Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Klávesové zkratky OneLake slouží jako ukazatele na data umístěná v různých účtech úložiště, ať už v rámci samotného OneLake, nebo v externích systémech, jako je Azure Data Lake Storage (ADLS). Tento článek popisuje oprávnění potřebná k vytvoření zástupců a přístupu k datům pomocí nich.
K zajištění přehlednosti součástí zástupce tohoto dokumentu se používají následující termíny:
- Cílová cesta: Umístění, na které zástupce odkazuje.
- Klávesová zkratka: Umístění, kde se zástupce zobrazuje.
Vytváření a odstraňování zástupců
Pokud chcete vytvořit zástupce, musí mít uživatel oprávnění k zápisu u položky infrastruktury, ve které se zástupce vytváří. Kromě toho uživatel potřebuje ke čtení přístup k datům, na která zástupce ukazuje. Zkratky na externí zdroje můžou vyžadovat určitá oprávnění v externím systému. Článek Co jsou klávesové zkratky? Obsahuje úplný seznam typů zástupců a požadovaná oprávnění.
| Schopnost | Oprávnění k místní cestě | Oprávnění k cílové cestě |
|---|---|---|
| Vytvoření zástupce | Zápis2 | ReadAll1 |
| Odstranění zástupce | Zápis2 | – |
1 Pokud je povolené zabezpečení OneLake , musí být uživatel v roli, která uděluje přístup k cílové cestě. 2 Pokud jsou role přístupu k datům OneLake povolené, musí být uživatel v roli, která uděluje přístup k cílové cestě.
Přístup ke zkratkám
Kombinace oprávnění v místní cestě a cílové cestě řídí oprávnění pro zástupce. Když uživatel přistupuje ke zkratce, použije se nejvíce omezující oprávnění těchto dvou umístění. Proto uživatel, který má oprávnění ke čtení a zápisu v lakehouse, ale oprávnění ke čtení v cílové cestě nemůže zapisovat do cílové cesty. Stejně tak uživatel, který má oprávnění jen ke čtení v jezeře, ale čtení a zápis v cílové cestě také nemůže zapisovat do cílové cesty.
Tato tabulka zobrazuje oprávnění potřebná pro každou akci zástupce.
| Schopnost | Oprávnění k místní cestě | Oprávnění k cílové cestě |
|---|---|---|
| Čtení obsahu souboru nebo složky zástupce | ReadAll1 | ReadAll1 |
| Zápis do cílového umístění zástupce | Write | Write |
| Čtení dat z zástupců v části tabulky lakehouse prostřednictvím koncového bodu TDS | Čteno | ReadAll2 |
1 Pokud je povolené zabezpečení OneLake , musí být uživatel v roli, která uděluje přístup k cílové cestě.
Důležité
2Výjimka z předávání identity: Zatímco zabezpečení OneLake obvykle předává identitu volajícího uživatele pro vynucení oprávnění, některé dotazovací nástroje pracují odlišně. Při přístupu k datům zástupců prostřednictvím sémantických modelů Power BI pomocí directlake přes moduly SQL nebo T-SQL nakonfigurované pro režim delegované identity tyto moduly neprocházejí identitou volajícího uživatele do cíle zástupce. Místo toho používají identitu vlastníka položky pro přístup k datům a potom pomocí rolí zabezpečení OneLake vyfiltrují, co může volající uživatel zobrazit.
To znamená:
- K cíli zástupce se přistupuje pomocí oprávnění vlastníka položky (ne koncového uživatele).
- Role zabezpečení OneLake stále určují, jaká data může koncový uživatel číst.
- Všechna oprávnění nakonfigurovaná přímo na cílové cestě zástupce pro koncového uživatele jsou vynechána.
Zabezpečení OneLake
Zabezpečení OneLake (Preview) je funkce, která umožňuje použít řízení přístupu na základě role (RBAC) na vaše data uložená ve OneLake. Můžete definovat role zabezpečení, které udělují přístup pro čtení konkrétním tabulkám a složkám v rámci položky Infrastruktury a přiřazují je uživatelům nebo skupinám. Přístupová oprávnění určují, kteří uživatelé budou ve všech modulech v Prostředcích infrastruktury, a zajišťují konzistentní řízení přístupu.
Uživatelé v rolích Správce, Člen a Přispěvatel mají úplný přístup ke čtení dat ze zástupce bez ohledu na definované role přístupu k datům OneLake. Přesto ale potřebují přístup jak na místní cestě, tak v cílové cestě, jak je uvedeno v rolích pracovního prostoru.
Uživatelé v roli čtenáře nebo uživatelé, kteří s nimi sdíleli lakehouse, mají přímý přístup omezený na základě toho, jestli má uživatel přístup prostřednictvím role přístupu k datům OneLake. Další informace o modelu řízení přístupu pomocí klávesových zkratek najdete v tématu Model řízení přístupu k datům ve OneLake.
Modely ověřování zástupce
Klávesové zkratky používají dva modely ověřování se zabezpečením OneLake: předávací a delegovaný.
V předávacím modelu zkratka přistupuje k datům v cílovém místě "předáním" identity uživatele do cílového systému. Tím zajistíte, že každý uživatel, který ke zkratce přistupuje, uvidí jenom to, k čemu má v cíli přístup.
S klávesovými zkratkami OneLake do OneLake se podporuje pouze režim předávání. Tento návrh zajišťuje, aby zdrojový systém zachoval úplnou kontrolu nad svými daty. Organizace využívají rozšířené zabezpečení, protože pro zástupce není potřeba replikovat ani předefinovat řízení přístupu. Je ale důležité si uvědomit, že zabezpečení zástupců OneLake není možné upravovat přímo z podřízené položky. Všechny změny přístupových oprávnění musí být provedeny ve zdrojovém umístění.
Delegovaní zástupci přistupují k datům pomocí některých zprostředkujících přihlašovacích údajů, jako je jiný uživatel nebo klíč účtu. Tyto klávesové zkratky umožňují oddělení správy oprávnění nebo delegování na jiného týmu nebo podřízeného uživatele ke správě. Delegovaní zástupci vždy přerušují tok zabezpečení z jednoho systému do druhého. Všechny delegované klávesové zkratky ve OneLake můžou mít definované role zabezpečení OneLake.
Delegují se všechny klávesové zkratky z OneLake do externích systémů (multicloudových zkratek), jako je AWS S3 nebo Google Cloud Storage. To umožňuje uživatelům připojit se k externímu systému, aniž by jim byl udělen přímý přístup. Zabezpečení OneLake je pak možné nakonfigurovat na zástupce, aby se omezila přístup k datům v externím systému.
Omezení zabezpečení OneLake
- Kromě přístupu zabezpečení OneLake k cílové cestě vyžaduje přístup k externím zástupcům prostřednictvím volání Sparku nebo přímého rozhraní API také oprávnění ke čtení u položky, která obsahuje externí klávesovou zkratku.