Contrôle d’accès au niveau de l’espace de travail :
Vous pouvez accorder à des utilisateurs ou des groupes l’accès à un espace de travail entier.
Les rôles attribués à ce niveau comprennent Administrateur, Membre, Contributeur et Lecteur.
Les administrateurs ont un contrôle total.
Les membres peuvent faire presque tout, sauf ajouter des administrateurs ou supprimer l’espace de travail.
Les contributeurs peuvent effectuer de nombreuses opérations d’écriture au niveau de l’élément, mais ne peuvent pas créer/modifier des éléments d’entrepôt de données, des éléments de mise en miroir de base de données, ni partager au niveau de l’élément.
Les lecteurs peuvent visualiser des données via les points de terminaison SQL et consulter des éléments comme les pipelines et les notebooks, mais ne peuvent pas les exécuter.
Contrôle d’accès au niveau de l’élément :
Cela vous permet d’accorder l’accès à des éléments spécifiques (comme un entrepôt de données ou un lac de données) au sein d’un espace de travail, plutôt qu’à l’espace de travail entier.
Ceci respecte le principe du moindre privilège.
Les utilisateurs ayant reçu un accès au niveau de l’élément ne verront pas l’élément dans leur panneau d’espaces de travail, mais y accéderont via le catalogue OneLake.
Les permissions incluent :
Permission de lecture (par défaut) : Accès à l’entrepôt de données, mais pas à ses tables. Utile pour la sécurité au niveau de l’objet.
Lire toutes les données via SQL : Visualiser et interroger toutes les tables et données en utilisant T-SQL.
Lire toutes les données OneLake : Accéder aux fichiers OneLake sous-jacents, permettant leur utilisation avec Spark, les pipelines, etc., pas seulement T-SQL.
Créer des rapports : Permission de créer des rapports sur le modèle sémantique par défaut.
Contrôle d’accès granulaire (Niveau objet, ligne et colonne)
Ce niveau implique le contrôle de l’accès aux tables, lignes ou colonnes individuelles.
Sécurité au niveau de l’objet (OLS) : Partage de tables ou de fichiers individuels.
Dans le point de terminaison T-SQL du lac de données : Géré via “Grant SELECT”.
Dans l’entrepôt de données : Géré via “Grant SELECT”.
Pour les fichiers/dossiers du lac de données : Géré par le modèle d’accès aux données OneLake.
Sécurité au niveau des lignes (RLS) : Filtrage dynamique des lignes en fonction de l’utilisateur connecté.
Implémenté dans le point de terminaison T-SQL du lac de données et de l’entrepôt de données à l’aide d’une fonction CREATE FUNCTION (fonction de valorisation de table) et d’une SECURITY POLICY.
Prérequis : Les utilisateurs doivent avoir un certain niveau d’accès à la table (par exemple, via les permissions de l’espace de travail ou de l’élément).
Sécurité au niveau des colonnes (CLS) : Restriction de l’accès à des colonnes spécifiques d’une table.
Implémenté dans le point de terminaison T-SQL du lac de données et de l’entrepôt de données à l’aide de GRANT SELECT avec les noms de colonnes spécifiés.
Note : RLS et CLS ne sont actuellement pas pris en charge sur le point de terminaison Spark du lac de données.
Considérations importantes pour la sécurité granulaire :
Le contrôle d’accès doit être défini pour chaque moteur (par exemple, T-SQL du lac de données, T-SQL de l’entrepôt de données).
Les permissions de niveau supérieur (espace de travail, élément) peuvent remplacer les paramètres granulaires. Assurez-vous que les utilisateurs n’ont que les permissions nécessaires à tous les niveaux.
Masquage dynamique des données
Cette fonctionnalité masque les données présentées à l’utilisateur sans modifier les données sous-jacentes.
Peut être appliqué lors de la création de tables (CREATE TABLE) ou à des tables existantes (ALTER TABLE).
Les types de masquage incluent :
Défaut : Masquage complet basé sur le type de données.
Email : Masque la plupart des adresses e-mail.
Aléatoire : Masque les données numériques avec des nombres aléatoires dans une plage spécifiée.
Chaîne personnalisée (Partielle) : Permet de spécifier un préfixe, un remplissage (par exemple, des ‘X’) et un suffixe.
Avertissement : Le masquage dynamique des données n’est pas une fonctionnalité de sécurité en soi. Il doit être utilisé en conjonction avec des mesures de contrôle d’accès comme RLS et CLS, car les utilisateurs peuvent toujours déduire des données par le biais de requêtes.
Fonctionnalités de gouvernance des données
Étiquetage de sensibilité : Étiquettes appliquées aux éléments (gérées dans Microsoft Purview) pour la protection des informations et la conformité.
Validation (Endorsement) : Marquage des éléments avec différents niveaux de confiance :
Promu : Prêt pour le partage et la réutilisation.
Certifié : Conforme aux normes de qualité de l’organisation.
Données maîtres : Représente une source principale de données organisationnelles.
