Σημείωμα
Η πρόσβαση σε αυτήν τη σελίδα απαιτεί εξουσιοδότηση. Μπορείτε να δοκιμάσετε να εισέλθετε ή να αλλάξετε καταλόγους.
Η πρόσβαση σε αυτήν τη σελίδα απαιτεί εξουσιοδότηση. Μπορείτε να δοκιμάσετε να αλλάξετε καταλόγους.
Η ασφάλεια σε επίπεδο στήλης (CLS) είναι μια δυνατότητα της ασφάλειας OneLake που σας επιτρέπει να έχετε πρόσβαση σε επιλεγμένες στήλες σε έναν πίνακα αντί για πλήρη πρόσβαση στον πίνακα. Το CLS σάς επιτρέπει να καθορίσετε ένα υποσύνολο πινάκων στους οποίους μπορούν να έχουν πρόσβαση οι χρήστες. Τα δεδομένα σε στήλες που καταργούνται από τη λίστα δεν είναι ορατά στους χρήστες.
Προαπαιτούμενα στοιχεία
- Ένα στοιχείο δεδομένων που υποστηρίζει την ασφάλεια OneLake. Για μια λίστα με τους υποστηριζόμενους τύπους στοιχείων, ανατρέξτε στο θέμα Γρήγορα αποτελέσματα με την ασφάλεια OneLake.
- Ελέγξτε την ενότητα γνωστών περιορισμών.
Κατανόηση της ασφάλειας σε επίπεδο στήλης
Ασφάλεια OneLake Το CLS επιβάλλεται με έναν από τους ακόλουθους δύο τρόπους:
- Φιλτραρισμένα τραπέζια σε υφασμάτινες μηχανές: Τα ερωτήματα στις μηχανές Fabric, όπως τα σημειωματάρια Spark, έχουν ως αποτέλεσμα ο χρήστης να βλέπει μόνο τις στήλες που επιτρέπεται να βλέπει σύμφωνα με τους κανόνες CLS.
- Αποκλεισμένη πρόσβαση σε πίνακες: Οι πίνακες με κανόνες CLS που εφαρμόζονται σε αυτούς δεν μπορούν να διαβαστούν εκτός των υποστηριζόμενων μηχανισμών Fabric ή των εξουσιοδοτημένων μηχανισμών τρίτων κατασκευαστών που επιβάλλουν την ασφάλεια OneLake. Η πρόσβαση είναι αποκλεισμένη για μη εξουσιοδοτημένους κινητήρες.
Για τους φιλτραρισμένους πίνακες, ισχύουν οι ακόλουθες συμπεριφορές:
- Οι κανόνες CLS δεν περιορίζουν την πρόσβαση σε χρήστες με ρόλους διαχειριστή, μέλους και συμβάλλοντος.
- Εάν ο κανόνας CLS έχει ασυμφωνία με τον πίνακα στον οποίο ορίζεται, το ερώτημα αποτυγχάνει και δεν επιστρέφονται στήλες. Για παράδειγμα, εάν έχει οριστεί CLS για μια στήλη που δεν είναι μέρος του πίνακα.
- Τα ερωτήματα πινάκων CLS αποτυγχάνουν με σφάλμα, εάν ένας χρήστης ανήκει σε δύο διαφορετικούς ρόλους και ένας από τους ρόλους διαθέτει ασφάλεια σε επίπεδο γραμμών (RLS).
- Οι κανόνες CLS μπορούν να επιβληθούν μόνο για αντικείμενα τραπεζιού παρκέ Delta.
- Οι κανόνες CLS που εφαρμόζονται σε αντικείμενα πίνακα που δεν είναι Delta αποκλείουν την πρόσβαση σε ολόκληρο τον πίνακα για τα μέλη του ρόλου.
- Εάν ένας χρήστης εκτελέσει ένα
select *ερώτημα σε έναν πίνακα όπου έχει πρόσβαση μόνο σε ορισμένες από τις στήλες, οι κανόνες CLS συμπεριφέρονται διαφορετικά ανάλογα με το μηχανισμό Fabric.- Σημειωματάρια Spark: Το ερώτημα είναι επιτυχές και εμφανίζει μόνο τις επιτρεπόμενες στήλες.
- Τελικό σημείο ανάλυσης SQL: Η πρόσβαση στήλης αποκλείεται για τις στήλες στις οποίες δεν μπορεί να αποκτήσει πρόσβαση ο χρήστης.
- Σημασιολογικά μοντέλα: Η πρόσβαση στηλών αποκλείεται για τις στήλες στις οποίες δεν μπορεί να αποκτήσει πρόσβαση ο χρήστης.
- Το όνομα μιας ασφαλούς στήλης μπορεί να είναι ορατό σε ορισμένες εμπειρίες, ωστόσο οι τιμές δεδομένων δεν εμφανίζονται ποτέ.
Πρόσβαση σε δεδομένα από εξουσιοδοτημένους κινητήρες
Οι Υποστηριζόμενες μηχανές Fabric μπορούν να έχουν πρόσβαση σε πίνακες με κανόνες CLS που εφαρμόζονται σε αυτούς.
Συμβουλή
- Για να αποκτήσετε πρόσβαση σε δεδομένα από ένα τελικό σημείο ανάλυσης SQL, ενεργοποιήστε την ασφάλεια OneLake για τελικό σημείο ανάλυσης SQL.
- Για να αποκτήσετε πρόσβαση σε δεδομένα από ένα μοντέλο σημασιολογίας, το μοντέλο σημασιολογίας πρέπει να χρησιμοποιήσει το Direct Lake στο OneLake.
Οι εξουσιοδοτημένοι μηχανισμοί τρίτων μπορούν να ανακτήσουν αποτελεσματική πρόσβαση στήλης για έναν χρήστη από το OneLake χρησιμοποιώντας τα εξουσιοδοτημένα API του μηχανισμού και να επιβάλουν το CLS κατά τη στιγμή του ερωτήματος. Το OneLake παραμένει η μοναδική πηγή αλήθειας και οι ορισμοί CLS που έχουν συνταχθεί στο OneLake εφαρμόζονται με συνέπεια σε μηχανισμούς Fabric και εξουσιοδοτημένους εξωτερικούς μηχανισμούς.
Για περισσότερες πληροφορίες, ανατρέξτε στο θέμα Ενοποίηση μηχανισμού άλλου κατασκευαστή με την ασφάλεια OneLake.
Ορισμός κανόνων ασφάλειας σε επίπεδο στηλών
Μπορείτε να ορίσετε την ασφάλεια σε επίπεδο στήλης ως μέρος ενός ρόλου ασφαλείας OneLake για οποιονδήποτε πίνακα παρκέ Delta στην ενότητα Πίνακες ενός στοιχείου. Το CLS καθορίζεται πάντα για έναν πίνακα και είναι είτε ενεργοποιημένο είτε απενεργοποιημένο. Από προεπιλογή, το CLS είναι απενεργοποιημένο και οι χρήστες έχουν πρόσβαση σε όλες τις στήλες. Οι χρήστες μπορούν να ενεργοποιήσουν το CLS και να καταργήσουν στήλες από τη λίστα για να ανακαλέσουν την πρόσβαση.
Σημαντικό
Η κατάργηση πρόσβασης σε μια στήλη δεν αρνείται την πρόσβαση σε αυτήν τη στήλη, εάν ένας άλλος ρόλος εκχωρήσει πρόσβαση σε αυτή.
Χρησιμοποιήστε τα παρακάτω βήματα για να ορίσετε ασφάλεια σε επίπεδο στηλών:
Μεταβείτε στο στοιχείο δεδομένων σας και επιλέξτε Διαχείριση ασφάλειας OneLake.
Επιλέξτε έναν υπάρχοντα ρόλο για τον οποίο θέλετε να ορίσετε ασφάλεια πίνακα ή φακέλου ή επιλέξτε Νέο για να δημιουργήσετε έναν νέο ρόλο.
Στη σελίδα λεπτομερειών ρόλου, επιλέξτε περισσότερες επιλογές (...) δίπλα στον πίνακα για τον οποίο θέλετε να ορίσετε το CLS και, στη συνέχεια, επιλέξτε Ασφάλεια στήλης.
Από προεπιλογή, το CLS για έναν πίνακα είναι απενεργοποιημένο. Επιλέξτε Ενεργοποίηση CLS ή δημιουργήστε έναν νέο κανόνα για να τον ενεργοποιήσετε.
Το περιβάλλον εργασίας χρήστη συμπληρώνεται με μια λίστα στηλών για αυτόν τον πίνακα που επιτρέπεται να βλέπουν οι χρήστες. Από προεπιλογή, εμφανίζει όλες τις στήλες.
Για να περιορίσετε την πρόσβαση σε μια στήλη, επιλέξτε το πλαίσιο ελέγχου δίπλα στο όνομα στήλης και, στη συνέχεια, επιλέξτε Κατάργηση. Τουλάχιστον μία στήλη πρέπει να παραμείνει στη λίστα επιτρεπόμενων στηλών.
Επιλέξτε Αποθήκευση για να ενημερώσετε τον ρόλο.
Εάν θέλετε να προσθέσετε μια στήλη που καταργήθηκε, επιλέξτε Νέος κανόνας. Αυτή η ενέργεια προσθέτει μια νέα καταχώρηση κανόνα CLS στο τέλος της λίστας. Στη συνέχεια, χρησιμοποιήστε την αναπτυσσόμενη λίστα για να επιλέξετε τη στήλη που θέλετε να συμπεριλάβετε στην πρόσβαση.
Αφού ολοκληρώσετε τις αλλαγές σας, επιλέξτε Αποθήκευση.
Συνδυασμός ασφάλειας σε επίπεδο γραμμών και επιπέδου στήλης
Η ασφάλεια σε επίπεδο γραμμών και επιπέδου στήλης μπορεί να χρησιμοποιηθεί μαζί για τον περιορισμό της πρόσβασης των χρηστών σε έναν πίνακα. Ωστόσο, οι δύο πολιτικές πρέπει να εφαρμοστούν χρησιμοποιώντας έναν μοναδικό ρόλο ασφαλείας OneLake. Σε αυτό το σενάριο, η πρόσβαση στα δεδομένα περιορίζεται σύμφωνα με τους κανόνες που ορίζονται στον μοναδικό ρόλο.
Η ασφάλεια OneLake δεν υποστηρίζει τον συνδυασμό δύο ή περισσότερων ρόλων όπου ο ένας περιέχει κανόνες RLS και ένας άλλος περιέχει κανόνες CLS. Οι χρήστες που προσπαθούν να αποκτήσουν πρόσβαση σε πίνακες που αποτελούν μέρος ενός μη υποστηριζόμενου συνδυασμού ρόλων λαμβάνουν σφάλματα ερωτήματος.