Σημείωση
Η πρόσβαση σε αυτήν τη σελίδα απαιτεί εξουσιοδότηση. Μπορείτε να δοκιμάσετε να εισέλθετε ή να αλλάξετε καταλόγους.
Η πρόσβαση σε αυτήν τη σελίδα απαιτεί εξουσιοδότηση. Μπορείτε να δοκιμάσετε να αλλάξετε καταλόγους.
Αυτό το έγγραφο παρέχει έναν λεπτομερή οδηγό για το πώς λειτουργεί το μοντέλο ελέγχου πρόσβασης ασφαλείας OneLake. Περιέχει λεπτομέρειες σχετικά με τον τρόπο δομής των ρόλων, τον τρόπο εφαρμογής τους στα δεδομένα και την ενοποίηση με άλλες δομές εντός του Microsoft Fabric.
Ρόλοι ασφαλείας OneLake
Η ασφάλεια OneLake χρησιμοποιεί ένα μοντέλο ελέγχου πρόσβασης βάσει ρόλων (RBAC) για τη διαχείριση της πρόσβασης σε δεδομένα στο OneLake. Κάθε ρόλος αποτελείται από πολλά βασικά στοιχεία.
- Δακτυλογραφώ: Εάν ο ρόλος παρέχει πρόσβαση (GRANT) ή καταργεί την πρόσβαση (DENY). Υποστηρίζονται μόνο ρόλοι τύπου GRANT.
- Άδεια: Η συγκεκριμένη ενέργεια ή ενέργειες που χορηγούνται ή απορρίπτονται.
- Εμβέλεια: Τα αντικείμενα OneLake που έχουν το δικαίωμα. Τα αντικείμενα είναι πίνακες, φάκελοι ή σχήματα.
- Μέλη: Οποιαδήποτε ταυτότητα Microsoft Entra που έχει εκχωρηθεί στο ρόλο, όπως χρήστες, ομάδες ή ταυτότητες μη χρηστών. Ο ρόλος εκχωρείται σε όλα τα μέλη μιας ομάδας Microsoft Entra.
Με την ανάθεση ενός μέλους σε έναν ρόλο, αυτός ο χρήστης υπόκειται στη συνέχεια στα σχετικά δικαιώματα σχετικά με το εύρος αυτού του ρόλου. Επειδή η ασφάλεια OneLake χρησιμοποιεί ένα μοντέλο άρνησης από προεπιλογή, όλοι οι χρήστες ξεκινούν χωρίς πρόσβαση σε δεδομένα, εκτός εάν εκχωρηθεί ρητά από έναν ρόλο ασφαλείας OneLake.
Δικαιώματα και υποστηριζόμενα στοιχεία
Οι ρόλοι ασφαλείας OneLake υποστηρίζουν τα ακόλουθα δικαιώματα:
- Διαβάζω: Παρέχει στο χρήστη τη δυνατότητα ανάγνωσης δεδομένων από έναν πίνακα και προβολής των συσχετισμένων μετα-δεδομένων πίνακα και στηλών. Όσον αφορά την SQL, αυτό το δικαίωμα είναι ισοδύναμο τόσο με το VIEW_DEFINITION όσο και με το SELECT. Για περισσότερες πληροφορίες, ανατρέξτε στο θέμα Ασφάλεια μετα-δεδομένων.
Η ασφάλεια OneLake επιτρέπει στους χρήστες να ορίζουν ρόλους πρόσβασης δεδομένων μόνο για τα ακόλουθα στοιχεία Fabric.
| Υφασμάτινο αντικείμενο | Κατάσταση | Υποστηριζόμενα δικαιώματα |
|---|---|---|
| Lakehouse | Δημόσια προεπισκόπηση | Ανάγνωση, ΑνάγνωσηΕγγραφή |
| Azure Databricks Mirrored Catalog | Δημόσια προεπισκόπηση | Read |
Δικαιώματα ασφάλειας και χώρου εργασίας OneLake
Τα δικαιώματα χώρου εργασίας είναι το πρώτο όριο ασφαλείας για δεδομένα εντός του OneLake. Κάθε χώρος εργασίας αντιπροσωπεύει έναν μοναδικό τομέα ή μια περιοχή έργου όπου οι ομάδες μπορούν να συνεργαστούν σε δεδομένα. Μπορείτε να διαχειριστείτε την ασφάλεια στον χώρο εργασίας μέσω των ρόλων χώρου εργασίας Fabric. Μάθετε περισσότερα σχετικά με τον έλεγχο πρόσβασης βάσει ρόλων Fabric (RBAC): Ρόλοι χώρου εργασίας
Οι ρόλοι χώρου εργασίας Fabric παρέχουν δικαιώματα που ισχύουν για όλα τα στοιχεία στον χώρο εργασίας. Ο παρακάτω πίνακας περιγράφει τα βασικά δικαιώματα που επιτρέπονται από τους ρόλους χώρου εργασίας.
| Permission | Admin | Member | Contributor | Viewer |
|---|---|---|---|---|
| Προβολή αρχείων στο OneLake | Πάντα* Ναι | Πάντα* Ναι | Πάντα* Ναι | Όχι από προεπιλογή. Χρησιμοποιήστε την ασφάλεια OneLake για να εκχωρήσετε την πρόσβαση. |
| Εγγραφή αρχείων στο OneLake | Πάντα* Ναι | Πάντα* Ναι | Πάντα* Ναι | No |
| Δυνατότητα επεξεργασίας ρόλων ασφαλείας OneLake | Πάντα* Ναι | Πάντα* Ναι | No | No |
*Δεδομένου ότι οι ρόλοι Διαχειριστής χώρου εργασίας, Μέλος και Συμβάλλων εκχωρούν αυτόματα δικαιώματα Εγγραφής στο OneLake, παρακάμπτουν οποιαδήποτε δικαιώματα Ανάγνωσης ασφαλείας OneLake.
Οι ρόλοι χώρου εργασίας διαχειρίζονται την πρόσβαση σε δεδομένα επιπέδου ελέγχου, δηλαδή αλληλεπιδράσεις με τη δημιουργία και τη διαχείριση τεχνουργημάτων και δικαιωμάτων Fabric. Επιπλέον, οι ρόλοι χώρου εργασίας παρέχουν επίσης προεπιλεγμένα επίπεδα πρόσβασης σε στοιχεία δεδομένων χρησιμοποιώντας προεπιλεγμένους ρόλους ασφαλείας OneLake. (Λάβετε υπόψη ότι οι προεπιλεγμένοι ρόλοι ισχύουν μόνο για τους θεατές, καθώς ο διαχειριστής, το μέλος και ο συνεργάτης έχουν αναβαθμισμένη πρόσβαση μέσω του δικαιώματος εγγραφής) Ένας προεπιλεγμένος ρόλος είναι ένας κανονικός ρόλος ασφαλείας OneLake που δημιουργείται αυτόματα με κάθε νέο στοιχείο. Παρέχει στους χρήστες με συγκεκριμένα δικαιώματα χώρου εργασίας ή στοιχείου ένα προεπιλεγμένο επίπεδο πρόσβασης στα δεδομένα σε αυτό το στοιχείο. Για παράδειγμα, τα στοιχεία Lakehouse έχουν ρόλο DefaultReader που επιτρέπει στους χρήστες με το δικαίωμα ReadAll να βλέπουν δεδομένα στο Lakehouse. Αυτό εξασφαλίζει ότι οι χρήστες που έχουν πρόσβαση σε ένα νέο στοιχείο έχουν ένα βασικό επίπεδο πρόσβασης. Όλοι οι προεπιλεγμένοι ρόλοι χρησιμοποιούν μια δυνατότητα αναπαράστασης μελών, έτσι ώστε τα μέλη του ρόλου να είναι οποιοσδήποτε χρήστης σε αυτόν τον χώρο εργασίας με τα απαιτούμενα δικαιώματα. Για παράδειγμα, όλοι οι χρήστες με δικαίωμα ReadAll στο Lakehouse. Ο παρακάτω πίνακας δείχνει ποιοι είναι οι τυπικοί προεπιλεγμένοι ρόλοι. Τα στοιχεία ενδέχεται να έχουν εξειδικευμένους προεπιλεγμένους ρόλους που ισχύουν μόνο για αυτόν τον τύπο στοιχείου.
| Υφασμάτινο αντικείμενο | Όνομα ρόλου | Permission | Περιλαμβάνονται φάκελοι | Διορισμένα μέλη |
|---|---|---|---|---|
| Lakehouse | DefaultReader |
Read | Όλοι οι φάκελοι κάτω από Tables/ το και το Files/ |
Όλοι οι χρήστες με δικαίωμα ReadAll |
| Lakehouse | DefaultReadWriter |
Read | Όλοι οι φάκελοι | Όλοι οι χρήστες με δικαίωμα εγγραφής |
Note
Για να περιορίσετε την πρόσβαση σε συγκεκριμένους χρήστες ή συγκεκριμένους φακέλους, τροποποιήστε τον προεπιλεγμένο ρόλο ή καταργήστε τον και δημιουργήστε έναν νέο προσαρμοσμένο ρόλο.
Ασφάλεια OneLake και δικαιώματα στοιχείων
Εντός ενός χώρου εργασίας, τα στοιχεία Fabric μπορούν να έχουν δικαιώματα που ρυθμίζονται ξεχωριστά από τους ρόλους χώρου εργασίας. Μπορείτε να ρυθμίσετε τις παραμέτρους δικαιωμάτων είτε μέσω κοινής χρήσης ενός στοιχείου είτε με τη διαχείριση των δικαιωμάτων ενός στοιχείου. Τα παρακάτω δικαιώματα καθορίζουν τη δυνατότητα ενός χρήστη να εκτελεί ενέργειες σε δεδομένα στο OneLake. Για περισσότερες πληροφορίες σχετικά με την κοινή χρήση στοιχείων, ανατρέξτε στο θέμα Πώς λειτουργεί η κοινή χρήση του Lakehouse
| Permission | Μπορείτε να προβάλετε αρχεία στο OneLake; | Μπορεί να κάνει εγγραφή αρχείων στο OneLake; | Μπορεί να διαβάσει δεδομένα μέσω του τελικού σημείου ανάλυσης SQL; |
|---|---|---|---|
| Read | Όχι από προεπιλογή. Χρησιμοποιήστε την ασφάλεια OneLake για να εκχωρήσετε πρόσβαση. | No | No |
| ReadAll | Ναι μέσω του ρόλου DefaultReader. Χρησιμοποιήστε την ασφάλεια OneLake για να περιορίσετε την πρόσβαση. | No | Όχι* |
| Write | Yes | Yes | Yes |
| Εκτέλεση, Reshare, ViewOutput, ViewLogs | Δ/Υ - δεν είναι δυνατή η εκχώρηση από μόνη της | Δ/Υ - δεν είναι δυνατή η εκχώρηση από μόνη της | Δ/Υ - δεν είναι δυνατή η εκχώρηση από μόνη της |
*Εξαρτάται από τη λειτουργία τελικού σημείου ανάλυσης SQL.
Δημιουργία ρόλων
Μπορείτε να ορίσετε και να διαχειριστείτε ρόλους ασφαλείας OneLake μέσω των ρυθμίσεων πρόσβασης δεδομένων του Lakehouse.
Μάθετε περισσότερα στο Γρήγορα αποτελέσματα με τους ρόλους πρόσβασης δεδομένων.
Κινητήρας και πρόσβαση χρηστών σε δεδομένα
Η πρόσβαση στα δεδομένα στο OneLake πραγματοποιείται με έναν από τους δύο τρόπους:
- Μέσω ενός μηχανισμού ερωτημάτων Fabric ή
- Μέσω πρόσβασης χρήστη (Τα ερωτήματα από μηχανές που δεν είναι Fabric θεωρούνται πρόσβαση χρήστη)
Η ασφάλεια OneLake διασφαλίζει ότι τα δεδομένα διατηρούνται πάντα ασφαλή. Επειδή ορισμένες δυνατότητες ασφαλείας του OneLake, όπως η ασφάλεια σε επίπεδο γραμμών και στηλών, δεν υποστηρίζονται από λειτουργίες επιπέδου αποθήκευσης, δεν μπορούν να επιτραπούν όλοι οι τύποι πρόσβασης σε ασφαλή δεδομένα σε επίπεδο γραμμών ή στηλών. Αυτό εγγυάται ότι οι χρήστες δεν μπορούν να δουν γραμμές ή στήλες που δεν τους επιτρέπονται. Οι μηχανισμοί Microsoft Fabric έχουν τη δυνατότητα να εφαρμόζουν φιλτράρισμα ασφαλείας σε επίπεδο γραμμών και στηλών σε ερωτήματα δεδομένων. Αυτό σημαίνει ότι όταν ένας χρήστης υποβάλλει ερωτήματα για δεδομένα σε μια λίμνη ή άλλο στοιχείο με RLS ή CLS ασφαλείας OneLake, τα αποτελέσματα που βλέπει ο χρήστης καταργούν τις κρυφές γραμμές και στήλες. Για πρόσβαση χρήστη σε δεδομένα στο OneLake με RLS ή CLS, το ερώτημα αποκλείεται εάν ο χρήστης που ζητά πρόσβαση δεν επιτρέπεται να δει όλες τις γραμμές ή τις στήλες σε αυτόν τον πίνακα.
Ο παρακάτω πίνακας περιγράφει ποιοι μηχανισμοί Microsoft Fabric υποστηρίζουν φιλτράρισμα RLS και CLS.
| Μηχανή | Φιλτράρισμα RLS/CLS | Κατάσταση |
|---|---|---|
| Lakehouse | Yes | Δημόσια προεπισκόπηση |
| Σημειωματάρια Spark | Yes | Δημόσια προεπισκόπηση |
| Τελικό σημείο SQL Analytics σε "λειτουργία ταυτότητας χρήστη" | Yes | Δημόσια προεπισκόπηση |
| Σημασιολογικά μοντέλα που χρησιμοποιούν το DirectLake σε λειτουργία OneLake | Yes | Δημόσια προεπισκόπηση |
| Eventhouse | No | Προγραμματισμένη |
| Εξωτερικοί πίνακες αποθήκης δεδομένων | No | Προγραμματισμένη |
Λεπτομέρειες μοντέλου ελέγχου πρόσβασης ασφαλείας OneLake
Αυτή η ενότητα παρέχει λεπτομέρειες σχετικά με τον τρόπο με τον οποίο οι ρόλοι ασφαλείας OneLake εκχωρούν πρόσβαση σε συγκεκριμένα πεδία, τον τρόπο λειτουργίας αυτής της πρόσβασης και τον τρόπο επίλυσης της πρόσβασης σε πολλούς ρόλους και τύπους πρόσβασης.
Ασφάλεια σε επίπεδο πίνακα
Όλοι οι πίνακες OneLake αντιπροσωπεύονται από φακέλους στη λίμνη, αλλά δεν είναι όλοι οι φάκελοι στη λίμνη πίνακες από την οπτική γωνία των μηχανισμών ασφαλείας και ερωτημάτων OneLake στο Fabric. Για να θεωρηθεί έγκυρος πίνακας, πρέπει να πληρούνται οι ακόλουθες προϋποθέσεις:
- Ο φάκελος υπάρχει στον κατάλογο Tables/ ενός στοιχείου.
- Ο φάκελος περιέχει έναν φάκελο _delta_log με τα αντίστοιχα αρχεία JSON για τα μεταδεδομένα του πίνακα.
- Ο φάκελος δεν περιέχει θυγατρικές συντομεύσεις.
Σε όλους τους πίνακες που δεν πληρούν αυτά τα κριτήρια δεν θα επιτρέπεται η πρόσβαση, εάν έχει ρυθμιστεί η ασφάλεια σε επίπεδο πίνακα.
Ασφάλεια μεταδεδομένων
Η πρόσβαση ανάγνωσης σε δεδομένα της ασφάλειας OneLake παρέχει πλήρη πρόσβαση στα δεδομένα και τα μεταδεδομένα σε έναν πίνακα. Για χρήστες που δεν έχουν πρόσβαση σε πίνακα, τα δεδομένα δεν εκτίθενται ποτέ και γενικά τα μετα-δεδομένα δεν είναι ορατά. Αυτό ισχύει επίσης για την ασφάλεια σε επίπεδο στήλης και τη δυνατότητα ενός χρήστη να βλέπει ή να μην βλέπει μια στήλη σε αυτόν τον πίνακα. Ωστόσο, η ασφάλεια OneLake δεν εγγυάται ότι τα μετα-δεδομένα για έναν πίνακα δεν θα είναι προσβάσιμα, ειδικά στις ακόλουθες περιπτώσεις:
- Ερωτήματα τελικού σημείου SQL: Το τελικό σημείο ανάλυσης SQL χρησιμοποιεί την ίδια συμπεριφορά ασφαλείας μετα-δεδομένων με τον SQL Server. Αυτό σημαίνει ότι εάν ένας χρήστης δεν έχει πρόσβαση σε έναν πίνακα ή μια στήλη, το μήνυμα σφάλματος για αυτό το ερώτημα θα αναφέρει ρητά τα ονόματα πινάκων ή στηλών στα οποία ο χρήστης δεν έχει πρόσβαση.
- Σημασιολογικά μοντέλα: Η εκχώρηση δικαιωμάτων δόμησης σε ένα σημασιολογικό μοντέλο ενός χρήστη του επιτρέπει να βλέπει τα ονόματα πινάκων που περιλαμβάνονται στο μοντέλο, ανεξάρτητα από το αν ο χρήστης έχει πρόσβαση σε αυτά ή όχι. Επιπλέον, οι απεικονίσεις αναφοράς που περιέχουν κρυφές στήλες εμφανίζουν το όνομα της στήλης στο μήνυμα λάθους.
Μεταβίβαση δικαιωμάτων
Για κάθε δεδομένο φάκελο, τα δικαιώματα ασφαλείας OneLake μεταβιβάζονται πάντα σε ολόκληρη την ιεραρχία των αρχείων και των υποφακέλων του φακέλου.
Για παράδειγμα, εξετάστε την ακόλουθη ιεραρχία ενός lakehouse στο OneLake:
Tables/
──── (empty folder)
Files/
────folder1
│ │ file11.txt
│ │
│ └───subfolder11
│ │ file1111.txt
| │
│ └───subfolder111
| │ file1111.txt
│
└───folder2
│ file21.txt
Δημιουργείτε δύο ρόλους για αυτό το lakehouse.
Role1 εκχωρεί δικαίωμα ανάγνωσης στον φάκελο1 και Role2 εκχωρεί δικαίωμα ανάγνωσης στον φάκελο2.
Για τη δεδομένη ιεραρχία, τα δικαιώματα ασφαλείας OneLake και Role1Role2 μεταβιβάζονται με τον ακόλουθο τρόπο:
Ρόλος1: Ανάγνωση φακέλου1
│ │ file11.txt │ │ │ └───subfolder11 │ │ file1111.txt | │ │ └───subfolder111 | │ file1111.txtRole2: Ανάγνωση φακέλου2
│ file21.txt
Διέλευση και καταχώρηση στην ασφάλεια OneLake
Η ασφάλεια OneLake παρέχει αυτόματη διέλευση γονικών στοιχείων για να εξασφαλίζεται ότι ο εντοπισμός των δεδομένων είναι εύκολος. Η εκχώρηση σε έναν χρήστη δικαιωμάτων ανάγνωσης στον υποφάκελο11 εκχωρεί στον χρήστη τη δυνατότητα να παρατίθενται και να διανείμει τον γονικό κατάλογο1. Αυτή η λειτουργικότητα είναι παρόμοια με τα δικαιώματα φακέλου των Windows, όπου η παροχή πρόσβασης σε έναν υποφάκελο παρέχει εντοπισμό και διέλευση για τους γονικούς καταλόγους. Η λίστα και η διέλευση που παραχωρούνται στο γονικό στοιχείο δεν επεκτείνονται σε άλλα στοιχεία εκτός των άμεσων γονικών στοιχείων, εξασφαλίζοντας ότι διατηρούνται ασφαλείς και άλλοι φάκελοι.
Για παράδειγμα, εξετάστε την ακόλουθη ιεραρχία ενός lakehouse στο OneLake.
Tables/
──── (empty folder)
Files/
────folder1
│ │ file11.txt
│ │
│ └───subfolder11
│ │ file111.txt
| │
│ └───subfolder111
| │ file1111.txt
│
└───folder2
│ file21.txt
Για τη δεδομένη ιεραρχία, τα δικαιώματα ασφαλείας OneLake για τον "Ρόλο1" παρέχουν την ακόλουθη πρόσβαση. Η πρόσβαση σε file11.txt δεν είναι ορατή καθώς δεν είναι γονικό στοιχείο του υποφακέλου11. Επίσης, για τον Ρόλο2, δεν είναι ορατό ούτε file111.txt.
Role1: Ανάγνωση υποφάκελου11
Files/ ────folder1 │ │ │ └───subfolder11 │ │ file111.txt | │ │ └───subfolder111 | │ file1111.txtRole2: Ανάγνωση υποφάκελου111
Files/ ────folder1 │ │ │ └───subfolder11 | │ │ └───subfolder111 | │ file1111.txt
Για τις συντομεύσεις, η συμπεριφορά παράθεσης είναι ελαφρώς διαφορετική. Οι συντομεύσεις σε εξωτερικές προελεύσεις δεδομένων συμπεριφέρονται όμοια με τους φακέλους, ωστόσο, οι συντομεύσεις σε άλλες θέσεις OneLake έχουν εξειδικευμένη συμπεριφορά. Τα δικαιώματα προορισμού της συντόμευσης προσδιορίζουν την πρόσβαση σε μια συντόμευση OneLake. Κατά την παράθεση συντομεύσεων, δεν πραγματοποιείται κλήση για τον έλεγχο της πρόσβασης προορισμού. Κατά συνέπεια, κατά την παράθεση ενός καταλόγου, επιστρέφονται όλες οι εσωτερικές συντομεύσεις ανεξάρτητα από την πρόσβαση ενός χρήστη στον προορισμό. Όταν ένας χρήστης προσπαθεί να ανοίξει τη συντόμευση, αξιολογείται ο έλεγχος πρόσβασης και ο χρήστης βλέπει μόνο τα δεδομένα που έχει τα απαιτούμενα δικαιώματα για να δει. Για περισσότερες πληροφορίες σχετικά με τις συντομεύσεις, ανατρέξτε στην ενότητα ασφαλείας συντομεύσεων.
Εξετάστε την ακόλουθη ιεραρχία φακέλων που περιέχει συντομεύσεις.
Files/
────folder1
│
└───shortcut2
|
└───shortcut3
Ρόλος1: Ανάγνωση φακέλου1
Files/ ────folder1 │ └───shortcut2 | └───shortcut3Ρόλος2: Δεν έχουν οριστεί δικαιώματα
Files/ │ └───shortcut2 | └───shortcut3
Ασφάλεια σε επίπεδο γραμμών
Η ασφάλεια OneLake επιτρέπει στους χρήστες να καθορίζουν την ασφάλεια σε επίπεδο γραμμών γράφοντας κατηγορήματα SQL για να περιορίσουν τα δεδομένα που εμφανίζονται σε έναν χρήστη. Το RLS λειτουργεί εμφανίζοντας γραμμές όπου το κατηγόρημα αξιολογείται ως αληθές. Για περισσότερες πληροφορίες, ανατρέξτε στην ασφάλεια σε επίπεδο γραμμών.
Η ασφάλεια σε επίπεδο γραμμών αξιολογεί τα δεδομένα συμβολοσειράς ως χωρίς διάκριση πεζών-κεφαλαίων, χρησιμοποιώντας την ακόλουθη συρραφή για ταξινόμηση και συγκρίσεις: Latin1_General_100_CI_AS_KS_WS_SC_UTF8
Όταν χρησιμοποιείτε ασφάλεια σε επίπεδο γραμμών, βεβαιωθείτε ότι οι προτάσεις RLS είναι καθαρές και εύκολα κατανοητές. Χρησιμοποιήστε ακέραιες στήλες για ταξινόμηση και μεγαλύτερες ή μικρότερες από πράξεις. Αποφύγετε τις ισοδυναμίες συμβολοσειρών εάν δεν γνωρίζετε τη μορφή των δεδομένων εισόδου, ειδικά σε σχέση με χαρακτήρες unicode ή ευαισθησία τόνου.
Ασφάλεια επιπέδου στήλης
Η ασφάλεια OneLake υποστηρίζει τον περιορισμό της πρόσβασης σε στήλες καταργώντας (αποκρύπτοντας) την πρόσβαση ενός χρήστη σε μια στήλη. Μια κρυφή στήλη θεωρείται ότι δεν της έχουν εκχωρηθεί δικαιώματα, με αποτέλεσμα την προεπιλεγμένη πολιτική μη πρόσβασης. Οι κρυφές στήλες δεν θα είναι ορατές στους χρήστες και τα ερωτήματα σε δεδομένα που περιέχουν κρυφές στήλες δεν επιστρέφουν δεδομένα για αυτήν τη στήλη. Όπως σημειώνεται στην ασφάλεια μεταδεδομένων , υπάρχουν ορισμένες περιπτώσεις όπου τα μετα-δεδομένα μιας στήλης ενδέχεται να εξακολουθούν να είναι ορατά σε ορισμένα μηνύματα σφάλματος.
Η ασφάλεια σε επίπεδο στήλης ακολουθεί επίσης μια πιο αυστηρή συμπεριφορά στο τελικό σημείο SQL λειτουργώντας μέσω σημασιολογίας άρνησης. Η επιλογή "Άρνηση" σε μια στήλη στο τελικό σημείο SQL εξασφαλίζει ότι αποκλείεται κάθε πρόσβαση στη στήλη, ακόμα και αν συνδυάζονται πολλοί ρόλοι για να παραχωρήσουν πρόσβαση σε αυτήν. Ως αποτέλεσμα, το CLS στο τελικό σημείο SQL λειτουργεί χρησιμοποιώντας μια διασταύρωση μεταξύ όλων των ρόλων στους οποίους συμμετέχει ένας χρήστης αντί για τη συμπεριφορά συνένωσης που ισχύει για όλους τους άλλους τύπους δικαιωμάτων. Ανατρέξτε στην ενότητα Αξιολόγηση πολλών ρόλων ασφαλείας OneLake για περισσότερες πληροφορίες σχετικά με τον τρόπο συνδυασμού ρόλων.
Shortcuts
Επισκόπηση συντομεύσεων
Η ασφάλεια OneLake ενσωματώνεται με συντομεύσεις στο OneLake για να διασφαλίσει ότι τα δεδομένα εντός και εκτός του OneLake μπορούν να ασφαλιστούν εύκολα. Υπάρχουν δύο κύριες λειτουργίες ελέγχου ταυτότητας για συντομεύσεις:
- Συντομεύσεις διαβίβασης (SSO): Τα διαπιστευτήρια του χρήστη ερωτήματος αξιολογούνται σε σχέση με τον στόχο συντόμευσης για να προσδιοριστεί ποια δεδομένα επιτρέπεται να προβληθούν.
- Συντομεύσεις με ανάθεση: Η συντόμευση χρησιμοποιεί μια σταθερή πιστοποίηση για πρόσβαση στον προορισμό και ο χρήστης ερωτήματος αξιολογείται σε σχέση με την ασφάλεια του OneLake πριν από τον έλεγχο της πρόσβασης των διαπιστευτηρίων ανάθεσης στην προέλευση.
Επιπλέον, τα δικαιώματα ασφαλείας του OneLake αξιολογούνται κατά τη δημιουργία συντομεύσεων στο OneLake. Διαβάστε σχετικά με τα δικαιώματα συντόμευσης στο έγγραφο ασφαλείας συντόμευσης.
Ασφάλεια OneLake σε συντομεύσεις διέλευσης
Η ασφάλεια που έχει οριστεί σε ένα φάκελο OneLake ρέει πάντα σε οποιεσδήποτε εσωτερικές συντομεύσεις για να περιορίσει την πρόσβαση στη διαδρομή προέλευσης συντόμευσης. Όταν ένας χρήστης αποκτά πρόσβαση σε δεδομένα μέσω μιας συντόμευσης σε μια άλλη θέση OneLake, η ταυτότητα του καλούντα χρήστη χρησιμοποιείται για να εξουσιοδοτήσει την πρόσβαση στα δεδομένα στη διαδρομή προορισμού της συντόμευσης. Κατά συνέπεια, αυτός ο χρήστης πρέπει να έχει δικαιώματα ασφαλείας OneLake στη θέση προορισμού για να διαβάσει τα δεδομένα.
Important
Κατά την πρόσβαση σε συντομεύσεις μέσω σημασιολογικών μοντέλων Power BI που χρησιμοποιούν μηχανές DirectLake μέσω SQL ή T-SQL σε λειτουργία ταυτότητας με ανάθεση, η ταυτότητα του καλούντα χρήστη δεν μεταβιβάζεται στον προορισμό συντόμευσης. Διαβιβάζεται η ταυτότητα του καλούντε κατόχου του στοιχείου, αναθέτοντας την πρόσβαση στον καλούντα χρήστη. Για να επιλύσετε αυτό το πρόβλημα, χρησιμοποιήστε σημασιολογικά μοντέλα Power BI στη λειτουργία DirectLake σε κατάσταση λειτουργίας OneLake ή T-SQL στη λειτουργία ταυτότητας χρήστη.
Ο ορισμός δικαιωμάτων ασφαλείας OneLake για την εσωτερική συντόμευση δεν επιτρέπεται και πρέπει να οριστεί στον φάκελο προορισμού που βρίσκεται στο στοιχείο προορισμού. Το στοιχείο προορισμού πρέπει να είναι ένας τύπος στοιχείου που υποστηρίζει ρόλους ασφαλείας OneLake. Εάν το στοιχείο προορισμού δεν υποστηρίζει ασφάλεια OneLake, η πρόσβαση του χρήστη αξιολογείται με βάση το αν έχει το δικαίωμα ανάγνωσης Fabric ReadAll στο στοιχείο προορισμού. Οι χρήστες δεν χρειάζονται άδεια ανάγνωσης υφάσματος σε ένα στοιχείο για να έχουν πρόσβαση σε αυτό μέσω συντόμευσης.
Ασφάλεια OneLake σε συντομεύσεις με ανάθεση
Το OneLake υποστηρίζει τον ορισμό δικαιωμάτων για συντομεύσεις όπως ADLS, S3 και συντομεύσεις Dataverse. Σε αυτήν την περίπτωση, τα δικαιώματα εφαρμόζονται πάνω από το μοντέλο εξουσιοδότησης με ανάθεση που είναι ενεργοποιημένο για αυτόν τον τύπο συντόμευσης.
Ας υποθέσουμε ότι ο χρήστης1 δημιουργεί μια συντόμευση S3 σε μια λίμνη που δείχνει προς έναν φάκελο σε έναν κάδο AWS S3. Στη συνέχεια, ο χρήστης2 επιχειρεί να αποκτήσει πρόσβαση σε δεδομένα σε αυτήν τη συντόμευση.
| Εξουσιοδοτεί η σύνδεση S3 πρόσβαση για τον εξουσιοδοτημένο χρήστη1; | Εξουσιοδοτεί η ασφάλεια OneLake πρόσβαση για τον αιτούντα χρήστη2; | Αποτέλεσμα: Μπορεί ο χρήστης2 να αποκτήσει πρόσβαση σε δεδομένα σε συντόμευση S3; |
|---|---|---|
| Yes | Yes | Yes |
| No | No | No |
| No | Yes | No |
| Yes | No | No |
Τα δικαιώματα ασφαλείας OneLake μπορούν να οριστούν είτε για ολόκληρη την εμβέλεια της συντόμευσης είτε για επιλεγμένους υποφακέλους. Τα δικαιώματα που ορίζονται σε έναν φάκελο μεταβιβάζονται αναδρομικά σε όλους τους υποφακέλους, ακόμη και αν ο υποφάκελος βρίσκεται εντός της συντόμευσης. Η ασφάλεια που έχει οριστεί σε μια εξωτερική συντόμευση μπορεί να επεκταθεί ώστε να εκχωρεί πρόσβαση είτε σε ολόκληρη τη συντόμευση είτε σε οποιαδήποτε υποδιαδρομή μέσα στη συντόμευση. Μια άλλη εσωτερική συντόμευση που οδηγεί σε μια εξωτερική συντόμευση εξακολουθεί να απαιτεί από τον χρήστη να έχει πρόσβαση στην αρχική εξωτερική συντόμευση.
Σε αντίθεση με άλλους τύπους πρόσβασης στην ασφάλεια OneLake, ένας χρήστης που αποκτά πρόσβαση σε μια εξωτερική συντόμευση απαιτεί άδεια ανάγνωσης Fabric στο στοιχείο δεδομένων όπου βρίσκεται η εξωτερική συντόμευση. Αυτό είναι απαραίτητο για την ασφαλή επίλυση της σύνδεσης στο εξωτερικό σύστημα.
Μάθετε περισσότερα σχετικά με τις συντομεύσεις S3, ADLS και Dataverse στις συντομεύσεις OneLake.
Αξιολόγηση πολλαπλών ρόλων ασφαλείας OneLake
Οι χρήστες μπορούν να είναι μέλη πολλών διαφορετικών ρόλων ασφαλείας OneLake, καθένας από τους οποίους παρέχει τη δική του πρόσβαση σε δεδομένα. Ο συνδυασμός αυτών των ρόλων μαζί ονομάζεται "αποτελεσματικός ρόλος" και είναι αυτό που θα δει ένας χρήστης κατά την πρόσβαση σε δεδομένα στο OneLake. Οι ρόλοι συνδυάζονται στην ασφάλεια OneLake χρησιμοποιώντας ένα μοντέλο UNION ή λιγότερο περιοριστικό. Αυτό σημαίνει ότι εάν ο Ρόλος1 δίνει πρόσβαση στον Πίνακα Α και ο Ρόλος2 δίνει πρόσβαση στον Πίνακα Β, τότε ο χρήστης θα μπορεί να δει τόσο τον Πίνακα Α όσο και τον Πίνακα Β.
Οι ρόλοι ασφαλείας OneLake περιέχουν επίσης ασφάλεια σε επίπεδο γραμμών και στηλών, η οποία περιορίζει την πρόσβαση στις γραμμές και τις στήλες ενός πίνακα. Κάθε πολιτική RLS και CLS υπάρχει εντός ενός ρόλου και περιορίζει την πρόσβαση σε δεδομένα για όλους τους χρήστες εντός αυτού του μοναδικού ρόλου. Για παράδειγμα, εάν ο Ρόλος1 παρέχει πρόσβαση στον Πίνακα1, αλλά έχει RLS στον Πίνακα1 και εμφανίζει μόνο ορισμένες στήλες του Πίνακα1, τότε ο πραγματικός ρόλος για τον Ρόλο1 θα είναι τα υποσύνολα RLS και CLS του Πίνακα1. Αυτό μπορεί να εκφραστεί ως (R1ols, n, R1cls, n, R1rls), όπου n είναι η ΔΙΑΣΤΑΥΡΩΣΗ κάθε στοιχείου στο ρόλο.
Όταν ασχολείστε με πολλαπλούς ρόλους, το RLS και το CLS συνδυάζονται με μια σημασιολογία UNION στους αντίστοιχους πίνακες. Το CLS είναι μια άμεση ΕΝΩΣΗ των πινάκων που είναι ορατοί σε κάθε ρόλο. Το RLS συνδυάζεται σε κατηγορήματα χρησιμοποιώντας έναν τελεστή OR. Για παράδειγμα, WHERE city = 'Redmond' Ή city = 'Νέα Υόρκη'.
Για να αξιολογήσετε πολλούς ρόλους, ο καθένας με RLS ή CLS, κάθε ρόλος επιλύεται πρώτα με βάση την πρόσβαση που παρέχεται από τον ίδιο τον ρόλο. Αυτό σημαίνει αξιολόγηση της ΔΙΑΣΤΑΥΡΩΣΗΣ όλης της ασφάλειας σε επίπεδο αντικειμένου, γραμμών και στηλών. Στη συνέχεια, κάθε αξιολογούμενος ρόλος συνδυάζεται με όλους τους άλλους ρόλους στους οποίους είναι μέλος ένας χρήστης μέσω της λειτουργίας της ΕΝΩΣΗΣ. Η έξοδος είναι ο αποτελεσματικός ρόλος για αυτόν τον χρήστη. Αυτό μπορεί να εκφραστεί ως:
( (R1ols n R1cls n R1rls) u (R2ols n R2cls n R2rls) )
Τέλος, κάθε συντόμευση σε ένα λιμναίο σπίτι δημιουργεί ένα σύνολο συναγόμενων ρόλων που χρησιμοποιούνται για τη μετάδοση των δικαιωμάτων του στόχου συντόμευσης στο στοιχείο που ερωτάται. Οι συναγόμενοι ρόλοι λειτουργούν με παρόμοιο τρόπο με τους μη συναγόμενους ρόλους, με τη διαφορά ότι επιλύονται πρώτα στη θέση τους στον στόχο συντόμευσης πριν συνδυαστούν με ρόλους στη λίμνη συντόμευσης. Αυτό εξασφαλίζει ότι οποιαδήποτε μεταβίβαση δικαιωμάτων στο λιμναίο σπίτι συντόμευσης διακόπτεται και οι συναγόμενοι ρόλοι αξιολογούνται σωστά. Η πλήρης λογική συνδυασμού μπορεί στη συνέχεια να εκφραστεί ως:
( (R1ols n R1cls n R1rls) u (R2ols n R2cls n R2rls) ) n ( (R1'ols n R1'cls n R1'rls) u (R2'ols n R2'cls n R2'rls)) )
Όπου R1' και R2' είναι οι συναγόμενοι ρόλοι και R1 και R2 είναι οι συντομευμένοι ρόλοι της λίμνης.
Important
Εάν δύο ρόλοι συνδυάζονται έτσι ώστε οι στήλες και οι γραμμές να μην στοιχίζονται σε όλα τα ερωτήματα, η πρόσβαση αποκλείεται για να διασφαλιστεί ότι δεν θα διαρρέουν δεδομένα στον τελικό χρήστη.
Περιορισμοί ασφαλείας OneLake
Εάν αντιστοιχίσετε έναν ρόλο ασφαλείας OneLake σε έναν χρήστη-επισκέπτη B2B, πρέπει ρυθμίσετε τις παραμέτρους εξωτερικής συνεργασίας σας για το B2B στην εξωτερικήαναγνωριστικού Microsoft Entra . Η ρύθμιση πρόσβασης χρήστη-επισκέπτη πρέπει να οριστεί σε οι χρήστες-επισκέπτες να έχουν την ίδια πρόσβαση με τα μέλη (τα πιο περιεκτικά).
Η ασφάλεια OneLake δεν υποστηρίζει συντομεύσεις μεταξύ περιοχών. Τυχόν προσπάθειες πρόσβασης σε συντομεύσεις σε δεδομένα σε διαφορετικές περιοχές εκχωρημένων πόρων έχουν ως αποτέλεσμα 404 σφάλματα.
Εάν προσθέσετε μια λίστα διανομής σε έναν ρόλο στην ασφάλεια OneLake, το τελικό σημείο SQL δεν μπορεί να επιλύσει τα μέλη της λίστας για επιβολή πρόσβασης. Το αποτέλεσμα είναι ότι οι χρήστες δεν φαίνεται να είναι μέλη του ρόλου κατά την πρόσβαση στο τελικό σημείο SQL. Το DirectLake σε σημασιολογικά μοντέλα SQL υπόκειται επίσης σε αυτόν τον περιορισμό.
Για να υποβάλει ερώτημα σε δεδομένα από ένα σημειωματάριο Spark χρησιμοποιώντας Spark SQL, ο χρήστης πρέπει να έχει τουλάχιστον πρόσβαση στο πρόγραμμα προβολής στον χώρο εργασίας στον οποίο υποβάλλει ερώτημα.
Τα σημειωματάρια Spark απαιτούν το περιβάλλον να είναι 3.5 ή μεγαλύτερο και να χρησιμοποιεί τον χρόνο εκτέλεσης Fabric 1.3.
Η ασφάλεια OneLake δεν λειτουργεί με προστασία ιδιωτικών συνδέσμων.
Η δυνατότητα προεπισκόπησης κοινής χρήσης εξωτερικών δεδομένων δεν είναι συμβατή με την προεπισκόπηση ρόλων πρόσβασης δεδομένων. Όταν ενεργοποιείτε την προεπισκόπηση ρόλων πρόσβασης δεδομένων σε ένα λιμναίο σπίτι, τυχόν υπάρχοντα κοινόχρηστα στοιχεία εξωτερικών δεδομένων ενδέχεται να σταματήσουν να λειτουργούν.
Ο κατάλογος Azure Mirrored Databricks δεν υποστηρίζει τη λειτουργία διαχείρισης καταλόγου εάν η ασφάλεια OneLake είναι ενεργοποιημένη σε αυτό το στοιχείο. Αυτή η λειτουργία έρχεται τον Νοέμβριο του 2025.
Ο παρακάτω πίνακας παρέχει τους περιορισμούς για τους ρόλους πρόσβασης δεδομένων OneLake.
Scenario Limit Μέγιστος αριθμός ρόλων ασφαλείας OneLake ανά στοιχείο Fabric 250 ρόλοι ανά λίμνη Μέγιστος αριθμός μελών ανά ρόλο ασφαλείας OneLake 500 χρήστες ή ομάδες χρηστών ανά ρόλο Μέγιστος αριθμός δικαιωμάτων ανά ρόλο ασφαλείας OneLake 500 δικαιώματα ανά ρόλο
Λανθάνων χρόνος στην ασφάλεια OneLake
- Οι αλλαγές στους ορισμούς ρόλων χρειάζονται περίπου 5 λεπτά για να εφαρμοστούν.
- Οι αλλαγές σε μια ομάδα χρηστών σε έναν ρόλο ασφαλείας OneLake χρειάζονται περίπου μία ώρα για να εφαρμόσει το OneLake τα δικαιώματα του ρόλου στην ενημερωμένη ομάδα χρηστών.
- Ορισμένες μηχανές Fabric έχουν το δικό τους επίπεδο προσωρινής αποθήκευσης, επομένως ενδέχεται να χρειαστεί μια επιπλέον ώρα για την ενημέρωση της πρόσβασης σε όλα τα συστήματα.