OneLake는 ADLS (Azure 데이터 레이크 저장소) Gen2 혹은 Windows 파일 시스템과 같은 계층적 데이터 레이크입니다. OneLake의 보안은 액세스 및 제어의 다양한 측면에 해당하는 여러 수준에서 적용됩니다. 컨트롤 플레인과 데이터 평면 사용 권한의 차이점을 이해하는 것이 데이터를 효과적으로 보호하는 데 중요합니다.
- 컨트롤 플레인 권한: 사용자가 환경 내에서 수행할 수 있는 작업(예: 항목 만들기, 관리 또는 공유)을 제어합니다. 컨트롤 플레인 사용 권한은 기본적으로 데이터 평면 권한을 제공하는 경우가 많습니다.
- 데이터 평면 권한: 리소스를 관리하는 기능에 관계없이 사용자가 액세스하거나 볼 수 있는 데이터를 제어합니다.
데이터 레이크 내의 각 수준에서 보안을 설정할 수 있습니다. 그러나 계층 구조의 일부 수준은 Fabric 개념과 관련이 있기 때문에 특별 대우를 받습니다. OneLake 보안은 부모 항목 또는 작업 영역 권한에서 상속된 다양한 권한을 사용하여 OneLake 데이터에 대한 모든 액세스를 제어합니다. 다음 수준에서 사용 권한을 설정할 수 있습니다.
작업 영역: 항목을 만들고 관리하기 위한 공동 작업 환경입니다. 보안은 이 수준에서 작업 영역 역할을 통해 관리됩니다.
항목: 단일 구성 요소에 함께 번들로 제공되는 기능 집합입니다. 데이터 항목은 OneLake를 사용하여 데이터를 저장할 수 있는 항목의 하위 유형입니다. 항목은 작업 영역 역할에서 권한을 상속하지만 추가 권한도 가질 수 있습니다.
폴더: 테이블/또는 파일/같은 데이터를 저장하고 관리하는 데 사용되는 항목 내의 폴더입니다.
항목은 항상 작업 영역 내에 있게 되고 작업 영역은 항상 OneLake 네임스페이스 바로 아래에 위치해 있습니다. 이 구조는 다음과 같이 시각화할 수 있습니다.
OneLake의 보안
이 섹션에서는 일반 공급한 OneLake 기능을 기반으로 한 보안 모델을 설명합니다.
작업 영역 권한
작업 영역 권한은 사용자가 작업 영역 및 해당 항목 내에서 수행할 수 있는 작업을 정의합니다. 이러한 권한은 작업 영역 수준에서 관리되며 주로 컨트롤 플레인 사용 권한입니다. 직접 데이터 액세스가 아니라 관리 및 항목 관리 기능을 결정합니다. 그러나 작업 영역 권한은 일반적으로 기본적으로 데이터 액세스 권한을 부여하기 위해 항목 및 폴더 수준으로 상속됩니다. 작업 공간 사용 권한을 사용하게 되시면 해당 작업 공간 내의 모든 항목의 액세스 사용 권한을 정의하실 수 있습니다. 4가지 작업 영역 역할이 있으며, 각 역할마다 서로 다른 형식의 액세스 권한이 부여됩니다. 다음은 각 작업 영역 역할의 기본 동작입니다.
| 역할 | 관리자를 추가할 수 있는 건가요? | 구성원을 추가할 수 있는 건가요? | OneLake 보안을 편집할 수 있나요? | 데이터를 작성하고 항목을 만들 수 있는 건가요? | OneLake에서 데이터를 읽을 수 있나요? |
|---|---|---|---|---|---|
| 관리자 | 예 | 예 | 예 | 예 | 예 |
| 회원 | 아니요 | 예 | 예 | 예 | 예 |
| 기여자 | 아니요 | 아니요 | 아니요 | 예 | 예 |
| 시청자 | 아니요 | 아니요 | 아니요 | 아니요 | 아니요* |
주의
*뷰어는 OneLake 보안 역할을 통해 데이터에 대한 액세스 권한을 부여할 수 있습니다.
Fabric 작업 영역 역할을 보안 그룹에 할당하여 관리를 간소화할 수 있습니다. 이 방법을 사용하면 보안 그룹에서 멤버를 추가하거나 제거하여 액세스를 제어할 수 있습니다.
항목 권한
공유 기능을 사용시게 되면 사용자에게 항목에 대한 직접 액세스사용 권한을 부여하실 수 있습니다. 사용자는 작업 영역에서만 해당 항목을 보실 수 있고 작업 영역 역할의 구성원은 아닌 것입니다. 항목 권한은 사용자가 액세스할 수 있는 해당 항목 및 해당 엔드포인트에 연결할 수 있는 액세스 권한을 부여합니다.
| 허가 | 항목 메타데이터를 확인해 보시겠어요? | SQL에서 데이터를 확인해 보시겠어요? | OneLake에서 데이터를 확인해 보시겠어요? |
|---|---|---|---|
| 읽기 | 예 | 아니요 | 아니요 |
| 데이터 읽기 | 아니요 | 예 | 아니요 |
| 모두 읽기 | 아니요 | 아니요 | 예* |
* OneLake 보안 또는 데이터 액세스 역할이 사용하도록 설정된 항목에는 적용되지 않습니다. 미리 보기가 사용하도록 설정되어 있으면 ReadAll은 DefaultReader 역할이 사용 중인 경우에만 액세스 권한을 부여합니다. DefaultReader 역할이 편집되거나 삭제되면 액세스 권한은 사용자가 속한 데이터 액세스 역할에 따라 부여됩니다.
사용 권한을 구성하는 또 다른 방법에는 항목의 사용 권한 관리 페이지를 사용해 보시는 것입니다. 이 페이지를 사용하시게 되면 사용자 혹은 그룹에 대한 개인별 항목 사용 권한을 추가하사거나 제거하실 수 있습니다. 항목 종류에 따라 사용 가능한 권한이 결정됩니다.
OneLake 보안(미리 보기)
OneLake 보안을 사용하면 사용자는 OneLake에 저장된 데이터에 대한 세부적인 역할 기반 보안을 정의하고, Fabric의 모든 컴퓨팅 엔진에서 해당 보안을 일관되게 적용할 수 있습니다. OneLake 보안은 OneLake의 데이터에 대한 데이터 평면 보안 모델입니다.
주의
OneLake 보안은 현재 제한된 미리 보기로 제공됩니다. 미리 보기에 참가하고 이러한 기능에 액세스하도록 요청하려면 에서 https://aka.ms/onelakesecuritypreview양식을 작성합니다.
관리자 또는 멤버 역할의 패브릭 사용자는 OneLake 보안 역할을 만들어 사용자에게 항목 내의 데이터에 대한 액세스 권한을 부여할 수 있습니다. 각 역할에는 4가지 구성 요소가 있습니다.
- 데이터: 사용자가 액세스할 수 있는 테이블이나 폴더입니다.
- 권한: 사용자가 데이터에 대해 갖는 권한입니다.
- 멤버: 역할의 멤버인 사용자입니다.
- 제약 조건: 역할 액세스에서 제외되는 데이터 구성 요소(예: 특정 행이나 열)입니다.
OneLake 보안 역할은 뷰어 작업 영역 역할 또는 항목에 대한 읽기 권한이 있는 사용자의 데이터에 대한 액세스 권한을 부여합니다. 관리자, 구성원 및 참가자는 OneLake 보안 역할의 영향을 받지 않으며 역할 멤버 자격에 관계없이 항목의 모든 데이터를 읽고 쓸 수 있습니다. 모든 레이크하우스에는 ReadAll 권한을 보유한 사용자가 레이크하우스의 데이터에 접근할 수 있도록 하는 DefaultReader 역할이 존재합니다. DefaultReader 역할을 삭제하거나 편집하여 해당 액세스를 제거할 수 있습니다.
테이블 및 폴더, 열, 행에 대한 OneLake 보안 역할을 만드는 방법에 대해 자세히 알아봅니다.
OneLake 보안에 대한 액세스 제어 모델에 대해 자세히 알아봅니다.
컴퓨팅 사용 권한
컴퓨팅 권한은 Microsoft Fabric의 특정 쿼리 엔진에 적용되는 데이터 평면 권한의 유형입니다. 부여된 액세스 권한은 SQL 엔드포인트 또는 Power BI 의미 체계 모델과 같은 특정 엔진에 대해 실행되는 쿼리에만 적용됩니다. 그러나 사용자는 적용된 컴퓨팅 권한에 따라 OneLake에서 직접 데이터에 액세스할 때와 비교하여 컴퓨팅 엔진을 통해 데이터에 액세스할 때 다른 결과를 볼 수 있습니다. OneLake 보안은 사용자가 상호 작용할 수 있는 모든 엔진에서 일관된 결과를 보장하기 위해 OneLake에서 데이터를 보호하는 데 권장되는 방법입니다.
컴퓨팅 엔진에는 OneLake 보안에서 아직 사용할 수 없는 고급 보안 기능이 있을 수 있으며, 이 경우 일부 시나리오를 해결하려면 컴퓨팅 권한을 사용해야 할 수 있습니다. 컴퓨팅 권한을 사용하여 데이터에 대한 액세스를 보호하는 경우 최종 사용자에게 보안이 설정된 컴퓨팅 엔진에 대한 액세스 권한만 부여해야 합니다. 이렇게 하면 필요한 보안 기능 없이 다른 엔진을 통해 데이터에 액세스할 수 없습니다.
바로 가기의 보안
Microsoft Fabric의 바로 가기를 사용하게 되시면 데이터 관리를 간소화해 보실 수 있습니다. OneLake 폴더 보안은 데이터가 저장되는 레이크하우스에 정의된 역할을 기반으로 한 OneLake 바로 가기에 적용됩니다.
바로 가기 보안 고려 사항에 대한 자세한 내용은 OneLake 보안 액세스 제어 모델을 참조하세요.
특정 바로 가기에 대한 액세스 및 인증 세부 정보에 대한 자세한 내용은 OneLake 바로 가기 유형을 참조하세요.
인증
OneLake는 인증에 Microsoft Entra ID를 사용하고, 사용자 ID 및 서비스 주체를 위한 사용 권한을 부여하기 위해 사용하실 수 있는 것입니다. OneLake는 Microsoft Entra 인증을 사용하는 도구로부터 사용자 ID를 자동으로 추출하여 Fabric 포털에서 설정한 사용 권한에 매핑합니다.
주의
Fabric 테넌트에서 서비스 주체를 사용하기 위해서는 테넌트 관리자가 전체 테넌트 혹은 특정 보안 그룹을 위한 서비스 사용자 이름 (SPN)을 활성화해주셔야 합니다. 테넌트 관리자 포털의 개발자 설정에서 서비스 주체 활성화에 대해 자세히 알아보세요.
감사 로그
OneLake 감사 로그를 보기 위해서는 Microsoft Fabric에서 사용자 활동 추적 에 대한 지침을 따라해 보세요. OneLake 작업 이름은 CreateFile 혹은 DeleteFile과 같은 ADLS API에 해당됩니다. OneLake 감사 로그에는 읽기 요청이나 Fabric 워크로드를 통해 OneLake에 전송된 요청이 포함되지 않습니다.
암호화 및 네트워킹
비활성화된 데이터
OneLake에 저장된 데이터는 기본적으로 Microsoft 관리형 키를 사용하여 정지된 상태에서 암호화됩니다. Microsoft 관리 키가 적절하게 회전이 됩니다. OneLake의 데이터는 투명하게 암호화되고 해독되며 FIPS 140-2를 준수합니다.
현재 고객 관리형 키를 사용한 암호화는 지원되지 않습니다. 이 기능에 대한 요청은 Microsoft Fabric 아이디어에서 제출할 수 있습니다.
전송 중인 데이터
Microsoft 서비스 사이에서 공용 인터넷을 통해 전송되는 중인 데이터는 항상 최소 TLS 1.2로 암호화됩니다. 가능하면 Fabric은 TLS 1.3을 사용하여 협상합니다. Microsoft 서비스 사이에서 트래픽은 항상 Microsoft 글로벌 네트워크를 통해서 라우팅됩니다.
인바운드 OneLake 통신도 TLS 1.2를 적용하고 가능한 경우 TLS 1.3으로 협상합니다. 고객 소유 인프라인 아웃바운드 Fabric 통신은 보안 프로토콜을 선호하기는 하지만 최신 프로토콜을 지원하고 있지 않은 경우에 이전의 안전하지 않은 프로토콜 (TLS 1.0 포함) 로 대체될 수 있습니다.
프라이빗 링크
Fabric에서 프라이빗 링크를 구성하려면 프라이빗 링크 설정 및 사용을 참조하세요.
Fabric 외부에서 실행 중인 앱이 OneLake를 통해 데이터에 액세스할 수 있도록 허용합니다.
패브릭 환경 외부에 있는 애플리케이션에서 OneLake 데이터에 대한 액세스를 허용하거나 제한할 수 있습니다. 관리자는 관리 포털 테넌트 설정의 OneLake 섹션에서 이 설정을 찾을 수 있습니다.
이 설정을 켜면 사용자는 모든 원본의 데이터에 액세스할 수 있습니다. 예를 들어 ADLS(Azure Data Lake Storage) API 또는 OneLake 파일 탐색기를 사용하는 사용자 지정 애플리케이션이 있는 경우 이 설정을 켭니다. 이 설정을 해제하면 사용자는 Spark, Data Engineering 및 Data Warehouse와 같은 내부 앱의 데이터에 계속 액세스할 수 있지만 패브릭 환경 외부에서 실행되는 애플리케이션의 데이터에 액세스할 수는 없습니다.