本文帮助你在 Microsoft Fabric 的镜像 Azure Databricks 中建立数据安全性。
统一目录
用户必须在 Fabric 中重新配置 Unity 目录策略和权限。
若要允许 Azure Databricks 目录在 Fabric 中可用,请参阅 控制对 Unity 目录中数据的外部访问。
Unity 目录策略和权限不会在 Fabric 中镜像。 用户无法在 Fabric 中重复使用 Unity 目录策略和权限。 对 Azure Databricks 中的目录、架构和表设置的权限不会延续到 Fabric 工作区。 需要使用 Fabric 的权限模型来设置 Fabric 中对象的访问控制。
用于创建此目录镜像的 Unity 目录连接的凭据用于所有数据查询。
使用受信任的工作区访问启用防火墙的 ADLS 存储
将 Azure Databricks 镜像配置为 Microsoft Fabric 时,启用 受信任的工作区访问 以访问已启用防火墙的 Azure Data Lake Storage (ADLS) Gen2 帐户。
受信任的工作区访问需要直接创建与 ADLS 存储帐户的连接,该帐户可以独立于 Azure Databricks 工作区连接使用。 Unity 目录策略(如 RLS/CLM 或 ABAC) 不会在存储层强制执行,如果连接用于直接访问存储,则不会应用该策略。 受信任的工作区访问而是依赖于 Fabric 工作区标识管理和治理。
按照教程中的步骤 启用网络安全访问。 建议通过在容器中指定特定文件夹并使用 Azure 门户分配 Azure 角色,对存储帐户进行精细控制。
Permissions
无法将 Azure Databricks 工作区中对目录、架构和表设置的权限复制到 Fabric 工作区。 使用 Fabric 的权限模型为 Fabric 中的目录、架构和表设置访问控制。
选择要镜像的对象时,只能根据 Unity 目录特权和安全对象中描述的特权模型查看有权访问的目录/架构/表。
有关设置 Fabric 工作区安全性的详细信息,请参阅 Microsoft Fabric 中的工作区中的权限模型和角色。