Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Zabezpečení OneLake umožňuje použít řízení přístupu na základě role (RBAC) na vaše data uložená ve OneLake. Můžete definovat role zabezpečení, které udělují přístup ke konkrétním složkám v rámci položky Infrastruktury, a pak tyto role přiřazovat uživatelům nebo skupinám. Role můžou také obsahovat zabezpečení na úrovni řádků nebo sloupců, aby bylo možné dále omezit přístup. Oprávnění zabezpečení OneLake určují, jaká data může uživatel zobrazit ve všech prostředích infrastruktury.
Uživatelé prostředků infrastruktury s oprávněními k zápisu a opětovnému sdílení (obecně uživatelé pracovního prostoru správce a člena) můžou začít vytvořením rolí zabezpečení OneLake, které udělují přístup pouze konkrétním složkám nebo tabulkám v datové položce prostředků infrastruktury. Pokud chcete udělit přístup k datům v položce, přidejte uživatele do role přístupu k datům. Uživatelé, kteří nejsou součástí role přístupu k datům, nevidí v této položce žádná data.
Jaké typy dat je možné zabezpečit?
Pomocí rolí zabezpečení OneLake můžete spravovat přístup pro čtení OneLake ke všem tabulkám nebo složkám v podporované položce dat. Přístup k tabulkám je možné dále omezit pomocí zabezpečení na úrovni řádků nebo sloupců. Jakákoli sada zabezpečení se vztahuje na přístup ze všech modulů v prostředcích Infrastruktury. Další informace najdete v modelu řízení přístupu k datům.
Pro konkrétní typy položek je možné nakonfigurovat také přístup readWrite. Toto oprávnění uživatelům umožňuje upravovat data v lakehouse na specifikovaných tabulkách nebo složkách, aniž by jim poskytovalo přístup k vytváření nebo správě prvků Fabric. Přístup readWrite umožňuje uživatelům provádět operace zápisu prostřednictvím poznámkových bloků Sparku, Průzkumníka souborů OneLake nebo rozhraní ONELake API. Operace zápisu prostřednictvím uživatelského rozhraní Lakehouse pro diváky se nepodporují.
Zabezpečení OneLake podporují následující datové položky:
| Položka infrastruktury | Stav | Podporovaná oprávnění |
|---|---|---|
| Lakehouse | Preview | Čtení, Čtení a zápis |
| Zrcadlený katalog Azure Databricks | Preview | Čti |
| Zrcadlová databáze | Preview | Čti |
Povolení zabezpečení OneLake
Zabezpečení OneLake je aktuálně ve verzi Preview a v důsledku toho je ve výchozím nastavení zakázané. Funkce Preview se konfiguruje pro jednotlivé položky. Ovládací prvek opt-in umožňuje, aby jedna položka vyzkoušela náhled bez povolení u jiných položek infrastruktury.
Funkce Preview se po povolení nedá vypnout.
- Přejděte do lakehouse a vyberte Spravovat zabezpečení OneLake (Preview).
- Zkontrolujte potvrzovací dialogové okno. Role přístupu k datům ve verzi Preview nejsou kompatibilní s náhledem sdílení externích dat. Pokud jste v pořádku se změnou, vyberte Pokračovat.
- Jakmile povolíte zabezpečení OneLake, můžete vytvořit a spravovat role zabezpečení OneLake pro zabezpečení přístupu k datům k vašim položkám OneLake.
Aby se zajistilo bezproblémové vyjádření souhlasu, budou mít všichni uživatelé s oprávněním ke čtení dat v položce i nadále přístup pro čtení prostřednictvím výchozí role přístupu k datům s názvem DefaultReader. S virtualizovanými členstvími rolí jsou všichni uživatelé, kteří měli potřebná oprávnění k zobrazení dat v lakehouse (oprávnění ReadAll), zahrnuti jako členové této výchozí role. Chcete-li začít omezovat přístup k těmto uživatelům, odstraňte roli DefaultReader nebo odeberte oprávnění ReadAll z přístupových uživatelů.
Důležité
Ujistěte se, že všichni uživatelé, kteří jsou součástí role přístupu k datům, jsou z role DefaultReader odebráni. Jinak udržují úplný přístup k datům.