Κοινοποίηση μέσω

Ασφάλεια σε επίπεδο στηλών στο OneLake (προεπισκόπηση)

Η ασφάλεια σε επίπεδο στήλης (CLS) είναι μια δυνατότητα της ασφάλειας OneLake (προεπισκόπηση) που σας επιτρέπει να έχετε πρόσβαση σε επιλεγμένες στήλες σε έναν πίνακα αντί για πλήρη πρόσβαση στον πίνακα. Το CLS σάς επιτρέπει να καθορίσετε ένα υποσύνολο πινάκων στους οποίους μπορούν να έχουν πρόσβαση οι χρήστες. Οποιεσδήποτε στήλες που καταργούνται από τη λίστα δεν είναι ορατές στους χρήστες.

Προαπαιτούμενα στοιχεία

  • Ένα στοιχείο στο OneLake με ενεργοποιημένη την ασφάλεια OneLake. Για περισσότερες πληροφορίες, ανατρέξτε στο θέμα Γρήγορα αποτελέσματα με τους ρόλους πρόσβασης δεδομένων OneLake.
  • Αλλάξτε το τελικό σημείο SQL analytics στο lakehouse σε λειτουργία ταυτότητας χρήστη μέσω της καρτέλας Ασφάλεια .
  • Για τη δημιουργία σημασιολογικών μοντέλων, χρησιμοποιήστε τα βήματα για να δημιουργήσετε ένα μοντέλο DirectLake.
  • Για μια πλήρη λίστα των περιορισμών, ανατρέξτε στην ενότητα γνωστών περιορισμών.

Επιβολή ασφάλειας σε επίπεδο στηλών

Ασφάλεια OneLake Το CLS επιβάλλεται με έναν από τους ακόλουθους δύο τρόπους:

  • Φιλτραρισμένα τραπέζια σε υφασμάτινες μηχανές: Τα ερωτήματα στις μηχανές Fabric, όπως τα σημειωματάρια Spark, έχουν ως αποτέλεσμα ο χρήστης να βλέπει μόνο τις στήλες που επιτρέπεται να βλέπει σύμφωνα με τους κανόνες CLS.
  • Αποκλεισμένη πρόσβαση σε πίνακες: Πίνακες με κανόνες CLS που εφαρμόζονται σε αυτούς δεν μπορούν να διαβαστούν εκτός των υποστηριζόμενων μηχανών Fabric.

Για τους φιλτραρισμένους πίνακες, ισχύουν οι ακόλουθες συμπεριφορές:

  • Οι κανόνες CLS δεν περιορίζουν την πρόσβαση σε χρήστες με ρόλους διαχειριστή, μέλους και συμβάλλοντος.
  • Εάν ο κανόνας CLS έχει ασυμφωνία με τον πίνακα στον οποίο ορίζεται, το ερώτημα αποτυγχάνει και δεν επιστρέφονται στήλες. Για παράδειγμα, εάν έχει οριστεί CLS για μια στήλη που δεν είναι μέρος του πίνακα.
  • Τα ερωτήματα πινάκων CLS αποτυγχάνουν με σφάλμα, εάν ένας χρήστης ανήκει σε δύο διαφορετικούς ρόλους και ένας από τους ρόλους διαθέτει ασφάλεια σε επίπεδο γραμμών (RLS).
  • Οι κανόνες CLS μπορούν να επιβληθούν μόνο για αντικείμενα τραπεζιού παρκέ Delta.
    • Οι κανόνες CLS που εφαρμόζονται σε αντικείμενα πίνακα που δεν είναι Delta αποκλείουν την πρόσβαση σε ολόκληρο τον πίνακα για τα μέλη του ρόλου.
  • Εάν ένας χρήστης εκτελέσει ένα select * ερώτημα σε έναν πίνακα όπου έχει πρόσβαση μόνο σε ορισμένες από τις στήλες, οι κανόνες CLS συμπεριφέρονται διαφορετικά ανάλογα με το μηχανισμό Fabric.
    • Σημειωματάρια Spark: Το ερώτημα είναι επιτυχές και εμφανίζει μόνο τις επιτρεπόμενες στήλες.
    • Τελικό σημείο ανάλυσης SQL: Η πρόσβαση στήλης αποκλείεται για τις στήλες στις οποίες δεν μπορεί να αποκτήσει πρόσβαση ο χρήστης.
    • Σημασιολογικά μοντέλα: Η πρόσβαση στηλών αποκλείεται για τις στήλες στις οποίες δεν μπορεί να αποκτήσει πρόσβαση ο χρήστης.

Ορισμός κανόνων ασφάλειας σε επίπεδο στηλών

Μπορείτε να ορίσετε την ασφάλεια σε επίπεδο στήλης ως μέρος ενός ρόλου ασφαλείας OneLake για οποιονδήποτε πίνακα παρκέ Delta στην ενότητα Πίνακες ενός στοιχείου. Το CLS καθορίζεται πάντα για έναν πίνακα και είναι είτε ενεργοποιημένο είτε απενεργοποιημένο. Από προεπιλογή, το CLS είναι απενεργοποιημένο και οι χρήστες έχουν πρόσβαση σε όλες τις στήλες. Οι χρήστες μπορούν να ενεργοποιήσουν το CLS και να καταργήσουν στήλες από τη λίστα για να ανακαλέσουν την πρόσβαση.

Σημαντικό

Η κατάργηση πρόσβασης σε μια στήλη δεν αρνείται την πρόσβαση σε αυτήν τη στήλη, εάν ένας άλλος ρόλος εκχωρήσει πρόσβαση σε αυτή.

Χρησιμοποιήστε τα παρακάτω βήματα για να ορίσετε ασφάλεια σε επίπεδο στηλών:

  1. Μεταβείτε στο στοιχείο δεδομένων σας και επιλέξτε Διαχείριση ασφάλειας OneLake (προεπισκόπηση).

  2. Επιλέξτε έναν υπάρχοντα ρόλο για τον οποίο θέλετε να ορίσετε ασφάλεια πίνακα ή φακέλου ή επιλέξτε Νέο για να δημιουργήσετε έναν νέο ρόλο.

  3. Στη σελίδα λεπτομερειών ρόλου, επιλέξτε περισσότερες επιλογές (...) δίπλα στον πίνακα για τον οποίο θέλετε να ορίσετε CLS και, στη συνέχεια, επιλέξτε ασφάλεια στήλης (προεπισκόπηση).

    Στιγμιότυπο οθόνης που εμφανίζει την επιλογή

  4. Από προεπιλογή, το CLS για έναν πίνακα είναι απενεργοποιημένο. Επιλέξτε Ενεργοποίηση CLS ή δημιουργήστε έναν νέο κανόνα για να τον ενεργοποιήσετε.

    Το περιβάλλον εργασίας χρήστη συμπληρώνεται με μια λίστα στηλών για αυτόν τον πίνακα που επιτρέπεται να βλέπουν οι χρήστες. Από προεπιλογή, εμφανίζει όλες τις στήλες.

  5. Για να περιορίσετε την πρόσβαση σε μια στήλη, επιλέξτε το πλαίσιο ελέγχου δίπλα στο όνομα στήλης και, στη συνέχεια, επιλέξτε Κατάργηση. Τουλάχιστον μία στήλη πρέπει να παραμείνει στη λίστα επιτρεπόμενων στηλών.

  6. Επιλέξτε Αποθήκευση για να ενημερώσετε τον ρόλο.

  7. Εάν θέλετε να προσθέσετε μια στήλη που καταργήθηκε, επιλέξτε Νέος κανόνας. Αυτή η ενέργεια προσθέτει μια νέα καταχώρηση κανόνα CLS στο τέλος της λίστας. Στη συνέχεια, χρησιμοποιήστε την αναπτυσσόμενη λίστα για να επιλέξετε τη στήλη που θέλετε να συμπεριλάβετε στην πρόσβαση.

  8. Αφού ολοκληρώσετε τις αλλαγές σας, επιλέξτε Αποθήκευση.

Ενεργοποίηση ασφάλειας OneLake για τελικό σημείο ανάλυσης SQL

Για να μπορέσετε να χρησιμοποιήσετε την ασφάλεια OneLake με το τελικό σημείο ανάλυσης SQL, πρέπει να ενεργοποιήσετε τη λειτουργία ταυτότητας χρήστη. Τα τελικά σημεία SQL analytics που δημιουργήθηκαν πρόσφατα θα μεταβούν από προεπιλογή στη λειτουργία ταυτότητας του χρήστη, επομένως αυτά τα βήματα πρέπει να ακολουθούνται για τα υπάρχοντα τελικά σημεία SQL analytics.

Σημείωση

Η μετάβαση στη λειτουργία ταυτότητας του χρήστη χρειάζεται να γίνει μόνο μία φορά ανά τελικό σημείο ανάλυσης SQL. Τα τελικά σημεία που δεν μεταβαίνουν στη λειτουργία ταυτότητας του χρήστη θα συνεχίσουν να χρησιμοποιούν μια ταυτότητα με ανάθεση για την αξιολόγηση των δικαιωμάτων.

  1. Μεταβείτε στο τελικό σημείο ανάλυσης SQL.

  2. Στην εμπειρία τελικού σημείου ανάλυσης SQL, επιλέξτε την καρτέλα Ασφάλεια στην επάνω κορδέλα.

  3. Επιλέξτε Ταυτότητα χρήστη στη λειτουργία πρόσβασης OneLake.

    Στιγμιότυπο οθόνης που εμφανίζει την επιλογή

  4. Στο μήνυμα, επιλέξτε Ναι, χρησιμοποιήστε την ταυτότητα του χρήστη.

    Στιγμιότυπο οθόνης που εμφανίζει ένα μήνυμα χρήστη που πρέπει να γίνει αποδεκτό για να ενεργοποιήσετε την ασφάλεια OneLake για πρόσβαση ανάγνωσης πίνακα.

Τώρα, το τελικό σημείο ανάλυσης SQL είναι έτοιμο για χρήση με την ασφάλεια OneLake.

Συνδυασμός ασφάλειας σε επίπεδο γραμμών και επιπέδου στήλης

Η ασφάλεια σε επίπεδο γραμμών και επιπέδου στήλης μπορεί να χρησιμοποιηθεί μαζί για τον περιορισμό της πρόσβασης των χρηστών σε έναν πίνακα. Ωστόσο, οι δύο πολιτικές πρέπει να εφαρμοστούν χρησιμοποιώντας έναν μοναδικό ρόλο ασφαλείας OneLake. Σε αυτό το σενάριο, η πρόσβαση στα δεδομένα περιορίζεται σύμφωνα με τους κανόνες που ορίζονται στον μοναδικό ρόλο.

Η ασφάλεια OneLake δεν υποστηρίζει τον συνδυασμό δύο ή περισσότερων ρόλων όπου ο ένας περιέχει κανόνες RLS και ένας άλλος περιέχει κανόνες CLS. Οι χρήστες που προσπαθούν να αποκτήσουν πρόσβαση σε πίνακες που αποτελούν μέρος ενός μη υποστηριζόμενου συνδυασμού ρόλων λαμβάνουν σφάλματα ερωτήματος.

  • Last updated on