"You shall not pass!" – Zugriffskontrolle in Microsoft Fabric richtig gestalten
AMicrosoft Fabric ist schon eine Weile verfügbar, und neue Features erscheinen fast ständig. Da den Überblick zu behalten, ist nicht gerade einfach – vor allem, wenn es gefühlt (zu) viele Möglichkeiten gibt, Daten zu sichern, oder?
Wie bei allen Sicherheitsthemen erfordert es eine gründliche Auseinandersetzung, um die richtigen Maßnahmen zu treffen. Schließlich musst du deine Daten vor versehentlichem Löschen, Manipulation, unerwünschtem Teilen und anderen Kopfschmerzen schützen. Eine passende Sicherheitsstrategie zu entwickeln, bedeutet, sich mit allen Optionen auseinanderzusetzen, die Microsoft Fabric bietet. Und genau hier beginnt die Herausforderung: sich durch das Labyrinth der verschiedenen Zugriffsmöglichkeiten zu navigieren.
Laut dem Microsoft Fabric Security Whitepaper basiert das mehrschichtige Sicherheitsmodell von Fabric auf Workspace-Berechtigungen, Objektberechtigungen und granularen Berechtigungen für jede Fabric-Engine. In dieser Session werde ich das Ganze auf einfache Weise herunterbrechen – damit du dir das Lesen des gesamten Papers (und der vielen verlinkten Inhalte) sparen kannst. Am Ende dieser Session wirst du einen klaren Überblick über folgende Themen haben:
• Workspace-Rollen: Warum es eine gute Idee ist, sie Sicherheitsgruppen oder M365-Gruppen zuzuweisen.
• Objektbasierte Sicherheit: Wie du den Zugriff auf einzelne Fabric-Objekte steuerst, wenn Benutzer keinen Zugriff auf einen Workspace haben – und warum du das möglichst vermeiden solltest.
• Absicherung des SQL-Analytics-Endpunkts: Umsetzung von Object-Level Security, Column-Level Security, Row-Level Security und Dynamic Data Masking.
Aber das ist noch nicht alles! Aktuell in der Vorschau: OneLake-Datenzugriffsrollen ermöglichen eine rollenbasierte Zugriffskontrolle für Daten, die in OneLake gespeichert sind. Damit wird festgelegt, welche Ordner ein Benutzer im „Lake View" des Data Lakes sieht – sei es über das Lakehouse, die Benutzeroberfläche, Notebooks oder die OneLake-APIs.
Das wirft einige Fragen auf: Bedeutet das, dass OneLake-RBAC nur für Lakehouse-Elemente gilt?! Funktioniert OneLake-RBAC zusammen mit Workspace-Rollen? Lassen sich OneLake-RBAC-Rollen mit Lakehouse-Objektberechtigungen kombinieren? Und was ist mit den SQL-Analytics-Endpunkten oder den Shortcuts?
Kein Wunder, dass die Vergabe von Berechtigungen nicht unbedingt das Lieblingsthema vieler ist. Aber hoffentlich fühlt sich das Labyrinth der Zugriffskontrolle nach dieser Session nicht mehr überwältigend an. Wenn du die Mechanismen hinter den Berechtigungen verstehst, kannst du mit Sicherheit und Vertrauen die richtigen Maßnahmen ergreifen, um deine Daten in Microsoft Fabric optimal zu schützen.