Začínáme s rolemi přístupu k datům OneLake (Preview)

Role přístupu k datům OneLake umožňují použít řízení přístupu na základě role (RBAC) na vaše data uložená ve OneLake. Můžete definovat role zabezpečení, které udělují oprávnění ke čtení konkrétním složkám v rámci položky Infrastruktury, a pak tyto role přiřazovat uživatelům nebo skupinám. Přístupová oprávnění určují složky, které uživatelé uvidí při přístupu k zobrazení datového jezera, a to buď prostřednictvím uživatelského rozhraní Lakehouse, poznámkových bloků nebo rozhraní OneLake API.

Uživatelé Fabric v rolích administrátorů, členů nebo přispěvatelů mohou začít tím, že vytvoří role přístupu k datům OneLake, které poskytnou přístup pouze k určitým složkám v lakehouse. Pokud chcete udělit přístup k datům v jezeře, přidejte uživatele do role přístupu k datům. Uživatelé, kteří nejsou součástí role přístupu k datům, neuvidí žádná data v daném jezeře.

Poznámka:

Zabezpečení role přístupu k datům platí jenom pro uživatele, kteří přistupí přímo k OneLake. Položky prostředků infrastruktury, jako jsou koncové body analýzy SQL, sémantické modely a sklady, mají vlastní modely zabezpečení a k OneLake mají přístup přes delegovanou identitu. To znamená, že uživatelé můžou v každé úloze zobrazit různé položky, pokud jim je udělen přístup k více položkám.

Požadavky

Pokud chcete nakonfigurovat zabezpečení pro lakehouse, musíte být správcem, členem nebo přispěvatelem pracovního prostoru. Vytvoření role a přiřazení členství se projeví hned po uložení role, proto před přidáním uživatele do role nezapomeňte udělit přístup.

Role pro přístup k datům OneLake jsou podporovány pouze pro položky lakehouse.

Jak se přihlásit

Funkce role přístupu k datům ve verzi Preview je ve výchozím nastavení zakázaná. Funkce Preview se konfiguruje na základě jednotlivých lakehouse. Ovládací prvek výslovného souhlasu umožňuje, aby jeden datový sklad vyzkoušel verzi Preview, aniž by byl povolen na jiných datových skladech nebo položkách Fabric.

Pokud chcete povolit verzi Preview, musíte být správcem, členem nebo přispěvatelem v pracovním prostoru.

Funkce Preview se po povolení nedá vypnout.

1. Přejděte na lakehouse a zvolte Spravovat přístup k datům OneLake (náhled).
2. Zkontrolujte potvrzovací dialogové okno. Náhled rolí přístupu k datům není kompatibilní s náhledem sdílení externích dat. Pokud jste v pořádku se změnou, vyberte Pokračovat.

Aby se zajistilo bezproblémové vyjádření souhlasu, mají všichni uživatelé s oprávněním ke čtení dat v jezeře nadále přístup ke čtení prostřednictvím výchozí role přístupu k datům s názvem DefaultReader. Při použití virtualizovaných členství v rolíchjsou do této výchozí role zahrnuti všichni uživatelé, kteří měli potřebná oprávnění k zobrazení dat v lakehouse (oprávnění ReadAll). Chcete-li začít omezovat přístup k těmto uživatelům, odstraňte roli DefaultReader nebo odeberte oprávnění ReadAll z přístupových uživatelů.

Důležité

Ujistěte se, že všichni uživatelé, kteří jsou součástí role přístupu k datům, jsou z role DefaultReader odebráni. Jinak udržují úplný přístup k datům.

Jaké typy dat je možné zabezpečit?

Použijte role pro přístup k datům OneLake ke správě přístupu ke čtení složek v lakehouse OneLake. Přístup pro čtení je možné přidělit jakékoli složce v jezeře a výchozí stav není přístup ke složce. Zabezpečení nastavené rolemi přístupu k datům se vztahuje výhradně na přístup k OneLake nebo k API specifickým pro OneLake. Další informace najdete v modelu řízení přístupu k datům.

Vytvoření role

Pomocí následujícího postupu vytvořte roli přístupu k datům ve OneLake.

1. Otevřete jezero, ve kterém chcete definovat zabezpečení.

2. V nabídce Lakehouse vyberte Spravovat přístup k datům OneLake (náhled).

3. V podokně Spravování přístupu k datům OneLake vyberte Nové.

4. Zadejte název nové role, která splňuje následující pokyny:

   • Název role může obsahovat pouze alfanumerické znaky.
   • Název role musí začínat písmenem.
   • Názvy nerozlišují malá a velká písmena a musí být jedinečné.
   • Maximální délka názvu je 128 znaků.

5. Pokud chcete, aby tato role platila pro všechny tabulky a soubory v tomto lakehouse, vyberte přepínač Všechna data.

   Tento výběr také poskytuje přístup ke všem složkám, které se přidají v budoucnu.

6. Pokud chcete, aby tato role platila jenom pro vybranou skupinu tabulek a složek, vyberte přepínač Vybraná data. Potom pomocí následujících kroků definujte schválená data pro tuto roli.

   1. Vyberte LakehouseProcházet.

      

   2. Rozbalte adresáře Tabulky a Soubory a zobrazte data v jezeře.

   3. Zaškrtněte políčka vedle tabulek a souborů, na které má role platit.

   4. Vyberte Přidat data pro přidání vybraných položek do vaší role.

7. Pomocí Přidat členy do role textové pole ručně zadejte jména nebo e-mailové adresy uživatelů, které chcete zahrnout do role. Nebo vyberte Pokročilé konfigurace a postupujte podle pokynů v Přiřazení virtuálních členů.

   Ruční přidání členů:

   1. Zadejte jméno nebo e-mailovou adresu uživatele.
   2. V navrhovaném seznamu vyberte správný název.
   3. Výběrem ikony zaškrtnutí potvrďte výběr nebo výběrem ikony X výběr zrušte.

8. Projděte si souhrny rolí Preview .

   1. Pokud chcete upravit náhled dat, vyberte Browse Lakehouse a aktualizujte vybrané tabulky a složky.
   2. Pokud chcete odebrat uživatele z náhledu členů, vyberte další možnosti (...) vedle jména a pak Odebrat z role.

9. Vyberte Vytvořit roli a počkejte na oznámení, že se role úspěšně publikovala.

Úprava role

Pomocí následujících kroků upravte existující roli přístupu k datům ve OneLake.

1. Otevřete jezero, ve kterém chcete definovat zabezpečení.

2. V nabídce Lakehouse vyberte Spravovat přístup k datům OneLake (náhled).

3. V podokně Spravovat přístup k datům OneLake vyberte roli, kterou chcete upravit.

   Tato akce otevře stránku podrobností role, která obsahuje dvě karty: Data v roli a Členi v roli.

4. Zkontrolujte informace na kartě Data v roli:

   Tato karta zobrazuje všechna data, ke kterým mají členové role přístup.

   Sloupec Data zobrazuje název tabulek nebo složek, které jsou součástí přístupu k roli. Schémata můžete rozbalit a sbalit a zobrazit položky pod nimi. Když najedete myší na položku, zobrazí se úplná cesta tabulky nebo složky.

   Sloupec Typ vám řekne typ vybrané položky. Hodnoty jsou buď: schéma, tabulkanebo složka.

   Ve sloupci Oprávnění se zobrazuje, jaká oprávnění jsou udělována rolí jednotlivým položkám. V současné době je podporováno pouze čtení .

   Sloupec Přístup k datům označuje, jestli se u položky použijí nějaká omezení na úrovni řádků nebo sloupců. Ikona se zámkem a vodorovnými čárami označuje, že je použito zabezpečení na úrovni řádků, zatímco ikona se zámkem a svislými čárami označuje, že je použito zabezpečení na úrovni sloupců.

5. Pokud chcete upravit data zahrnutá v roli, vyberte Přidat data.

   Tato akce otevře dialogové okno pro výběr tabulky a složky.

6. Zaškrtnutím nebo zrušením zaškrtnutí tabulek nebo složek je můžete přidat nebo odebrat z role.

7. Výběrem možnosti Přidat údaje potvrďte potvrzení výběru.

8. Na kartě Členové v roli vyberte možnost zobrazit členy role.

   Sloupec Členové zobrazuje profilový obrázek a název člena.

   Sloupec Typ označuje, jestli je člen uživatelem nebo skupinou.

   Sloupec Přidáno pomocí označuje, jestli byl uživatel přidán prostřednictvím e-mailu jako člen role, nebo zahrnut jako součást skupiny oprávnění Lakehouse. Další informace o přidávání uživatelů pomocí oprávnění lakehouse naleznete v tématu Přiřazení virtuálních členů.

9. Chcete-li upravit členy role, vyberte Přidat členy.

10. Pokud chcete přidat členy ručně, zadejte jméno nebo e-mail do textového pole Přidat členy k vaší roli. V navrhovaném seznamu vyberte správný název. Potom výběrem ikony zaškrtnutí potvrďte výběr nebo výběrem ikony X výběr zrušte.

11. Pokud chcete odebrat uživatele z role, vyberte další možnosti (...) vedle jména a vyberte Odebrat z role.

Jakékoli změny v členství v rolích se okamžitě projeví. Oznámení zaznamená úspěch nebo selhání jakýchkoli změn.

Odstranění role

Pomocí následujícího postupu odstraňte roli přístupu k datům OneLake.

1. Otevřete jezero, ve kterém chcete definovat zabezpečení.

2. V nabídce Lakehouse vyberte Spravovat přístup k datům OneLake (náhled).

3. V podokně Správa přístupu k datům OneLake zaškrtněte políčko vedle rolí, které chcete odstranit.

4. Vyberte Odstranit a počkejte na oznámení, že se role úspěšně odstranily.

Přiřazení člena nebo skupiny

Role přístupu k datům OneLake podporují dvě metody přidání uživatelů do role. Hlavní metodou je přidání uživatelů nebo skupin přímo do role pomocí pole Přidat osoby nebo skupiny na stránce Přiřadit roli. Druhým je vytvoření virtuálních členství se skupinami oprávnění pomocí rozšířené konfigurace řízení.

Přidání uživatelů přímo do role přidá uživatele jako explicitní členy role. Tito uživatelé se zobrazí s jejich jménem a obrázkem na seznamu Členové.

Virtuální členové umožňují dynamicky upravovat členství role na základě oprávnění k položkám Fabric uživatelů. Když vyberete Rozšířené konfigurace a vyberete oprávnění, přidáte do pracovního prostoru Fabric libovolného uživatele, který má všechna vybraná oprávnění jako implicitní člen role. Pokud jste například vybrali ReadAll, Write, pak by byl jako člen role zahrnut libovolný uživatel pracovního prostoru Fabric, který má oprávnění ReadAll a Write k položce. Pokud chcete zjistit, kteří uživatelé jsou přidaní skupinou oprávnění, podívejte se na Přidané pomocí sloupce na kartě Členové v roli. Tito členové se nedají ručně odebrat přímo. Pokud chcete odebrat člena přidaného prostřednictvím skupiny oprávnění, odeberte skupinu oprávnění z role.

Bez ohledu na typ členství, který používáte, role přístupu k datům podporují přidávání jednotlivých uživatelů, skupin Microsoft Entra a objektů zabezpečení.

Přiřazení virtuálních členů

Oprávnění, která je možné použít pro virtuální členy, jsou:

• Čti
• Napiš
• Znovu sdílet
• Provést
• Číst vše

Pokud chcete přiřadit uživatele ke skupinám oprávnění, postupujte následovně:

1. Vyberte název role, ke které chcete přiřadit členy.

2. Na stránce podrobností role vyberte kartu Členové v záložce role.

3. Vyberte Přidat členy.

4. Vyberte Rozšířené konfigurace.

   

5. V skupiny oprávnění zaškrtněte políčko vedle každého oprávnění, pro které chcete zahrnout uživatele.

   Každá skupina oprávnění zobrazuje počet uživatelů zahrnutých v této skupině.

   Výběr více skupin oprávnění zahrnuje uživatele se všemi vybranými požadovanými oprávněními.

6. Vyberte Přidat, pokud chcete zahrnout skupiny a uložit roli.

Známé problémy

Funkce náhledu sdílení externích dat není kompatibilní s náhledem rolí přístupu k datům. Když povolíte náhled rolí pro přístup k datům v datovém úložišti typu lakehouse, může přestat fungovat jakékoli existující externí sdílení dat.

Zabezpečení OneLake nefunguje se zástupci OneLake v různých regionech.

Související obsah

• Přehled zabezpečení Fabric
• Přehled zabezpečení Fabric a OneLake
• model řízení přístupu k datům