일반적인 데이터 아키텍처를 위해서 데이터를 보호하기 위한 방법
이 문서에서는 데이터 메시와 허브 및 스포크 아키텍처 모두를 위한 OneLake 데이터용 보안을 구성하기 위한 개요를 제공해 드립니다.
보안 기능
Microsoft Fabric은 필요한 최소 사용 권한만 제공해 드리기 위해 다양한 수준에서 사용해 보실 수 있는 다양한 제어 기능을 갖추고 있는 다중 계층 보안 모델을 사용합니다. 이 방법 가이드에 대한 설명하는 다양한 보안 형식을 위한 자세한 정보는 OneLake의 데이터 액세스 제어 모델을 확인해 주세요.
데이터 메시용 보안
데이터 메시는 데이터를 서비스나 리소스가 아닌 제품으로 처리해주는 아키텍처 패러다임입니다. 데이터 메시는 다양한 도메인 및 팀에 걸쳐서 데이터 소유권 및 거버넌스를 분산시켜 주는 동시에 공통 플랫폼을 통해서 상호 운용성 및 검색 가능성을 실현시켜 주기 위한 것을 목표로 합니다. 데이터 메시 아키텍처에서 분산된 각 탈중화 팀은 데이터 제품의 일부인 데이터의 소유권을 관리해 드립니다. 이 섹션에서 제공해 드리는 보안 지침은 작업 영역을 위한 액세스를 구성해 주는 단일 데이터 제품 팀에 집중하고 있습니다. 이 단계에서는 다운스트림 사용자를 위한 액세스를 활성화하여 각 데이터 제품 팀에서는 자체 작업 영역에서 반복해 주서야 합니다.
데이터 메시 빌드를 시작 위해서는 Microsoft Fabric의 도메인 기능을 사용하여 관련된 데이터 제품 및 소유권에 따라 작업 영역에 따라서 태그를 지정하게 됩니다.
각 팀에는 도메인 내에 사용자 작업 영역 혹은 작업 영역을 가지고 있습니다. 작업 영역은 사용량을 위한 최종 데이터 제품을 빌드하기 위해서 필요한 데이터가 저장됩니다. 작업 영역 역할을 사용하셔서 사용자를 위한 작업 영역에 대한 액세스 사용 권한을 부여해 주세요.
데이터 제품의 다운스트림 소비자를 파악하셔서 목표를 달성하시기 위해서 필요하신 최소 사용 권한에 따라서 액세스 사용 권한을 부여해 주세요. 사용자를 대상 환경에 맞추게 하기 위해서는 각 형식의 다운스트림 사용자를 위한 단일 Fabric 데이터 항목에 대한 액세스 사용 권한을 부여해 보실 수 있습니다. 아래 표는 데이터 메시 소비자 및 관련 Fabric 항목을 위한 일반적인 사용 사례를 몇 가지 보여드립니다.
| 사용자 | Fabric 항목 |
|---|---|
| 데이터 과학자 | Apache Spark 노트북 혹은 레이크하우스 |
| 데이터 엔지니어 | Apache Spark 노트북, 데이터 흐름 혹은 파이프라인 |
| 비즈니스 분석가 | SQL 분석 끝점 |
| 보고서 작성자 | 의미 체계 모델 |
| 보고서 사용 | Power BI 보고서 |
허브 및 스포크를 위한 보안
허브 및 스포크 아키텍처는 모든 인증된 데이터 제품을 중앙에서 소유한 단일 위치에서 관리하고 있다는 것에서 데이터 메시와는 다른 것입니다. 다운스트림 소비자는 추가 데이터 제품을 빌드하는 것에 덜 집중하시고 그 대신에 중앙 팀에서 생성한 데이터에 대한 분석을 실행해 보세요.
다운스트림 소비자를 파악해 보셔서 목표를 달성하는 것에 필요하신 최소 사용 권한에 따라서 액세스 권한을 부여해 보세요. 사용자를 대상 환경에 맞추게 하기 위해서는 각 형식의 다운스트림 사용자를 위한 단일 Fabric 데이터 항목에 대한 액세스 사용 권한을 부여해 보실 수 있습니다. 사용자 가상 사용자 테이블에서는 허브 및 스포크를 위한 일반적인 몇 가지 사용 사례와 관련된 Fabric 항목과 함께 표시됩니다.
| 사용자 | Fabric 항목 |
|---|---|
| 데이터 과학자 | Apache Spark 노트북 혹은 레이크하우스 |
| 비즈니스 분석가 | SQL 분석 끝점 |
| 보고서 작성자 | 의미 체계 모델 |
| 보고서 사용 | Power BI 보고서 |
작업 영역 역할
작업 영역 역할 할당은 허브 및 스포크 및 데이터 메시 아키텍처 모두를 위해 동일한 지침을 따라 주세요. 작업 책임 테이블은 작업 영역에서 실행하고 계시는 함수를 기반으로 사용자에게 할당하기 위한 작업 영역 역할을 간략하게 설명해 드려요.
| 작업의 책임 | 작업 영역 역할 |
|---|---|
| 작업 영역 소유 및 역할 할당 관리 | 관리자 |
| 관리가 아닌 사용자를 위한 역할 할당 관리 | 멤버 |
| Fabric 항목 만들기 및 데이터 쓰기 | 기여자 |
| SQL 테이블 및 보기 만들기 | 보기 + SQL 사용 권한 |
데이터 과학자
데이터 과학자는 Apache Spark를 통해서 사용하시기 위해 레이크하우스의 데이터에 액세스 해주셔야 합니다. 데이터 메시 및 허브 및 스포크를 위해서 Spark 사용자는 데이터가 있는 작업 영역과는 별도의 작업 영역 데이터를 사용하는 것입니다. 이를 통해 데이터 과학자는 데이터를 보관하고 계시는 작업 영역에 혼란을 주지 않으시고도 모델 및 실험을 만들어 보실 수 있는 것입니다. 데이터 과학자는 예를 들어 Azure Databricks 혹은 Dremio와 같은 OneLake 데이터 경로에 직접 연결된 다른 비 Spark 서비스를 사용해 보실 수도 있습니다.
데이터 과학자를 위한 액세스 사용 권한을 제공하기 위해서는 공유 버튼을 사용하셔서 레이크하우스를 공유해 보세요. 대화 상자에서 모든 Apache Spark 읽기 상자를 선택해 주세요. OneLake 데이터 액세스 역할이 활성화 된 레이크하우스의 경우에 OneLake 데이터 액세스 역할에 추가하셔서 동일한 사용자를 위한 액세스 사용 권한을 부여해 주세요. OneLake 데이터 액세스 역할을 사용하시게 되면 데이터를 위해 세분화된 액세스 사용 권한이 부여되는 것입니다. 그런 다음 데이터 엔지니어는 레이크하우스엔서 테이블 및 폴더를 선택해 보실 수 있는 바로 가기를 만들어 보실 수 있습니다.
데이터 엔지니어
데이터 엔지니어는 다운스트림 데이터 제품을 빌드하기 위해서 레이크하우스의 데이터에 액세스 해주셔야 합니다. 데이터 엔지니어는 OneLake의 데이터에 엑세스 해주셔야 파이프라인 및 노트북을 만드셔서 데이터를 읽으실 수 있게 되는 것입니다. 중앙 허브 팀의 계층 내에서만 실제 허브 및 스포크 모델에서 데이터 엔지니어 역할이 존재하고 있는 것입니다. 그러나 데이터 메시의 경우 데이터 엔지니어는 여러 가지 도메인에 걸쳐서 데이터 제품을 결합하셔서 새로운 데이터 집합을 만들어 내는 것입니다.
공유 버튼을 사용하셔서 레이크하우스를 데이터 엔지니어와 공유해 보세요. 모든 Apache Spark 읽기 상자를 대화 상자에서 선택해 주세요. OneLake 데이터 액세스 역할이 활성화 된 레이크하우스의 경우에 OneLake 데이터 액세스 역할에 추가하셔서 동일한 사용자를 위한 액세스 사용 권한을 부여해 주세요. OneLake 데이터 액세스 역할을 사용하시게 되면 데이터를 위해 세분화된 액세스 사용 권한이 부여되는 것입니다. 그런 다음 데이터 엔지니어는 레이크하우스엔서 테이블 및 폴더를 선택해 보실 수 있는 바로 가기를 만들어 보실 수 있습니다.
비즈니스 분석가
SQL을 통해서 비즈니스 분석가 (때로는 데이터 분석가를 호출하기도 함) 는 데이터를 쿼리를 하셔서 비즈니스 질문에 답변해 보세요.
공유 버튼을 사용하셔서 레이크하우스를 비즈니스 분석가와 함께 공유해 보세요. 모든 SQL 엔드포인트 데이터 읽기 상자를 대화 상자에서 선택해 보세요. 이 설정을 사용하셔서 비즈니스 분석가가 레이크하우스의 SQL 분석 엔드포인트에 있는 데이터에 액세스하실 수는 있겠지만 기본 OneLake 파일은 보실수가 없습니다.
이러한 사용자는 행 혹은 열 수준 보안을 SQL에서 직접 정의하셔서 데이터를 위한 액세스를 추가로 제한해 보실 수 있습니다.
보고서 작성자
다른 사용자가 사용해 보실 수 있도록 보고서 작성자는 Power BI 보고서를 작성해 보세요.
공유 버튼를 사용하셔서 레이크하우스를 보고서 작성자와 공유해 보세요. 대화 상자의 기본 의미 체계 모델 상자에서 보고서 빌드를 확인해 주세요. 이 사용 권한을 사용하시게 되면 보고서 작성자가 레이크하우스가 연결된 의미 체계 모델을 사용하여 보고서를 작성하실 수 있습니다. 이러한 사용자는 OneLake의 데이터에 액세스를 하시거나 SQL 분석 엔드포인트를 위한 모든 사용 권한을 가질수는 없는 것입니다.
보고서 사용
보고서 소비자는 Pwer BI 보고서에 대한 보고 의사 결정을 내리시기 위한 비즈니스 리더 혹은 디렉터 분이십니다.
공유 버튼을 사용하셔서 소비자와 보고서를 공유해 보세요. 보고서 읽기를 위한 액세스 사용 권한을 부여하고 계시지만 기본 데이터를 보실 수 없게 하기 위해서 어떤 상자도 선택하지 말아 주세요. 사용자가 SQL 분석 엔드포인트에 액세스 하셔서 테이블을 보실 수 없게 하시기 위해서는 이러한 사용자를 위한 액세스 사용 권한을 부여하는 SQL 사용 권한이 정의된 것은 아닌지 확인해 주세요.
앱을 사용하셔서 보고서 소비자와 데이터를 공유해 보실 수도 있습니다. 앱을 사용하시게 되면 사용자는 기본 작업 영역에 액세스하실 필요 없이 미리 정의된 보고서 혹은 보고서 집합에 액세스 해보실 수 있습니다. 직접 레이크 모드의 보고서의 경우 사용자가 데이터를 보시기 위해서 기본 레이크하우스를 공유하셔야 할 것 입니다.