Microsoft Fabric은 다중 작업 영역 API를 통해 데이터 허브, 즐겨찾기, 계보, 검색, OneLake 카탈로그 및 기타 거버넌스 및 검색 기능과 같은 다중 작업 영역 시나리오를 지원합니다. 이러한 API를 사용하면 사용자가 작업 영역의 네트워크 구성 외부에서 액세스할 수 있는 여러 작업 영역에서 간단한 메타데이터에 액세스할 수 있습니다. API는 기본 데이터 콘텐츠를 노출하지 않고 플랫폼 전체에서 통합 검색, 조직 및 탐색을 지원합니다.
다중 작업 영역 API가 독립 실행형 REST 엔드포인트로 항상 노출되는 것은 아닙니다. 대부분의 경우 이러한 API는 간접적으로 호출됩니다. 예를 들어 광범위한 REST 호출, 백그라운드 프로세스 또는 포털 작업(예: 패브릭 UI에서 페이지 로드)의 일부로 호출될 수 있습니다. 트리거되는 방법에 관계없이 사용자가 액세스할 수 있는 권한이 있는 메타데이터만 반환하도록 신중하게 범위가 지정됩니다.
다중 작업 영역 API의 범주
다중 작업 영역 API는 다음 두 범주에 속합니다. 각각은 특정 시나리오를 제공하고 고유한 방식으로 액세스 제어를 적용합니다.
필터링되지 않은 읽기 전용 다중 작업 영역 API
- 사용자에 대해 액세스 가능한 모든 작업 영역에서 메타데이터를 반환하도록 설계되었습니다.
- 네트워크 기반 액세스 제한을 적용하지 마세요.
- 의도적으로 읽기 전용이며 작업 영역 프라이빗 엔드포인트 연결을 통해 지원되지 않습니다.
- 일반적으로 플랫폼 전체 인덱싱 또는 카탈로그와 같은 글로벌 집계 시나리오에서 사용됩니다.
필터링된 다중 작업 영역 API
- API 요청의 네트워크 원본에 따라 액세스 제어를 적용합니다.
- 작업 영역 프라이빗 링크, 테넌트 프라이빗 링크 및 공용 네트워크 구성에서 안전한 사용을 지원합니다.
- 요청의 네트워크 컨텍스트에 따라 연결할 수 있는 작업 영역에 대해서만 메타데이터를 반환합니다.
이러한 API는 대규모 메타데이터 집계를 지원하며 액세스 제어 및 네트워크 보안을 처리하는 방법에 따라 분류됩니다. 다음 표에서는 다중 작업 영역 환경의 다양한 API 유형이 네트워크 연결 유형에 따라 메타데이터를 반환하는 방법을 요약합니다.
| 다중 작업 영역 API 유형 | 인바운드 네트워크 연결 | 반환된 메타데이터 |
|---|---|---|
| 읽기 전용, 필터링되지 않음 | 공용 인터넷, 테넌트 프라이빗 엔드포인트 | 사용자가 액세스할 수 있는 모든 작업 영역 |
| Filtered | 공용 인터넷, 테넌트 프라이빗 엔드포인트 | 작업 영역 프라이빗 엔드포인트를 통해 보호되지 않는 작업 영역 |
| Filtered | 작업 영역 프라이빗 엔드포인트 | 해당 작업 영역 프라이빗 엔드포인트와 연결된 작업 영역만 |
예제 시나리오
사용자가 5개의 패브릭 작업 영역에 액세스할 수 있다고 가정합니다.
- 작업 영역 1 및 작업 영역 2는 각각 작업 영역 프라이빗 엔드포인트 WSPE 1 및 WSPE 2로 보호됩니다.
- 작업 영역 3, 4 및 5는 공용 네트워크 또는 테넌트 프라이빗 링크를 통해 액세스할 수 있습니다.
이 예제 시나리오에서는 사용자가 다양한 네트워크 구성에서 작업 영역 가져오기 API를 호출하려고 합니다. 작업 영역 가져오기 API는 사용자가 액세스할 수 있는 모든 작업 영역에 대한 메타데이터를 검색할 수 있는 읽기 전용 필터링되지 않은 집계 API입니다. 이 API의 동작은 Microsoft Fabric의 네트워크 구성에서 변경되거나 일관성을 유지할 수 있습니다.
사용자가 작업 영역 가져오기(필터링되지 않은) API를 호출하는 경우:
- 공용 네트워크에서: API는 5개의 작업 영역을 모두 반환합니다. 네트워크 제한은 적용되지 않으며 액세스는 사용자 권한만을 기반으로 합니다.
- 테넌트 프라이빗 링크에서: 동작은 공용 네트워크와 동일합니다. 5개의 작업 영역이 모두 반환됩니다. 테넌트 프라이빗 링크는 필터링되지 않은 API에 작업 영역 수준 제한을 적용하지 않습니다.
- 작업 영역 프라이빗 엔드포인트에서: API 호출이 실패합니다. 필터링되지 않은 API는 작업 영역 프라이빗 링크를 통해 지원되지 않습니다. 이러한 격리된 네트워크는 작업 영역 간 데이터 노출을 방지하도록 설계되었기 때문입니다.
이 시나리오에서는 필터링되지 않은 집계 API가 열린 네트워크에서 일관되게 동작하지만 보안을 위해 작업 영역 범위 프라이빗 환경 내에서 의도적으로 차단되는 방법을 보여 줍니다.
범위 및 사용량의 데이터
-
사용 권한, 소유권 및 작성자 정보: 항목을 소유하거나 관리하는 사람, 항목을 만들거나 마지막으로 수정한 사용자, 다른 보안 주체가 보유한 액세스 수준을 식별하는 필드가 포함된 메타데이터입니다. 예를 들어
Artifact.CurrentPrincipalPermissions, ,Artifact.OwnerOrContactWorkspace.PrincipalPermissions및Workspace.OwnerOrContact가 있습니다. -
액세스 및 수정 세부 정보: 항목 또는 작업 영역을 만들거나 마지막으로 액세스하거나 수정한 시기와 대상을 캡처하는 메타데이터입니다. 예를 들어
Artifact.CreateAccessModifyTime,Artifact.CreateAccessModifyUser,Workspace.CreateAccessModifyTime및 관련 필드 아래JobSchedule및InformationProtection. -
식별자, 형식 및 설명 특성: 항목을 찾거나 분류하기 위한 고유 식별자, 표시 이름, 아티팩트 형식, 연결 정보 및 URL을 포함하는 메타데이터입니다. 필드에는
Artifact.Id,Artifact.TypeOrSubtype,Artifact.NameOrDisplayName,Artifact.UrlOrConnectionString,Workspace.TypeOrSubtype및Workspace.NameOrDisplayName가 포함될 수 있습니다. -
데이터 분류, 레이블 지정 및 태그: 정보 보호 레이블, 분류 상태, 콘텐츠 태그 및 보안 제한과 같은 거버넌스 및 규정 준수 용도로 사용되는 필드를 포함하는 메타데이터입니다. 예를 들어
Artifact.ContentTag, ,Artifact.InformationProtection.StateOrStatusArtifact.InformationProtection.Restrictions및Tenant.MipLabel가 있습니다. -
조직 및 플랫폼 수준 특성: 도메인, 용량, 지역 및 플랫폼 메타데이터를 포함하여 항목이 광범위한 플랫폼 또는 테넌트 구조 내에 있는 위치를 반영하는 메타데이터입니다. 필드에는
Tenant.Domain,Tenant.Capacity,Workspace.StorageInfo, 및Workspace.SecuritySettings가 포함될 수 있습니다. -
관계 및 계층: 항목 또는 작업 영역이 다른 개체(부모/자식 관계, 하위 요소, 작업 계보 및 그룹화된 엔터티)와 어떻게 관련되는지를 나타내는 메타데이터입니다. 여기에는
Artifact.RelationToArtifactParentChild,Artifact.SubArtifact,Workspace.RelationToWorkspaceParentChild,Workspace.Subfolder,Tenant.Group등의 필드가 포함될 수 있습니다.
이 메타데이터 액세스는 읽기 전용이며 범위에서 제한됩니다. 아티팩트 내에서 기본 데이터 콘텐츠 또는 사용자 생성 페이로드에 대한 액세스는 포함되지 않습니다. 패브릭 환경에서 중앙 집중식 검색 및 거버넌스 기능을 지원하기 위한 것입니다.