Začínáme se zabezpečením OneLake (Preview)

Zabezpečení OneLake umožňuje použít řízení přístupu na základě role (RBAC) na vaše data uložená ve OneLake. Můžete definovat role zabezpečení, které udělují oprávnění ke čtení konkrétním složkám v rámci položky Infrastruktury, a pak tyto role přiřazovat uživatelům nebo skupinám. Role můžou také obsahovat zabezpečení na úrovni řádků nebo sloupců, aby bylo možné dále omezit přístup. Oprávnění zabezpečení OneLake určují, jaká data může uživatel zobrazit ve všech prostředích infrastruktury.

Uživatelé prostředků infrastruktury s oprávněními k zápisu a opětovnému sdílení (obecně uživatelé pracovního prostoru správce a člena) můžou začít vytvořením rolí zabezpečení OneLake, které udělují přístup pouze konkrétním složkám nebo tabulkám v datové položce prostředků infrastruktury. Pokud chcete udělit přístup k datům v položce, přidejte uživatele do role přístupu k datům. Uživatelé, kteří nejsou součástí role přístupu k datům, nevidí v této položce žádná data.

Požadavky

Pokud chcete nakonfigurovat zabezpečení OneLake, musíte být správcem nebo členem pracovního prostoru nebo mít oprávnění k zápisu a opětovnému sdílení. Vytvoření role a přiřazení členství se projeví hned po uložení role, proto před přidáním uživatele do role nezapomeňte udělit přístup.

Následující tabulka popisuje, které datové položky podporují zabezpečení OneLake.

Položka infrastruktury	Stav	Podporovaná oprávnění
Lakehouse	Soukromý náhled	Čtení, Čtení a zápis
Zrcadlený katalog Azure Databricks	Soukromý náhled	Čti

Jak se přihlásit

Zabezpečení OneLake je aktuálně ve verzi Private Preview a v důsledku toho je ve výchozím nastavení zakázané. Funkce Preview se konfiguruje pro jednotlivé položky. Ovládací prvek opt-in umožňuje, aby jedna položka vyzkoušela náhled bez povolení u jiných položek infrastruktury.

Funkce Preview se po povolení nedá vypnout.

1. Přejděte do lakehouse a vyberte Spravovat zabezpečení OneLake (Preview).
2. Zkontrolujte potvrzovací dialogové okno. Role přístupu k datům ve verzi Preview nejsou kompatibilní s náhledem sdílení externích dat. Pokud jste v pořádku se změnou, vyberte Pokračovat.

Aby se zajistilo bezproblémové vyjádření souhlasu, budou mít všichni uživatelé s oprávněním ke čtení dat v položce i nadále přístup pro čtení prostřednictvím výchozí role přístupu k datům s názvem DefaultReader. Při použití virtualizovaných členství v rolích jsou všichni uživatelé, kteří měli potřebná oprávnění k zobrazení dat v jezeře (oprávnění ReadAll), zahrnuti jako členové této výchozí role. Chcete-li začít omezovat přístup k těmto uživatelům, odstraňte roli DefaultReader nebo odeberte oprávnění ReadAll z přístupových uživatelů.

Důležité

Ujistěte se, že všichni uživatelé, kteří jsou součástí role přístupu k datům, jsou z role DefaultReader odebráni. Jinak udržují úplný přístup k datům.

Jaké typy dat je možné zabezpečit?

Pomocí rolí zabezpečení OneLake můžete spravovat přístup pro čtení OneLake ke všem tabulkám nebo složkám v položce. Přístup k tabulkám je možné dále omezit pomocí zabezpečení na úrovni řádků nebo sloupců. Jakákoli sada zabezpečení se vztahuje na přístup ze všech modulů v prostředcích Infrastruktury. Další informace najdete v modelu řízení přístupu k datům.

Vytvoření role

Pomocí následujících kroků vytvořte roli zabezpečení OneLake.

1. Otevřete položku Fabric, do které chcete definovat zabezpečení.

2. V nabídce položek vyberte Spravovat zabezpečení OneLake (Preview ).

3. V podokně Zabezpečení OneLake (Preview) vyberte Nový.

4. Zadejte název nové role, která splňuje následující pokyny:

   • Název role může obsahovat pouze alfanumerické znaky.
   • Název role musí začínat písmenem.
   • Názvy nerozlišují malá a velká písmena a musí být jedinečné.
   • Maximální délka názvu je 128 znaků.

5. Pokud chcete, aby tato role platila pro všechny tabulky a soubory v tomto jezeře, vyberte přepínač Všechna data .

   Tento výběr také poskytuje přístup ke všem složkám, které se přidají v budoucnu.

6. Pokud chcete, aby tato role platila pouze pro vybranou skupinu tabulek a složek, vyberte přepínač Vybraná data . Potom pomocí následujících kroků definujte schválená data pro tuto roli.

   1. Vyberte Procházet lakehouse. (nebo ekvivalent položky, se kterou pracujete)

      

   2. Rozbalte adresáře Tabulky a Soubory a zobrazte data v jezeře.

   3. Zaškrtněte políčka vedle tabulek a souborů, na které má role platit.

   4. Chcete-li přidat vybrané položky do role, vyberte Přidat data .

7. Pomocí textového pole Přidat členy do textového pole role ručně zadejte jména nebo e-mailové adresy uživatelů, které chcete zahrnout do role. Nebo vyberte Pokročilou konfiguraci a postupujte podle pokynů v části Přiřazení virtuálních členů.

   Ruční přidání členů:

   1. Zadejte jméno nebo e-mailovou adresu uživatele.
   2. V navrhovaném seznamu vyberte správný název.
   3. Výběrem ikony zaškrtnutí potvrďte výběr nebo výběrem ikony X výběr zrušte.

8. Projděte si souhrny rolí ve verzi Preview .

   1. Pokud chcete upravit náhled dat, vyberte Procházet Lakehouse a aktualizujte vybrané tabulky a složky.
   2. Pokud chcete odebrat uživatele z náhledu členů, vyberte další možnosti (...) vedle jména a pak odeberte z role.

9. Vyberte Vytvořit roli a počkejte na oznámení, že se role úspěšně publikovala.

Úprava role

Pomocí následujících kroků upravte existující roli zabezpečení OneLake.

1. Otevřete položku, do které chcete definovat zabezpečení.

2. V nabídce položek vyberte Spravovat zabezpečení OneLake (Preview ).

3. V podokně Zabezpečení OneLake (Preview) vyberte roli, kterou chcete upravit.

   Tato akce otevře stránku s podrobnostmi role, která obsahuje dvě karty: Data v roli a Členové v roli.

4. Zkontrolujte informace na kartě Data na kartě Role :

   Tato karta zobrazuje všechna data, ke kterým mají členové role přístup.

   Sloupec Data zobrazuje název tabulek nebo složek, které jsou součástí přístupu k roli. Schémata můžete rozbalit a sbalit a zobrazit položky pod nimi. Když najedete myší na položku, zobrazí se úplná cesta tabulky nebo složky. Když najedete myší na ... , získáte možnosti konfigurace zabezpečení na úrovni řádků nebo zabezpečení na úrovni sloupců. Vodítka zabezpečení na úrovni řádků a zabezpečení na úrovni sloupců poskytují další informace o tom, jak to funguje.

   Sloupec Typ vám řekne typ vybrané položky. Jedná se o hodnoty: Schéma, Tabulka nebo Složka.

   Sloupec Oprávnění zobrazuje oprávnění udělená rolí každé položce. V současné době se podporuje pouze čtení .

   Sloupec Přístup k datům označuje, jestli se u položky použijí nějaká omezení na úrovni řádků nebo sloupců. Ikona se zámkem a vodorovnými čárami označuje, že je použito zabezpečení na úrovni řádků, zatímco ikona se zámkem a svislými čárami označuje, že je použito zabezpečení na úrovni sloupců.

5. Pokud chcete upravit data zahrnutá v roli, vyberte Přidat data.

   Tato akce otevře dialogové okno pro výběr tabulky a složky.

6. Zaškrtnutím nebo zrušením zaškrtnutí tabulek nebo složek je můžete přidat nebo odebrat z role.

7. Výběrem možnosti Přidat data potvrďte výběry.

8. Výběrem karty Členové v roli zobrazíte členy role.

   Sloupec Členové zobrazuje profilový obrázek a název člena.

   Sloupec Typ označuje, zda je člen uživatelem nebo skupinou.

   Přidání pomocí sloupce označuje, jestli byl uživatel přidán prostřednictvím svého e-mailu jako člena role, nebo zahrnutý jako součást skupiny oprávnění lakehouse. Další informace o přidávání uživatelů pomocí oprávnění k položce naleznete v tématu Přiřazení virtuálních členů.

9. Pokud chcete upravit členy role, vyberte Přidat členy.

10. Pokud chcete přidat členy ručně, zadejte jméno nebo e-mail do textového pole Přidat členy do textového pole role. V navrhovaném seznamu vyberte správný název. Potom výběrem ikony zaškrtnutí potvrďte výběr nebo výběrem ikony X výběr zrušte.

11. Pokud chcete odebrat uživatele z role, vyberte další možnosti (...) vedle jména a vyberte Odebrat z role.

Jakékoli změny členství v rolích se role aktualizují okamžitě. Oznámení zaznamená úspěch nebo selhání jakýchkoli změn.

Odstranění role

Pomocí následujícího postupu odstraňte roli přístupu k datům OneLake.

1. Otevřete jezero, ve kterém chcete definovat zabezpečení.

2. V nabídce Lakehouse vyberte Spravovat zabezpečení OneLake (Preview ).

3. V podokně Zabezpečení OneLake (Preview) zaškrtněte políčko vedle rolí, které chcete odstranit.

4. Vyberte Odstranit a počkejte na oznámení, že se role úspěšně odstranily.

Přiřazení člena nebo skupiny

Role zabezpečení OneLake podporuje dvě metody přidání uživatelů do role. Hlavní metodou je přidání uživatelů nebo skupin přímo do role pomocí pole Přidat osoby nebo skupiny na stránce Přiřadit roli . Druhým je vytvoření virtuálních členství se skupinami oprávnění pomocí rozšířeného ovládacího prvku konfigurace.

Přidání uživatelů přímo do role přidá uživatele jako explicitní členy role. Tito uživatelé se zobrazí se svým jménem a obrázkem zobrazeným v seznamu členů .

Virtuální členové umožňují dynamicky upravovat členství role na základě oprávnění k položce infrastruktury uživatelů. Výběrem možnosti Pokročilá konfigurace a výběrem oprávnění přidáte libovolného uživatele v pracovním prostoru Prostředky infrastruktury, který má všechna vybraná oprávnění jako implicitní člen role. Pokud jste například vybrali ReadAll, zapište všechny uživatele pracovního prostoru Fabric, který má oprávnění ReadAll a Write k položce, bude zahrnut jako člen role. To, kteří uživatelé jsou přidaní skupinou oprávnění, můžete zjistit tak, že se podíváte na sloupec Přidané pomocí na kartě Členové na kartě Role . Tito členové se nedají ručně odebrat přímo. Pokud chcete odebrat člena přidaného prostřednictvím skupiny oprávnění, odeberte skupinu oprávnění z role.

Bez ohledu na typ členství, který používáte, role zabezpečení OneLake podporují přidávání jednotlivých uživatelů, skupin Microsoft Entra a objektů zabezpečení.

Přiřazení virtuálních členů

Oprávnění, která je možné použít pro virtuální členy, jsou:

• Čti
• Napiš
• Sdílet znovu
• Execute
• Číst vše

Pokud chcete přiřadit uživatele ke skupinám oprávnění, postupujte následovně:

1. Vyberte název role, ke které chcete přiřadit členy.

2. Na stránce podrobností role vyberte kartu Členové na kartě Role .

3. Vyberte Přidat členy.

4. Vyberte Pokročilou konfiguraci.

   

5. V poli Skupiny oprávnění zaškrtněte políčko vedle každého oprávnění, pro které chcete zahrnout uživatele.

   Každá skupina oprávnění zobrazuje počet uživatelů zahrnutých v této skupině.

   Výběr více skupin oprávnění zahrnuje uživatele se všemi vybranými požadovanými oprávněními.

6. Výběrem možnosti Přidat zahrňte skupiny a uložte roli.

Související obsah

• Přehled zabezpečení prostředků infrastruktury
• Přehled zabezpečení Fabric a OneLake
• Model řízení přístupu k datům