Zabezpečení zástupce OneLake
Klávesové zkratky OneLake slouží jako ukazatele na data umístěná v různých účtech úložiště, ať už v rámci samotného OneLake, nebo v externích systémech, jako je Azure Data Lake Storage (ADLS). Tento článek popisuje oprávnění potřebná k vytvoření zástupců a přístupu k datům pomocí nich.
K zajištění přehlednosti součástí zástupce tohoto dokumentu se používají následující termíny:
- Cílová cesta: Umístění, na které zástupce odkazuje.
- Klávesová zkratka: Umístění, kde se zástupce zobrazuje.
Vytváření a odstraňování zástupců
Pokud chcete vytvořit zástupce, musí mít uživatel oprávnění k zápisu u položky infrastruktury, ve které se zástupce vytváří. Kromě toho uživatel potřebuje ke čtení přístup k datům, na která zástupce ukazuje. Zástupci externích zdrojů mohou vyžadovat určitá oprávnění v externím systému. Článek Co jsou klávesové zkratky? Obsahuje úplný seznam typů zástupců a požadovaná oprávnění.
| Schopnost | Oprávnění k místní cestě | Oprávnění k cílové cestě |
|---|---|---|
| Vytvoření zástupce | Write | ReadAll1 |
| Odstranění zástupce | Write | – |
1 Pokud jsou role přístupu k datům OneLake povolené, musí být uživatel v roli, která uděluje přístup k cílové cestě.
Přístup ke zkratkám
Kombinace oprávnění v místní cestě a cílové cestě řídí oprávnění pro zástupce. Když uživatel přistupuje ke zkratce, použije se nejvíce omezující oprávnění těchto dvou umístění. Proto uživatel, který má oprávnění ke čtení a zápisu v lakehouse, ale oprávnění ke čtení v cílové cestě nemůže zapisovat do cílové cesty. Stejně tak uživatel, který má oprávnění jen ke čtení v jezeře, ale čtení a zápis v cílové cestě také nemůže zapisovat do cílové cesty.
V následující tabulce jsou uvedena oprávnění související s klávesovými zkratkou pro každou akci zástupce.
| Schopnost | Oprávnění k místní cestě | Oprávnění k cílové cestě |
|---|---|---|
| Čtení obsahu souboru nebo složky zástupce | ReadAll1 | ReadAll1 |
| Zápis do cílového umístění zástupce | Write | Write |
| Čtení dat z zástupců v části tabulky lakehouse prostřednictvím koncového bodu TDS | Čteno | ReadAll2 |
1 Pokud jsou role přístupu k datům OneLake povolené, musí být uživatel v roli, která uděluje přístup k datům.
Důležité
2 Při přístupu ke zkratkám prostřednictvím sémantických modelů Power BI nebo T-SQL se identita volajícího uživatele nepředá do cílové cesty zástupce. Místo toho se předá identita vlastníka volající položky a deleguje přístup volajícímu uživateli.
Role přístupu k datům OneLake
Role přístupu k datům OneLake jsou novou funkcí, která umožňuje použít řízení přístupu na základě role (RBAC) na vaše data uložená ve OneLake. Můžete definovat role zabezpečení, které udělují oprávnění ke čtení konkrétním složkám v rámci položky Infrastruktury a přiřazují je uživatelům nebo skupinám. Přístupová oprávnění určují, které složky uživatelé uvidí při přístupu k zobrazení jezera dat, a to buď prostřednictvím uživatelského rozhraní lakehouse, poznámkových bloků nebo rozhraní OneLake API. U položek s povolenou funkcí Preview určují role přístupu k datům OneLake také přístup uživatele ke zkratce.
Uživatelé v rolích Správce, Člen a Přispěvatel mají úplný přístup ke čtení dat ze zástupce bez ohledu na definované role přístupu k datům OneLake. Přesto ale potřebují přístup jak na místní cestě, tak v cílové cestě, jak je uvedeno v rolích pracovního prostoru.
Uživatelé v roli čtenáře nebo uživatelé, kteří s nimi sdíleli lakehouse, mají přímý přístup omezený na základě toho, jestli má uživatel přístup prostřednictvím role přístupu k datům OneLake. Další informace o modelu řízení přístupu pomocí klávesových zkratek najdete v tématu Model řízení přístupu k datům ve OneLake.
Související obsah
Váš názor
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu: https://aka.ms/ContentUserFeedback.
Odeslat a zobrazit názory pro