Začínáme s rolemi přístupu k datům OneLake (Preview)

  • Článek

Přehled

Role přístupu k datům OneLake pro složky jsou novou funkcí, která umožňuje použít řízení přístupu na základě role (RBAC) u vašich dat uložených ve OneLake. Můžete definovat role zabezpečení, které udělují oprávnění ke čtení konkrétním složkám v rámci položky Infrastruktury a přiřazují je uživatelům nebo skupinám. Přístupová oprávnění určují, které složky uživatelé uvidí při přístupu k zobrazení jezera dat, a to buď prostřednictvím uživatelského rozhraní lakehouse, poznámkových bloků nebo rozhraní OneLake API.

Uživatelé prostředků infrastruktury v rolích Správa, člena nebo přispěvatele mohou začít vytvořením rolí přístupu k datům OneLake, které udělují přístup pouze konkrétním složkám v jezeře. Pokud chcete udělit přístup k datům v jezeře, přidejte uživatele do role přístupu k datům. Uživatelé, kteří nejsou součástí role přístupu k datům, neuvidí žádná data v daném jezeře.

Poznámka:

Zabezpečení role přístupu k datům se vztahuje pouze na uživatele, kteří přistupují přímo na OneLake. Položky prostředků infrastruktury, jako jsou koncové body SQL, sémantické modely a sklady, mají vlastní modely zabezpečení a mají přístup k OneLake přes delegovanou identitu. To znamená, že uživatelé můžou v každém prostředí zobrazit různé položky, pokud jim je udělen přístup k více položkám.

Jak se přihlásit

Ve výchozím nastavení jsou u všech objektů lakehouse v prostředcích infrastruktury zakázané funkce přístupu k datům ve verzi Preview. Funkce Preview se konfiguruje na základě jednotlivých jezer. Ovládací prvek výslovného souhlasu umožňuje, aby jeden jezerní dům vyzkoušel verzi Preview, aniž by ho povolil na jiných položkách lakehouse nebo Fabric.

Pokud chcete povolit verzi Preview, musíte být v pracovním prostoru Správa, člena nebo přispěvatele. Přejděte do jezera a výběrem tlačítka Spravovat přístup k datům OneLake (Preview) na pásu karet otevřete potvrzovací dialogové okno. Role přístupu k datům ve verzi Preview nejsou kompatibilní s náhledem sdílení externích dat. Pokud jste v pořádku se změnou, vyberte Pokračovat. Otevře se uživatelské prostředí pro správu rolí a funkce je teď povolená.

Funkce Preview se po povolení nedá vypnout.

Aby se zajistilo bezproblémové vyjádření souhlasu, budou mít všichni uživatelé s oprávněním ke čtení dat v jezeře nadále přístup pro čtení. Migrace přístupu se provádí vytvořením výchozí role přístupu k datům s názvem DefaultReader. Použití virtualizovaných členství rolí všichni uživatelé, kteří měli potřebná oprávnění k zobrazení dat v lakehouse (oprávnění ReadAll), jsou zahrnuti jako členové této výchozí role. Chcete-li začít omezovat přístup k těmto uživatelům, ujistěte se, že je odstraněna role DefaultReader nebo že oprávnění ReadAll je odebráno z přístupových uživatelů.

Důležité

Ujistěte se, že všichni uživatelé, kteří jsou součástí role přístupu k datům, nejsou také součástí role DefaultReader. Jinak budou mít úplný přístup k datům.

Jaké typy dat je možné zabezpečit?

Role přístupu k datům OneLake je možné použít ke správě přístupu ke čtení OneLake ke složkám v jezeře. Přístup pro čtení je možné přidělit jakékoli složce v jezeře a žádný přístup ke složce není výchozím stavem. Zabezpečení nastavené rolemi přístupu k datům se vztahuje výhradně na přístup k rozhraním API specifických pro OneLake nebo OneLake. Další informace najdete v modelu řízení přístupu k datům.

Požadavky

Abyste mohli nakonfigurovat zabezpečení pro lakehouse, musíte být pro pracovní prostor Správa, člena nebo přispěvatele. Vytvoření role a přiřazení členství se projeví hned po uložení role, proto před přidáním uživatele do role nezapomeňte udělit přístup.

Role přístupu k datům OneLake jsou podporovány pouze pro položky lakehouse.

Vytvoření role

  1. Otevřete jezero, ve kterém chcete definovat zabezpečení.
  2. Na pravé straně pásu karet jezera vyberte možnost Spravovat přístup k datům OneLake (Preview).
  3. V levém horním rohu podokna Správa přístupu k datům OneLake vyberte Možnost Nová role a zadejte požadovaný název role. Název role má určitá omezení:
    1. Název role může obsahovat pouze alfanumerické znaky.
    2. Název role musí začínat písmenem.
    3. Názvy nerozlišují malá a velká písmena a musí být jedinečné.
    4. Maximální délka názvu je 128 znaků.
  4. Pokud chcete tuto roli použít pro všechny složky v tomto jezeře, vyberte přepínač Všechny složky.
    1. Tento výběr zahrnuje všechny složky přidané v budoucnu.
  5. Pokud chcete, aby se tato role použila jenom u vybraných složek, vyberte vybrané složky.
    1. Zaškrtněte políčka vedle složek, na které se má role použít.
    2. Role uděluje přístup ke složkám. Pokud chcete uživateli povolit přístup ke složce, zaškrtněte políčko vedle ní. Pokud by se uživateli neměla zobrazit složka, nezaškrtávejte políčko.
    3. V levém dolním rohu vyberte Uložit a vytvořte svou roli.
  6. V levém horním rohu vyberte Přiřadit roli a otevřete podokno členství v rolích.
  7. Přidejte osoby, skupiny nebo e-mailové adresy do ovládacího prvku Přidat lidi nebo skupiny . Další informace najdete v tématu Přiřazení člena nebo skupiny.
  8. Výběrem možnosti Přidat přesunete výběr do seznamu Přiřazení lidé a skupiny . Výběrem možnosti Přidat se váš výběr ještě neuloží.
  9. Vyberte Uložit a počkejte na oznámení, že se role úspěšně publikovaly.
  10. Výběrem symbolu X v pravém horním rohu podokno ukončete.

Úprava role

  1. Otevřete jezero, ve kterém chcete definovat zabezpečení.
  2. Na pravé straně pásu karet jezera vyberte možnost Spravovat přístup k datům OneLake (Preview).
  3. V podokně Spravovat přístup k datům OneLake najeďte myší na roli, kterou chcete upravit, a vyberte ji.
  4. To, ke kterým složkám se uděluje přístup, můžete změnit tak, že zaškrtnete nebo zrušíte zaškrtnutí políček u každé složky.
  5. Pokud chcete změnit uživatele, vyberte Přiřadit roli. Další informace najdete v tématu Přiřazení člena nebo skupiny.
  6. Pokud chcete přidat další lidi, zadejte jména do pole Přidat lidi nebo skupiny a vyberte Přidat.
  7. Pokud chcete uživatele odebrat, vyberte jejich jméno v části Přiřazené osoby a skupiny a vyberte Odebrat.
  8. Vyberte Uložit a počkejte na oznámení, že se role úspěšně publikovaly.
  9. Výběrem symbolu X v pravém horním rohu podokno ukončete.

Odstranění role

  1. Otevřete jezero, ve kterém chcete definovat zabezpečení.
  2. Na pravé straně pásu karet jezera vyberte možnost Spravovat přístup k datům OneLake (Preview).
  3. V podokně Správa přístupu k datům OneLake zaškrtněte políčko vedle rolí, které chcete odstranit.
  4. Vyberte Odstranit a počkejte na oznámení, že se role úspěšně odstranily.
  5. Výběrem symbolu X v pravém horním rohu podokno ukončete.

Přiřazení člena nebo skupiny

Role přístupu k datům OneLake podporují dvě různé metody přidávání uživatelů do role. Hlavní metodou je přidání uživatelů nebo skupin přímo do role pomocí pole Přidat osoby nebo skupinu na stránce Přiřadit roli. Druhým je použití virtuálních členství s automaticky přidávat uživatele se všemi těmito oprávněními .

Přidání uživatelů přímo do role pomocí pole Přidat lidi nebo skupinu přidá uživatele jako explicitní členy role. Tito uživatelé se zobrazí jenom se svým jménem a obrázkem zobrazeným v seznamu Přiřazení lidé a skupiny .

Virtuální členové umožňují dynamicky upravovat členství role na základě oprávnění k položce infrastruktury uživatelů. Výběrem možnosti Automaticky přidávat uživatele se všemi těmito oprávněními a výběrem oprávnění přidáváte libovolného uživatele v pracovním prostoru Fabric, který má všechna vybraná oprávnění jako implicitní člen role. Pokud jste například zvolili ReadAll, zapište do něj všechny uživatele pracovního prostoru Infrastruktury, který má oprávnění ReadAll AND Write do lakehouse, bude zahrnut jako člen této role. To, kteří uživatelé se přidávají jako virtuální členové, můžete zjistit tak, že v seznamu Přiřazené osoby a skupiny najdete text "Přiřazeno oprávněními pracovního prostoru". Tito členové nemohou být ručně odebráni a aby bylo možné zrušit přiřazení odpovídajícího oprávnění k prostředkům infrastruktury.

Bez ohledu na typ členství podporují role přístupu k datům přidávání jednotlivých uživatelů, skupin Microsoft Entra a objektů zabezpečení.

Přiřazování členů

Pokud se chcete dostat na stránku přiřadit členy, existují dva způsoby:

Metoda 1

  1. Vyberte název role, ke které chcete přiřadit členy.
  2. V horní části stránky podrobností role vyberte Přiřadit roli.

Metoda 2

  1. V seznamu rolí zaškrtněte políčko vedle role, ke které chcete přiřadit členy.
  2. Vyberte Přiřadit.

Přímé přiřazení uživatelů

Na stránce Přiřadit roli můžete přidat členy nebo skupiny zadáním jména nebo e-mailové adresy do pole Přidat lidi nebo skupiny. Vyberte výsledek, který chcete vybrat daného uživatele. Tento krok můžete opakovat pro tolik uživatelů, kolik chcete. Pokud jste vybrali nesprávné uživatele, můžete vybrat X vedle jejich položky a odebrat je z tohoto pole, nebo výběrem možnosti Vymazat odeberete všechny položky. Až budete hotovi, vyberte Přidat a přesuňte vybrané uživatele do přístupového seznamu. Když je přidáte do seznamu, ještě se neuloží. Po přidání těchto uživatelů se jedná o náhled seznamu členství v rolích.

Pokud chcete publikovat změny přístupu, vyberte Uložit v dolní části podokna.

Přiřazení virtuálních členů

Pokud chcete přidat virtuální členy, použijte pole Automaticky přidávat uživatele se všemi těmito oprávněními . Výběrem pole otevřete rozevírací seznam, abyste zvolili oprávnění prostředků infrastruktury pro virtualizaci. Uživatelé jsou virtualizováni, pokud mají všechna zaškrtnutá oprávnění.

Oprávnění, která je možné použít pro virtualizaci, jsou:

  • Čtení
  • Zápis
  • Znovu sdílet
  • Spustit
  • ReadAll
  • ViewOutput
  • ViewLogs

Po výběru oprávnění se všechny virtualizované členy zobrazí v seznamu Přiřazení lidé a skupiny . Uživatelé mají vedle svého jména text, který označuje, že jim byla přiřazena oprávněními pracovního prostoru. Tito uživatelé není možné ručně odebrat z přiřazení role. Místo toho odeberte odpovídající oprávnění z ovládacího prvku virtualizace nebo odeberte oprávnění Fabric.

Známé problémy

Funkce náhledu externího sdílení dat (odkaz) není kompatibilní s rolemi přístupu k datům ve verzi Preview. Když povolíte role přístupu k datům ve verzi Preview v jezeře, všechny existující externí datové sdílené složky můžou přestat fungovat.

Související obsah