Oversigt over OneLake-sikkerhed
OneLake er en hierarkisk data lake, f.eks. Azure Data Lake Storage (ADLS) Gen2 eller Windows-filsystemet. Denne struktur giver dig mulighed for at angive sikkerhed på forskellige niveauer i hierarkiet for at styre adgangen. Nogle niveauer i hierarkiet får særlig behandling, da de korrelerer med Fabric-begreber.
Arbejdsområde: et samarbejdsmiljø til oprettelse og administration af elementer.
Element: et sæt funktioner, der er samlet i en enkelt komponent. Et dataelement er en undertype af element, der gør det muligt at gemme data i det ved hjælp af OneLake.
Mapper: mapper i et element, der bruges til at gemme og administrere data.
Elementer er altid live i arbejdsområder og arbejdsområder live altid direkte under OneLake-navneområdet. Du kan visualisere denne struktur på følgende måde:
Tilladelser til arbejdsområde
Tilladelser til arbejdsområde giver mulighed for at definere adgang til alle elementer i arbejdsområdet. Der er fire forskellige arbejdsområderoller, som hver især giver forskellige typer adgang.
| Rolle | Kan tilføje administratorer? | Kan tilføje medlemmer? | Kan du skrive data og oprette elementer? | Kan du læse data? |
|---|---|---|---|---|
| Administration | Ja | Ja | Ja | Ja |
| Medlem | Nej | Ja | Ja | Ja |
| Bidragyder | Nr. | Nej | Ja | Ja |
| Seer | Nr. | Nej | Nej | Ja |
Bemærk
Du kan få vist lagerelementet med læse-/skriveroller, men du kan kun skrive til lagre ved hjælp af SQL-forespørgsler.
Du kan forenkle administrationen af Fabric-arbejdsområderoller ved at tildele dem til sikkerhedsgrupper. Med denne metode kan du styre adgangen ved at tilføje eller fjerne medlemmer fra sikkerhedsgruppen.
Elementtilladelser
Med delingsfunktionen kan du give en bruger direkte adgang til et element. Brugeren kan kun se dette element i arbejdsområdet og er ikke medlem af nogen arbejdsområderoller. Elementtilladelser giver adgang til at oprette forbindelse til elementet, og hvilke elementslutpunkter brugeren kan få adgang til.
| Tilladelse | Kan du se metadataene for elementet? | Kan du se data i SQL? | Kan du se data i OneLake? |
|---|---|---|---|
| Læst | Ja | Nr. | Nej |
| ReadData | Nej | Ja | Nej |
| Læs alle | Nr. | Nej | Ja* |
*Ikke relevant for elementer med OneLake-dataadgangsroller (prøveversion) aktiveret. Hvis prøveversionen er aktiveret, giver ReadAll kun adgang, hvis rollen DefaultReader er i brug. Hvis denne rolle redigeres eller slettes, tildeles der i stedet adgang på baggrund af de dataadgangsroller, som brugeren er en del af.
En anden måde at konfigurere tilladelser på er via siden Administrer tilladelser for et element. Ved hjælp af denne side kan du tilføje eller fjerne individuelle elementtilladelser for brugere eller grupper. De nøjagtige tilladelser, der er tilgængelige, bestemmes af elementtypen.
Beregningstilladelser
Dataadgang kan også gives via SQL-beregningsprogrammet i Microsoft Fabric. Den adgang, der er tildelt via SQL, gælder kun for brugere, der får adgang til data via SQL, men du kan bruge denne sikkerhed til at give visse brugere mere selektiv adgang. I den aktuelle tilstand understøtter SQL begrænsning af adgangen til bestemte tabeller og skemaer samt sikkerhed på række- og kolonneniveau.
Brugere, der får adgang til data via SQL, kan se andre resultater end at få adgang til data direkte i OneLake, afhængigt af de anvendte beregningstilladelser. For at forhindre dette skal du sikre, at en brugers elementtilladelser er konfigureret til kun at give dem adgang til enten SQL-slutpunktet (ved hjælp af ReadData) eller OneLake (ved hjælp af prøveversionen af ReadAll- eller dataadgangsroller).
I følgende eksempel får en bruger skrivebeskyttet adgang til et lakehouse via elementdeling. Brugeren tildeles SELECT-tilladelse til en tabel via SQL-analyseslutpunktet. Når brugeren forsøger at læse data via OneLake-API'erne, nægtes vedkommende adgang, fordi vedkommende ikke har tilstrækkelige tilladelser. Brugeren kan læse SQL SELECT-sætninger.
OneLake-dataadgangsroller (prøveversion)
OneLake-dataadgangsroller er en ny funktion, der giver dig mulighed for at anvende rollebaseret adgangskontrol (RBAC) på dine data, der er gemt i OneLake. Du kan definere sikkerhedsroller, der giver læseadgang til bestemte mapper i et Fabric-element, og tildele dem til brugere eller grupper. Adgangstilladelserne bestemmer, hvilke mapper brugerne får vist, når de får adgang til lake-visningen af dataene via lakehouse UX, notesbøger eller OneLake-API'er.
Stofbrugere i rollerne Administration, Medlem eller Bidragyder kan komme i gang ved at oprette OneLake-dataadgangsroller for kun at give adgang til bestemte mapper i et lakehouse. Hvis du vil give adgang til data i et lakehouse, skal du føje brugere til en dataadgangsrolle. Brugere, der ikke er en del af en dataadgangsrolle, kan ikke se nogen data i det pågældende lakehouse.
Få mere at vide om oprettelse af dataadgangsroller i Introduktion til dataadgangsroller.
Få mere at vide om sikkerhedsmodellen for adgangsroller Data Access Control Model.
Genvejssikkerhed
Genveje i Microsoft Fabric giver mulighed for forenklet datastyring, men du skal være opmærksom på nogle sikkerhedsovervejelser. Du kan få oplysninger om administration af genvejssikkerhed i dette dokument.
For OneLake-dataadgangsroller (prøveversion) modtager genveje en særlig behandling, afhængigt af genvejstypen. Adgangen til en OneLake-genvej styres altid af adgangsrollerne på destinationen for genvejen. Det betyder, at for en genvej fra LakehouseA til LakehouseB, sikkerheden af LakehouseB træder i kraft. Dataadgangsroller i LakehouseA kan ikke tildele eller redigere sikkerheden for genvejen til LakehouseB.
For eksterne genveje til Amazon S3 eller ADLS Gen2 konfigureres sikkerheden via dataadgangsroller i selve lakehouse'et. En genvej fra LakehouseA til en S3-bucket kan have dataadgangsroller konfigureret i LakehouseA. Det er vigtigt at bemærke, at det kun er rodniveauet for genvejen, der kan anvendes sikkerhed. Tildeling af adgang til undermapper for genvejen medfører fejl under oprettelse af roller.
Få mere at vide om sikkerhedsmodellen for genveje i dataadgangskontrolmodellen
Relateret indhold
Feedback
Kommer snart: I hele 2024 udfaser vi GitHub-problemer som feedbackmekanisme for indhold og erstatter det med et nyt feedbacksystem. Du kan få flere oplysninger under: https://aka.ms/ContentUserFeedback.
Indsend og få vist feedback om