membres : utilisateurs membres du rôle.
- Contraintes : composants des données, le cas échéant, exclus de l’accès aux rôles, tels que des lignes ou des colonnes spécifiques.
Les rôles de sécurité OneLake accordent l’accès aux données pour les utilisateurs du rôle d’espace de travail Visionneuse ou avec l’autorisation lecture sur l’élément. Les administrateurs, les membres et les contributeurs ne sont pas affectés par les rôles de sécurité OneLake et peuvent lire et écrire toutes les données d’un élément, quel que soit leur appartenance au rôle. Un rôle DefaultReader existe dans tous les lakehouses qui donne à n’importe quel utilisateur disposant de l’autorisation ReadAll d’accéder aux données dans le lakehouse. Le rôle DefaultReader peut être supprimé ou modifié pour supprimer cet accès.
En savoir plus sur la création de rôles de sécurité OneLake pour les tables et dossiers, colonneset lignes.
En savoir plus sur le modèle de contrôle d’accès pour la sécurité OneLake..
Autorisations de calcul
Les autorisations de calcul sont un type d’autorisation de plan de données qui s’applique à un moteur de requête spécifique dans Microsoft Fabric. L’accès accordé s’applique uniquement aux requêtes exécutées sur ce moteur spécifique, comme le point de terminaison SQL ou un modèle sémantique Power BI. Toutefois, les utilisateurs peuvent voir des résultats différents lorsqu’ils accèdent aux données via un moteur de calcul par rapport au moment où ils accèdent directement aux données dans OneLake, en fonction des autorisations de calcul appliquées. La sécurité OneLake est l’approche recommandée pour sécuriser les données dans OneLake afin de garantir des résultats cohérents sur tous les moteurs avec lesquels un utilisateur peut interagir.
Les moteurs de calcul peuvent avoir des fonctionnalités de sécurité plus avancées qui ne sont pas encore disponibles dans la sécurité OneLake et, dans ce cas, l’utilisation des autorisations de calcul peut être nécessaire pour résoudre certains scénarios. Lorsque vous utilisez des autorisations de calcul pour sécuriser l’accès aux données, assurez-vous que les utilisateurs finaux n’ont accès qu’au moteur de calcul où la sécurité est définie. Cela empêche l’accès aux données via un autre moteur sans les fonctionnalités de sécurité nécessaires.
Sécurité des raccourcis
Les raccourcis dans Microsoft Fabric permettent une gestion des données simplifiée. La sécurité du dossier OneLake s’applique aux raccourcis OneLake en fonction des rôles définis dans le lakehouse où les données sont stockées.
Pour plus d’informations sur les considérations relatives à la sécurité des raccourcis, consultez le modèle de contrôle d’accès de sécurité OneLake.
Pour plus d’informations sur l’accès et les détails de l’authentification pour des raccourcis spécifiques, consultez les types de raccourcis OneLake.
Authentification
OneLake utilise Microsoft Entra ID pour l’authentification. Vous pouvez l’utiliser pour accorder des autorisations aux identités d’utilisateur et aux principaux de service. OneLake extrait automatiquement l’identité utilisateur des outils qui utilisent l’authentification Microsoft Entra et la mappe aux autorisations que vous avez définies dans le portail Fabric.
Remarque
Pour utiliser des principaux de service dans un locataire Fabric, un administrateur client doit activer les noms de principaux de service (SPN) pour l’ensemble du locataire ou des groupes de sécurité spécifiques. En savoir plus sur l’activation des principes de service dans les paramètres développeur du portail d'administration du client.
Journaux d’audit
Pour afficher vos journaux d’audit OneLake, suivez les instructions dans Suivre les activités des utilisateurs dans Microsoft Fabric. Les noms des opérations OneLake correspondent à API ADLS, telles que CreateFile ou DeleteFile. Les journaux d’audit OneLake n’incluent pas de demandes de lecture ou de demandes adressées à OneLake via des charges de travail Fabric.
Chiffrement et mise en réseau
Données Stockées
Les données stockées dans OneLake sont chiffrées au repos par défaut à l’aide de clés gérées par Microsoft. Les clés gérées par Microsoft font l'objet d'une rotation appropriée. Les données dans OneLake sont chiffrées et déchiffrées de manière transparente et sont conformes à la norme FIPS 140-2.
Vous pouvez utiliser le chiffrement au repos à l’aide de clés gérées par le client pour ajouter une autre couche de protection à l’aide de clés que vous possédez et contrôlez. Pour en savoir plus, consultez les clés gérées par le client pour les espaces de travail Fabric.
Données en transit
Les données en transit sur l’Internet public entre les services Microsoft sont toujours chiffrées avec au moins TLS 1.2. Fabric négocie vers TLS 1.3 dans la mesure du possible. Le trafic entre les services Microsoft est toujours acheminé via le réseau mondial Microsoft.
La communication OneLake entrante applique également TLS 1.2 et négocie vers TLS 1.3, dans la mesure du possible. La communication Fabric sortante vers l’infrastructure détenue par le client préfère les protocoles sécurisés, mais peut revenir aux protocoles plus anciens et non sécurisés (y compris TLS 1.0) quand les protocoles plus récents ne sont pas pris en charge.
Liaisons privées
Pour configurer les liaisons privées dans Fabric, consultez Configurer et utiliser des liaisons privées.
Autoriser les applications s’exécutant en dehors de Fabric à accéder aux données via OneLake
Vous pouvez autoriser ou restreindre l’accès aux données OneLake à partir d’applications extérieures à l’environnement Fabric. Les administrateurs peuvent trouver ce paramètre dans la section OneLake des paramètres du locataire du portail d’administration.
Lorsque vous activez ce paramètre, les utilisateurs peuvent accéder aux données de toutes les sources. Par exemple, activez ce paramètre si vous avez des applications personnalisées qui utilisent des API Azure Data Lake Storage (ADLS) ou l’Explorateur de fichiers OneLake. Lorsque vous désactivez ce paramètre, les utilisateurs peuvent toujours accéder aux données à partir d’applications internes telles que Spark, Data Engineering et Data Warehouse, mais ils ne peuvent pas accéder aux données des applications exécutées en dehors des environnements Fabric.