Veri Depolama ekipleri için göl evi güvenliğini sağlama
Giriş
Bu makalede, T-SQL sorguları olan SQL kullanıcılarıyla kullanmak üzere Fabric'teki bir göl evi için güvenliği yapılandırmaya yönelik genel bir bakış sağlıyoruz. Bu kullanıcılar SQL aracılığıyla veri kullanan iş analistleri, rapor oluşturucuları veya yeni tablolar ve görünümler oluşturan veri mühendisleri olabilir.
Güvenlik özellikleri
Microsoft Fabric, yalnızca gerekli en düşük izinleri sağlamak için farklı düzeylerde farklı denetimlere sahip çok katmanlı bir güvenlik modeli kullanır. Doku'da bulunan farklı güvenlik özellikleri hakkında daha fazla bilgi için bkz . OneLake'de Veri Erişim Denetim Modeli.
Doku Veri Ambarı iş yükünde, ambar ve SQL analiz uç noktası öğeleri yerel SQL güvenliğinin tanımlanmasına da olanak tanır. SQL güvenliği, T-SQL güvenlik yapılarının tam kitaplığını kullanarak bir öğe içindeki tabloların, görünümlerin, satırların ve sütunların ayrıntılı erişim denetimini sağlar. SQL güvenliği hakkında daha fazla bilgi için bkz . SQL ayrıntılı izinleri.
Ambarda veya SQL analiz uç noktasında yapılandırılan SQL izinleri yalnızca ambar veya SQL analiz uç noktasında yürütülen sorgular için geçerlidir. Temel alınan veriler OneLake'te bulunur, ancak OneLake verilerine erişim OneLake veri erişim rolleri aracılığıyla ayrı olarak denetlenmektedir. SQL'e özgü izinlere sahip kullanıcıların SQL erişimi olmayan verileri görmediğinden emin olmak için bu kullanıcıları OneLake veri erişimi rolüne eklemeyin.
Kullanım örneğine göre güvenli
Microsoft Fabric'te güvenlik, belirli kullanım örnekleri için verilerin güvenliğini sağlama amacıyla iyileştirilmiştir. Kullanım örneği, belirli bir altyapı üzerinden belirli bir erişime ve verilere erişmeye ihtiyaç duyan bir kullanıcı kümesidir. SQL senaryoları için bazı yaygın kullanım örnekleri şunlardır:
- SQL yazıcıları: Yeni tablolar oluşturması, varolan tablolara veri görüntülemesi veya yazması gereken kullanıcılar.
- SQL okuyucuları: SQL sorgularını kullanarak verileri okuması gereken kullanıcılar. SQL bağlantısına doğrudan veya Power BI gibi başka bir hizmet üzerinden erişiyor olabilirler.
Ardından her kullanım örneğini Doku'da gerekli izinlerle hizalayabiliriz.
SQL yazma erişimi
Kullanıcıya bir ambara veya SQL analytics uç noktasına yazma erişimi vermenin iki yolu vardır:
- Doku çalışma alanı rolleri aracılığıyla, yazma izinleri veren üç çalışma alanı rolüne üyelik verilmektedir. Her rol, sql'de karşılık gelen ve eşdeğer yazma erişimi veren bir role otomatik olarak çevrilir.
- SQL altyapısına okuma erişimi verin ve verilerin bir bölümüne veya tümüne yazmak için özel SQL izinleri verin.
Bir kullanıcının çalışma alanında tüm ambarlara veya SQL analytics uç noktalarına yazma erişimine ihtiyacı varsa, bunları bir çalışma alanı rolüne atayın. Bir kullanıcının çalışma alanı rollerine başka kullanıcılar ataması gerekmediği sürece Katkıda Bulunan rolü kullanılmalıdır.
Bir kullanıcının yalnızca belirli ambarlara veya SQL analizine yazması gerekiyorsa, SQL izinleri aracılığıyla doğrudan erişim verin.
SQL okuma erişimi
Kullanıcıya bir ambara veya SQL analytics uç noktasına okuma erişimi vermenin iki yolu vardır:
- Doku çalışma alanı rollerinin bir parçası olarak verilen ReadData izni aracılığıyla okuma erişimi verin. Dört çalışma alanı rolünün tümü de ReadData izni verir.
- SQL altyapısına okuma erişimi verin ve verilerin bir kısmına veya tümüne okumak için özel SQL izinleri verin.
Bir kullanıcı Bir Doku çalışma alanı rolünün üyesiyse, ona ReadData izni verilir. ReadData izni, kullanıcıyı ambar veya göl evindeki tüm tablolarda SELECT izinleri veren bir SQL rolüyle eşler. Bu izin, bir kullanıcının göl evi veya ambardaki verilerin tümünü veya çoğunu görmesi gerektiğinde yararlıdır. Belirli bir göl evinde veya ambarda ayarlanan tüm SQL REDDETME izinleri yine de tablolara erişimi uygular ve sınırlar. Ayrıca, satır ve sütun düzeyi güvenliği, erişimi ayrıntılı bir düzeyde kısıtlamak için tablolarda ayarlanabilir.
Bir kullanıcının yalnızca belirli bir göl evi veya ambara erişmesi gerekiyorsa, paylaşım özelliği yalnızca paylaşılan öğeye erişim sağlar. Paylaşım sırasında kullanıcılar yalnızca Okuma veya Okuma + OkumaVerileri vermeyi seçebilir. Okuma izni vermek, kullanıcının ambara veya SQL analytics uç noktasına bağlanmasına izin verir, ancak tablo erişimi vermez. Kullanıcılara ReadData izinleri vermek, onlara ambardaki veya SQL analiz uç noktasındaki tüm tablolara tam okuma erişimi verir. Her iki durumda da, belirli tablolara erişim vermek veya reddetmek için ek SQL güvenliği yapılandırılabilir. Bu SQL güvenliği, satır veya sütun düzeyi güvenlik gibi ayrıntılı erişim denetimi içerebilir.
Kısayollarla kullanma
Kısayollar, verileri fiziksel olarak kopyalamadan tek bir konumdan verilere başvurulmasını sağlayan bir OneLake özelliğidir. Kısayollar, bir göl evindeki verilerin, yinelenen veri kopyaları oluşturmadan diğer konumlarda kolayca yeniden kullanılmasını sağlayan güçlü bir araçtır.
Fabric'teki ambarlar kısayolları desteklemez. Ancak, bir göl evi için SQL analiz uç noktasının kısayollarla nasıl etkileşime geçtiğini gösteren özel bir davranış vardır.
Bir göl evindeki tüm kısayollara SQL analiz uç noktası üzerinden sorgulanırken temsilci modunda erişilir. Temsilci kimliği, lakehouse'un sahibi olan Fabric kullanıcısıdır. Varsayılan olarak sahip, lakehouse ve SQL analytics uç noktasını oluşturan kullanıcıdır. Çalışma alanı öğesi listesindeki öğe görüntülenirken sahip, belirli durumlarda değiştirilebilir ve geçerli sahip Doku'daki Sahip sütununda görüntülenir. Temsilci davranışı, sorguyu yürüten kullanıcının değil, sahibin temel alınan verilere erişimi varsa sorgulayan kullanıcının kısayol tablolarından okuyabileceği anlamına gelir. Sorgulayan kullanıcının yalnızca kısayol tablosundan seçim yapması için erişime ihtiyacı vardır.
Not
Örneğin, UserA bir lakehouse'un sahibidir ve UserB kısayol olan bir tabloda sorgu çalıştırır. ReadData aracılığıyla veya SQL izinleri aracılığıyla userB'nin önce tabloda okuma erişimi olmalıdır. Verileri görmek için sorgu daha sonra UserA'nın kısayola erişimi olup olmadığını denetler. UserA'nın erişimi varsa, UserB sorgu sonuçlarını görür. UserA'nın erişimi yoksa sorgu başarısız olur.
OneLake veri erişim rolleri özelliğini kullanan lakehouse'lar için, bir kısayola erişim, SQL analiz uç noktası sahibinin hedef lakehouse'ı görme ve tabloyu OneLake veri erişim rolü aracılığıyla okuma erişimi olup olmadığı tarafından belirlenir.
Henüz OneLake veri erişim rolleri özelliğini kullanmayan lakehouse'lar için, kısayol erişimi SQL analytics uç noktası sahibinin hedef yolda Okuma ve OkumaTüm iznine sahip olup olmadığı tarafından belirlenir.