OneLake는 ADLS (Azure 데이터 레이크 저장소) Gen2 혹은 Windows 파일 시스템과 같은 계층적 데이터 레이크입니다. OneLake의 보안은 액세스 및 제어의 다양한 측면에 해당하는 여러 수준에서 적용됩니다. 컨트롤 플레인과 데이터 평면 사용 권한의 차이점을 이해하는 것이 데이터를 효과적으로 보호하는 데 중요합니다.
- 컨트롤 플레인 권한: 사용자가 환경 내에서 수행할 수 있는 작업(예: 항목 만들기, 관리 또는 공유)을 제어합니다. 컨트롤 플레인 사용 권한은 기본적으로 데이터 평면 권한을 제공하는 경우가 많습니다.
- 데이터 평면 권한: 리소스를 관리하는 기능에 관계없이 사용자가 액세스하거나 볼 수 있는 데이터를 제어합니다.
데이터 레이크 내의 각 수준에서 보안을 설정할 수 있습니다. 그러나 계층 구조의 일부 수준은 Fabric 개념과 관련이 있기 때문에 특별 대우를 받습니다. OneLake 보안은 부모 항목 또는 작업 영역 권한에서 상속된 다양한 권한을 사용하여 OneLake 데이터에 대한 모든 액세스를 제어합니다.
작업 영역: 항목을 만드시고 관리하시기 위한 공동 작업 환경입니다. 작업 영역 역할은 이 수준에서 관리할 수 있습니다.
항목: 하나의 구성 요소로 묶어 제공되는 기능 세트입니다. 데이터 항목은 OneLake를 사용하여 데이터를 저장할 수 있는 항목의 하위 유형입니다. 항목은 작업 영역 역할에서 권한을 상속하지만 추가 권한도 가질 수 있습니다.
폴더: 테이블/또는 파일/과 같은 데이터를 저장하고 관리하는 데 사용되는 항목 내의 폴더입니다.
항목은 항상 작업 영역 내에 있게 되고 작업 영역은 항상 OneLake 네임스페이스 바로 아래에 위치해 있습니다. 이 구조는 다음과 같이 시각화할 수 있습니다.
OneLake의 보안
이 섹션에서는 일반 공급한 OneLake 기능을 기반으로 한 보안 모델을 설명합니다.
작업 영역 권한
작업 영역 권한은 사용자가 작업 영역 및 해당 항목 내에서 수행할 수 있는 작업을 정의합니다. 이러한 권한은 작업 영역 수준에서 관리되며 주로 컨트롤 플레인 사용 권한입니다. 직접 데이터 액세스가 아니라 관리 및 항목 관리 기능을 결정합니다. 그러나 작업 영역 권한은 일반적으로 기본적으로 데이터 액세스 권한을 부여하기 위해 항목 및 폴더 수준으로 상속됩니다. 작업 공간 사용 권한을 사용하게 되시면 해당 작업 공간 내의 모든 항목의 액세스 사용 권한을 정의하실 수 있습니다. 4가지 작업 영역 역할이 있으며, 각 역할마다 서로 다른 형식의 액세스 권한이 부여됩니다. 다음은 각 작업 영역 역할의 기본 동작입니다.
| 역할 | 관리자를 추가할 수 있는 건가요? | 구성원을 추가할 수 있는 건가요? | OneLake 보안을 편집할 수 있나요? | 데이터를 작성하고 항목을 만들 수 있는 건가요? | OneLake에서 데이터를 읽을 수 있나요? |
|---|---|---|---|---|---|
| 관리자 | 예 | 예 | 예 | 예 | 예 |
| 회원 | 아니요 | 예 | 예 | 예 | 예 |
| 기여자 | 아니요 | 아니요 | 아니요 | 예 | 예 |
| 시청자 | 아니요 | 아니요 | 아니요 | 아니요 | 아니요* |
주의
*뷰어는 OneLake 보안 역할을 통해 데이터에 대한 액세스 권한을 부여할 수 있습니다.
Fabric 작업 영역 역할을 보안 그룹에 할당하여 관리를 간소화할 수 있습니다. 이 방법을 사용하면 보안 그룹에서 멤버를 추가하거나 제거하여 액세스를 제어할 수 있습니다.
항목 권한
공유 기능을 사용시게 되면 사용자에게 항목에 대한 직접 액세스사용 권한을 부여하실 수 있습니다. 사용자는 작업 영역에서만 해당 항목을 보실 수 있고 작업 영역 역할의 구성원은 아닌 것입니다. 항목 사용 권한은 해당 항목에 연결하실 수 있는 액세스 사용 권한과 사용자가 액세스하실 수 있는 항목 엔드포인트를 부여해 드리고 있습니다.
| 허가 | 항목 메타데이터를 확인해 보시겠어요? | SQL에서 데이터를 확인해 보시겠어요? | OneLake에서 데이터를 확인해 보시겠어요? |
|---|---|---|---|
| 읽기 | 예 | 아니요 | 아니요 |
| 데이터 읽기 | 아니요 | 예 | 아니요 |
| 모두 읽기 | 아니요 | 아니요 | 예* |
*OneLake 보안 또는 데이터 액세스 역할이 사용하도록 설정된 항목에는 적용되지 않습니다. 미리 보기가 사용하도록 설정되어 있으면 ReadAll은 DefaultReader 역할이 사용 중인 경우에만 액세스 권한을 부여합니다. DefaultReader 역할이 편집되거나 삭제되면 액세스 권한은 사용자가 속한 데이터 액세스 역할에 따라 부여됩니다.
사용 권한을 구성하는 또 다른 방법에는 항목의 사용 권한 관리 페이지를 사용해 보시는 것입니다. 이 페이지를 사용하시게 되면 사용자 혹은 그룹에 대한 개인별 항목 사용 권한을 추가하사거나 제거하실 수 있습니다. 항목 종류에 따라 사용 가능한 권한이 결정됩니다.
컴퓨팅 사용 권한
컴퓨팅 권한은 Microsoft Fabric의 특정 쿼리 엔진에 적용되는 데이터 평면 권한의 유형입니다. 부여된 액세스 권한은 SQL 엔드포인트 또는 Power BI 의미 체계 모델과 같은 특정 엔진에 대해 실행되는 쿼리에만 적용됩니다. 그러나 사용자는 적용된 컴퓨팅 권한에 따라 OneLake에서 직접 데이터에 액세스할 때와 비교하여 컴퓨팅 엔진을 통해 데이터에 액세스할 때 다른 결과를 볼 수 있습니다. 이러한 불일치를 방지하려면 사용자의 항목 권한이 SQL 분석 엔드포인트(ReadData 사용) 또는 OneLake(ReadAll 사용)에 대한 액세스 권한만 부여하도록 구성되었는지 확인합니다. OneLake 보안(미리 보기)을 사용하면 패브릭의 모든 엔진에서 일관된 데이터 보기를 보장하고 이러한 복잡성을 방지하는 것이 좋습니다.
다음 예제에서는 사용자는 항목 공유를 통해서 레이크하우스를 위한 읽기 전용 액세스 사용 권한을 부여해 드리는 것입니다. 사용자에게 SQL 분석 엔드포인트를 통해서 테이블을 위한 SELECT 사용 권한을 부여받게 되는 것입니다. 해당 사용자가 OneLake API를 통해서 데이터를 읽으려고 하실 때 충분한 사용 권한을 갖고 계시지 않기 때문에 액세스가 거부되는 것입니다. 사용자는 SQL SELECT 문을 성공적으로 읽을 수 있습니다.
OneLake 보안(미리 보기)
OneLake 보안을 사용하면 사용자는 OneLake에 저장된 데이터에 대한 세부적인 역할 기반 보안을 정의하고, Fabric의 모든 컴퓨팅 엔진에서 해당 보안을 일관되게 적용할 수 있습니다.
주의
OneLake 보안은 현재 제한적으로 미리 보기로 제공됩니다. 미리 보기에 참가하여 이러한 기능에 액세스하도록 요청하려면 https://aka.ms/onelakesecuritypreview에서 양식을 작성합니다.
OneLake 보안은 2024년 4월에 릴리스된 기존 OneLake 데이터 액세스 역할(미리 보기) 기능을 바꿉니다. 모든 데이터 액세스 역할은 기능이 공개 미리 보기로 이동하면 사용자가 OneLake 보안 역할로 자동으로 업그레이드됩니다. 자세한 내용은 패브릭 로드맵 을 확인하세요.
관리자 또는 멤버 역할의 패브릭 사용자는 OneLake 보안 역할을 만들어 사용자에게 항목 내의 데이터에 대한 액세스 권한을 부여할 수 있습니다. 각 역할에는 4가지 구성 요소가 있습니다.
- 데이터: 사용자가 액세스할 수 있는 테이블이나 폴더입니다.
- 권한: 사용자가 데이터에 대해 갖는 권한입니다.
- 멤버: 역할의 멤버인 사용자입니다.
- 제약 조건: 역할 액세스에서 제외되는 데이터 구성 요소(예: 특정 행이나 열)입니다.
OneLake 보안 역할은 뷰어 작업 영역 역할의 사용자에 대한 데이터에 대한 액세스 권한을 부여합니다. 관리자, 구성원 및 참가자는 OneLake 보안 역할의 영향을 받지 않으며 역할 멤버 자격에 관계없이 항목의 모든 데이터를 읽고 쓸 수 있습니다. 모든 레이크하우스에는 ReadAll 권한을 보유한 사용자가 레이크하우스의 데이터에 접근할 수 있도록 하는 DefaultReader 역할이 존재합니다. DefaultReader 역할을 삭제하거나 편집하여 해당 액세스를 제거할 수 있습니다.
테이블 및 폴더, 열, 행에 대한 OneLake 보안 역할을 만드는 방법에 대해 자세히 알아봅니다.
OneLake 데이터 액세스의 역할 (미리 보기)
OneLake 데이터 액세스 역할은 OneLake에 저장된 데이터에 RBAC(역할 기반 액세스 제어)를 적용해 보실 수 있는 기능입니다. Fabric 항목 내의 특정 폴더를 위한 읽기 사용 권한을 부여해 주시고 사용자 혹은 그룹에 할당하시는 보안 역할을 정의내리실 수 있습니다. 액세스 권한은 사용자가 레이크하우스 UX, 노트북, 또는 OneLake API를 통해 데이터의 레이크 보기에 접근할 때 볼 수 있는 폴더를 결정합니다.
중요합니다
2025년 3분기부터 OneLake 데이터 액세스 역할은 OneLake 보안으로 대체됩니다. 모든 사용자가 자동으로 업그레이드되며 아무 작업도 필요하지 않습니다.
관리, 구성원 혹은 기여자 역할을 맡으신 Fabric 사용자는 OneLake 데이터 액세스의 역할을 만드셔서 레이크하우스의 특정 폴더에만 액세스 사용 권한을 부여하셔서 시작해 보실 수 있습니다. 레이크하우스의 데이터를 위한 액세스 사용 권한을 부여하기 위해서는 데이터 액세스 역할에 사용자를 추가해 주세요. 데이터 액세스 역할에 속하지 않은 사용자는 해당 레이크하우스의 데이터를 볼 수 없습니다.
주의
바로 가기 데이터에 액세스하려면 OneLake 데이터 액세스 역할을 통해 액세스하는 것 외에도 대상 레이크하우스에 대한 ReadAll 권한이 필요합니다.
Power BI 의미 체계 모델 또는 T-SQL을 사용하여 바로 가기에 액세스하는 경우 호출하는 사용자의 ID가 바로 가기 대상 경로에 전달되지 않습니다. 대신 호출 항목 소유자의 ID가 전달되어 호출 사용자에게 액세스 권한을 위임합니다.
데이터 액세스 역할 시작에서 데이터 액세스 역할 생성에 대해 자세히 알아보세요.
데이터 액세스 제어 모델에서 액세스 역할에 대한 보안 모델에 대해 자세히 알아보세요.
바로 가기의 보안
Microsoft Fabric의 바로 가기를 사용하게 되시면 데이터 관리를 간소화해 보실 수 있습니다. OneLake 폴더 보안은 데이터가 저장되는 레이크하우스에 정의된 역할을 기반으로 한 OneLake 바로 가기에 적용됩니다.
바로 가기 보안 고려 사항에 대한 자세한 내용은 OneLake 액세스 제어 모델을 참조하세요.
특정 바로 가기에 대한 액세스 및 인증 세부 정보에 대한 자세한 내용은 OneLake 바로 가기 > 바로 가기 형식을 참조하세요.
인증
OneLake는 인증에 Microsoft Entra ID를 사용하고, 사용자 ID 및 서비스 주체를 위한 사용 권한을 부여하기 위해 사용하실 수 있는 것입니다. OneLake는 Microsoft Entra 인증을 사용하는 도구로부터 사용자 ID를 자동으로 추출하여 Fabric 포털에서 설정한 사용 권한에 매핑합니다.
주의
Fabric 테넌트에서 서비스 주체를 사용하기 위해서는 테넌트 관리자가 전체 테넌트 혹은 특정 보안 그룹을 위한 서비스 사용자 이름 (SPN)을 활성화해주셔야 합니다. 테넌트 관리자 포털의 개발자 설정에서 서비스 주체 활성화에 대해 자세히 알아보세요.
감사 로그
OneLake 감사 로그를 보기 위해서는 Microsoft Fabric에서 사용자 활동 추적 에 대한 지침을 따라해 보세요. OneLake 작업 이름은 CreateFile 혹은 DeleteFile과 같은 ADLS API에 해당됩니다. OneLake 감사 로그에는 읽기 요청이나 Fabric 워크로드를 통해 OneLake에 전송된 요청이 포함되지 않습니다.
암호화 및 네트워킹
비활성화된 데이터
OneLake에 저장된 데이터는 기본적으로 Microsoft 관리형 키를 사용하여 정지된 상태에서 암호화됩니다. Microsoft 관리 키가 적절하게 회전이 됩니다. OneLake의 데이터는 투명하게 암호화되고 해독되며 FIPS 140-2를 준수합니다.
현재 고객 관리형 키를 사용한 암호화는 지원되지 않습니다. 이 기능에 대한 요청은 Microsoft Fabric 아이디어에서 제출할 수 있습니다.
전송 중인 데이터
Microsoft 서비스 사이에서 공용 인터넷을 통해 전송되는 중인 데이터는 항상 최소 TLS 1.2로 암호화됩니다. 가능하면 Fabric은 TLS 1.3을 사용하여 협상합니다. Microsoft 서비스 사이에서 트래픽은 항상 Microsoft 글로벌 네트워크를 통해서 라우팅됩니다.
인바운드 OneLake 통신도 TLS 1.2를 적용하고 가능한 경우 TLS 1.3으로 협상합니다. 고객 소유 인프라인 아웃바운드 Fabric 통신은 보안 프로토콜을 선호하기는 하지만 최신 프로토콜을 지원하고 있지 않은 경우에 이전의 안전하지 않은 프로토콜 (TLS 1.0 포함) 로 대체될 수 있습니다.
프라이빗 링크
Fabric에서 프라이빗 링크를 구성하려면 프라이빗 링크 설정 및 사용을 참조하세요.
Fabric 외부에서 실행 중인 앱이 OneLake를 통해 데이터에 액세스할 수 있도록 허용합니다.
패브릭 환경 외부에 있는 애플리케이션에서 OneLake 데이터에 대한 액세스를 허용하거나 제한할 수 있습니다. 관리자는 관리 포털 테넌트 설정의 OneLake 섹션에서 이 설정을 찾을 수 있습니다.
이 설정을 켜면 사용자는 모든 원본의 데이터에 액세스할 수 있습니다. 예를 들어 ADLS(Azure Data Lake Storage) API 또는 OneLake 파일 탐색기를 사용하는 사용자 지정 애플리케이션이 있는 경우 이 설정을 켭니다. 이 설정을 해제하면 사용자는 Spark, Data Engineering 및 Data Warehouse와 같은 내부 앱의 데이터에 계속 액세스할 수 있지만 패브릭 환경 외부에서 실행되는 애플리케이션의 데이터에 액세스할 수는 없습니다.