本文將探討有關在 OneLake 保護資料的最佳做法。 如需如何為特定使用案例實作安全性的詳細資訊,請參閱操作指南。
最低權限
最低權限存取是電腦科學基本安全性原則,倡導將使用者的權限與存取權限制在僅限於執行其任務所需的權限。 對於 OneLake 來說,這代表在適當層級指定權限,確保使用者不會過度佈建並降低風險。
若使用者僅需存取單一 lakehouse 或資料項目,請使用共用功能,向其授與僅限該項目的存取權。 僅當該使用者需要查看該工作區的所有項目時,才向其指派工作區角色。
使用 OneLake 安全性 來限制對 Lakehouse 內資料夾和資料表的存取。 針對敏感性資料,OneLake 安全性資料 列 或 資料行 層級安全性可確保受保護的資料列和資料行保持隱藏狀態。
依使用案例保護
不同使用者需要能夠在 Fabric 執行不同動作才能完成其工作。 本節將識別部分常見使用案例,以及在 Fabric 與 OneLake 的必要權限設定。
管理工作區存取權 系統管理員或成員工作區角色是必要的。 這些角色也可以管理專案上的 OneLake 資訊安全角色。
在 Fabric 中建立新專案 管理員、成員或參與者角色都可以建立或刪除新專案。
寫入資料至 OneLake管理員、成員或參與者角色均可透過 Spark 或透過上傳將資料寫入 OneLake。 其也可將資料寫入倉儲。 僅對倉儲具唯讀存取權的使用者可透過 SQL 權限來獲得寫入資料權限。
從 OneLake 讀取資料使用者必須是工作區檢視人員,或具有讀取權限與 ReadAll 權限才能從 OneLake 讀取資料。 對於已啟用 OneLake 安全性 (預覽) 功能的 Lakehouse,資料的存取權是由使用者的 OneLake 資訊安全角色許可權所控制。
訂閱 OneLake 事件 使用者需要 SubscribeOneLakeEvents 才能從 Fabric 項目訂閱事件。 管理員、成員和參與者角色預設具有此權限。 您可以為具有檢視人員角色的使用者新增此權限。