Yaygın veri mimarileri için verilerin güvenliğini sağlama
Bu makalede hem veri ağı hem de merkez-uç mimarileri için OneLake verilerinin güvenliğini yapılandırmaya yönelik genel bir bakış sunulmaktadır.
Güvenlik özellikleri
Microsoft Fabric, yalnızca gerekli en düşük izinleri sağlamak için farklı düzeylerde farklı denetimlere sahip çok katmanlı bir güvenlik modeli kullanır. Bu nasıl yapılır kılavuzunda açıklanan farklı güvenlik türleri hakkında daha fazla bilgi için bkz . OneLake'de veri erişim denetimi modeli.
Veri ağı için güvenli
Veri ağı, verileri bir hizmet veya kaynak yerine bir ürün olarak ele alan mimari bir paradigmadır. Veri ağı, farklı etki alanları ve ekipler arasında verilerin sahipliğini ve idaresini merkeziyetsizleştirmeyi ve ortak bir platform aracılığıyla birlikte çalışabilirlik ve bulunabilirlik sağlamayı amaçlar. Veri ağı mimarisinde, merkezi olmayan her ekip kendi veri ürününün parçası olan verilerin sahipliğini yönetir. Bu bölümde sağlanan güvenlik kılavuzu, çalışma alanı için erişimi yapılandıran tek bir veri ürünü ekibine odaklanmıştır. Adımların, aşağı akış kullanıcıları için erişime olanak sağladığından, her veri ürünü ekibi tarafından kendi çalışma alanlarında tekrarlanması amaçlanıyor.
Veri ağı oluşturmaya başlamak için Microsoft Fabric'in etki alanı özelliğini kullanarak çalışma alanlarını ilişkili veri ürünlerine ve sahipliklerine göre etiketleyin.
Etki alanlarında her ekibin kendi çalışma alanı veya çalışma alanı vardır. Çalışma alanı, tüketim için son veri ürünlerini oluşturmak için gereken verileri depolar. Çalışma alanı rollerini kullanarak kullanıcılara çalışma alanına erişim izni verin.
Veri ürünlerinizin aşağı akış tüketicilerini belirleyin ve hedeflerine ulaşmak için gereken minimum izinlere göre erişim verin. Kullanıcıları hedef deneyimleriyle uyumlu tutmak için, her aşağı akış kullanıcısına tek bir Doku veri öğesine erişim verilebilir. Aşağıdaki tabloda veri ağı tüketicileri ve ilgili Doku öğeleri için bazı yaygın kullanım örnekleri gösterilmektedir.
| User | Doku öğeleri |
|---|---|
| Veri bilimciler | Apache Spark not defterleri veya lakehouse |
| Veri mühendisleri | Apache Spark not defterleri, veri akışları veya işlem hatları |
| İş analistleri | SQL analiz uç noktası |
| Rapor oluşturucuları | Anlamsal modeller |
| Rapor tüketicileri | Power BI raporları |
Merkez-uç için güvenli
Merkez-uç mimarisi, tüm sertifikalı veri ürünlerinin tek, merkezi bir konumda yönetilmesiyle veri ağlarından farklıdır. Aşağı akış tüketicileri ek veri ürünleri oluşturmaya ve bunun yerine merkezi ekip tarafından üretilen veriler üzerinde analiz yapmaya daha az odaklanır.
Aşağı akış tüketicilerini belirleyin ve hedeflerine ulaşmak için gereken minimum izinlere göre erişim verin. Kullanıcıları hedef deneyimleriyle uyumlu tutmak için, her aşağı akış kullanıcısına tek bir Doku veri öğesine erişim verilebilir. Kullanıcı kişisi tablosu, ilgili Doku öğeleriyle birlikte merkez ve uç için bazı yaygın kullanım örneklerini gösterir.
| User | Doku öğeleri |
|---|---|
| Veri bilimciler | Apache Spark not defterleri veya lakehouse |
| İş analistleri | SQL analiz uç noktası |
| Rapor oluşturucuları | Anlamsal modeller |
| Rapor tüketicileri | Power BI raporları |
Çalışma alanı rolleri
Çalışma alanı rol atamaları hem merkez-uç hem de veri ağı mimarileri için aynı yönergeleri izler. İş sorumlulukları tablosu, çalışma alanında gerçekleştirdikleri işlevlere göre kullanıcılara atanacak çalışma alanı rolünü özetler.
| İş sorumlulukları | Çalışma alanı rolü |
|---|---|
| Çalışma alanına sahip olun ve rol atamalarını yönetin | Yönetici |
| Yönetici olmayan kullanıcılar için rol atamalarını yönetme | Üye |
| Doku öğeleri oluşturma ve veri yazma | Katılımcı |
| SQL ile tablo ve görünüm oluşturma | Görüntüleyici + SQL izinleri |
Veri bilimcileri
Veri bilimciler Apache Spark aracılığıyla kullanmak için bir göl evindeki verilere erişime ihtiyaç duyar. Veri ağı ve merkez-uç için Spark kullanıcıları, verilerin bulunduğu çalışma alanından ayrı bir çalışma alanından veri tüketir. Bu, veri bilim adamlarının verileri barındıran çalışma alanına dağınıklık eklemeden model ve deneme oluşturma erişimine sahip olmasını sağlar. Veri bilimciler, Azure Databricks veya Dremio gibi OneLake veri yollarına doğrudan bağlanan Spark olmayan diğer hizmetleri de kullanabilir.
Veri bilimciler için erişim sağlamak için paylaş düğmesini kullanarak lakehouse'ı paylaşın. İletişim kutusunda Tüm Apache Spark'ı oku kutusunu seçin. OneLake veri erişim rollerinin etkinleştirildiği göl evleri için, aynı kullanıcılara oneLake veri erişim rolüne ekleyerek erişim verin. OneLake veri erişim rollerinin kullanılması verilere daha ayrıntılı erişim sağlar. Veri mühendisleri daha sonra bir göl evindeki tabloları veya klasörleri seçmek için kısayollar oluşturabilir.
Veri mühendisleri
Veri mühendislerinin aşağı akış veri ürünleri oluşturmak için göl evindeki verilere erişmesi gerekir. Veri mühendislerinin OneLake'teki verilere erişmesi gerekir, böylece verileri okumak için işlem hatları veya not defterleri oluşturulabilir. Gerçek bir merkez-uç modelinde veri mühendisi rolü yalnızca merkezi merkez ekibinin katmanlarında bulunur. Ancak veri mühendisleri, veri ağı için veri ürünlerini etki alanları arasında birleştirerek yeni veri kümeleri oluşturur.
Lakehouse'ı veri mühendisleriyle paylaşmak için paylaş düğmesini kullanın. İletişim kutusundaki Tüm Apache Spark'ı oku kutusunu işaretleyin. OneLake veri erişim rollerinin etkinleştirildiği göl evleri için, aynı kullanıcılara oneLake veri erişim rolüne ekleyerek erişim verin. OneLake veri erişim rollerinin kullanılması verilere daha ayrıntılı erişim sağlar. Veri mühendisleri daha sonra bir göl evindeki tabloları veya klasörleri seçmek için kısayollar oluşturabilir.
İş analistleri
İş analistleri (bazen veri analistlerini çağırarak) iş sorularını yanıtlamak için SQL aracılığıyla verileri sorgular.
Lakehouse'ı iş analistleriyle paylaşmak için paylaş düğmesini kullanın. İletişim kutusundaki Tüm SQL uç noktası verilerini oku kutusunu işaretleyin. Bu ayar, iş analistlerinin Lakehouse'un SQL analiz uç noktasındaki verilere erişmesini sağlar, ancak temel alınan OneLake dosyalarını görmemelerini sağlar.
Doğrudan SQL'de satır veya sütun düzeyi güvenlik tanımlanarak verilere erişim bu kullanıcılar için daha fazla kısıtlanabilir.
Rapor oluşturucuları
Rapor oluşturucuları, diğer kullanıcıların tüketmesi için Power BI raporları oluşturur.
Lakehouse'ı rapor oluşturucularıyla paylaşmak için paylaş düğmesini kullanın. İletişim kutusundaki Varsayılan anlamsal modelde rapor oluştur kutusunu işaretleyin. Bu izin, rapor oluşturucularının lakehouse ile ilişkili anlam modelini kullanarak raporlar oluşturmasına olanak tanır. Bu kullanıcılar OneLake'teki verilere erişemez veya SQL analiz uç noktasına tam erişime sahip olamaz.
Rapor tüketicileri
Rapor tüketicileri, karar almak için Power BI raporundaki verileri görüntüleyen iş liderleri veya yöneticileridir.
Paylaş düğmesini kullanarak bir raporu tüketicilerle paylaşın. Raporu okumak için erişim vermek için kutuların hiçbirini işaretlemeyin, ancak temel alınan verilerden hiçbirini görmeyin. Kullanıcıların SQL analiz uç noktasına erişmesini ve tabloları görüntülemesini önlemek için, bu kullanıcılara erişim izni verecek sql izinlerinin tanımlanmadığından emin olun.
Ayrıca bir uygulama kullanarak rapor tüketicileriyle veri paylaşabilirsiniz. Uygulamalar, kullanıcıların temel alınan çalışma alanına erişmeye gerek kalmadan önceden tanımlanmış bir rapora veya rapor kümesine erişmesine olanak sağlar. Doğrudan göl modundaki raporlar için kullanıcıların verileri görebilmesi için temel alınan lakehouse'un onlarla paylaşılması gerektiğini unutmayın.