Блог

Я хотел бы управлять ACL, чтобы пользователи могли получать доступ к данным в озере данных и инструменте визуализации. Озеро данных построено с использованием Azure ADLS поколения 2 и доступно через блоки данных Delta Lake . Наборы данных создаются для загрузки в Power BI для обслуживания пользователей.

Мне нужно предоставить доступ к данным на уровне таблицы/столбца/строки из озера данных через ADLS Gen 2 или Delta lake и Power BI. Для пользователя, назначенного в группу объявлений, он/она должен иметь доступ к отчетам или данным на основе ограничений на уровне таблицы/столбца/строки.

Я думал о следующем подходе:

• Определите группы объявлений для data engineer, business_user_unrestricted_readers, business_user_restricted_readers соответственно для доступа к папкам озера данных) — безопасность на уровне столбцов невозможна
• Используйте сквозную проверку подлинности от delta lake до ADLS Gen 2 Data lake, чтобы использовать разрешения AD ACL. Я хотел бы использовать динамические представления для блоков данных (в дельта-таблицах), защищающих определенные столбцы, но ACL не интегрирован с AD и должен быть реализован отдельно.
• Определите безопасность на уровне объектов для Power BI и назначьте таблицы/столбцы соответствующим группам пользователей AD
• Зашифруйте конфиденциальные данные (для тех, у кого есть полный доступ к озеру данных, примените дополнительную защиту к определенным столбцам)

На приведенном выше примере нет мелкозернистой конфигурации.

Как достичь наилучшего подхода ACL для приведенного выше сценария? Существуют ли альтернативные и гибкие подходы к управлению доступом через собственные источники данных Azure, основанные на политиках и тегах конфиденциальных данных, определенных в каталоге метаданных и т. Д.?