Γρήγορα αποτελέσματα με τους ρόλους πρόσβασης δεδομένων OneLake (προεπισκόπηση)

Επισκόπηση

Οι ρόλοι πρόσβασης δεδομένων OneLake για φακέλους είναι μια νέα δυνατότητα που σας επιτρέπει να εφαρμόζετε έλεγχο πρόσβασης βάσει ρόλων (RBAC) στα δεδομένα σας που είναι αποθηκευμένα στο OneLake. Μπορείτε να ορίσετε ρόλους ασφαλείας που εκχωρούν πρόσβαση ανάγνωσης σε συγκεκριμένους φακέλους μέσα σε ένα στοιχείο Fabric και να τους εκχωρήσετε σε χρήστες ή ομάδες. Τα δικαιώματα πρόσβασης καθορίζουν τους φακέλους που βλέπουν οι χρήστες κατά την πρόσβαση στην προβολή λίμνης των δεδομένων, είτε μέσω του lakehouse UX, σημειωματάριων ή OneLake API.

Οι χρήστες Fabric στους ρόλους Διαχείριση, Μέλος ή Συμβάλλων μπορούν να ξεκινήσουν δημιουργώντας ρόλους πρόσβασης δεδομένων OneLake για την εκχώρηση πρόσβασης μόνο σε συγκεκριμένους φακέλους σε ένα lakehouse. Για να εκχωρήσετε πρόσβαση σε δεδομένα σε μια λίμνη, προσθέστε χρήστες σε έναν ρόλο πρόσβασης δεδομένων. Οι χρήστες που δεν αποτελούν μέρος ενός ρόλου πρόσβασης δεδομένων δεν βλέπουν δεδομένα σε αυτή τη λίμνη.

Σημείωμα

Η ασφάλεια ρόλου πρόσβασης δεδομένων ισχύει ΜΟΝΟ για τους χρήστες που αποκτούν απευθείας πρόσβαση στο OneLake. Τα στοιχεία fabric, όπως το τελικό σημείο SQL, τα σημασιολογικά μοντέλα και οι Αποθήκες έχουν τα δικά τους μοντέλα ασφαλείας και έχουν πρόσβαση στο OneLake μέσω μιας πληρεξούσιου ταυτότητας. Αυτό σημαίνει ότι οι χρήστες μπορούν να βλέπουν διαφορετικά στοιχεία σε κάθε φόρτο εργασίας, εάν τους έχει δοθεί πρόσβαση σε πολλαπλά στοιχεία.

Πώς μπορείτε να επιλέξετε

Όλες οι λίμνες στο Fabric έχουν απενεργοποιημένη τη δυνατότητα προεπισκόπησης των ρόλων πρόσβασης δεδομένων από προεπιλογή. Η δυνατότητα προεπισκόπησης έχει ρυθμιστεί βάσει λίμνης. Το στοιχείο ελέγχου επιλογής επιτρέπει σε μια μοναδική λίμνη να δοκιμάσει την προεπισκόπηση χωρίς να την ενεργοποιήσει σε οποιεσδήποτε άλλες λιμνοθάσπιτες ή στοιχεία Fabric.

Για να ενεργοποιήσετε την προεπισκόπηση, πρέπει να είστε Διαχείριση, Μέλος ή Συμβάλλων στον χώρο εργασίας. Μεταβείτε σε μια λίμνη και επιλέξτε το κουμπί Διαχείριση πρόσβασης δεδομένων OneLake (προεπισκόπηση) στην κορδέλα για να ανοίξετε το παράθυρο διαλόγου επιβεβαίωσης. Η προεπισκόπηση των ρόλων πρόσβασης δεδομένων δεν είναι συμβατή με την προεπισκόπηση κοινής χρήσης εξωτερικών δεδομένων. Εάν δεν έχετε πρόβλημα με την αλλαγή, επιλέξτε Συνέχεια. Ανοίγει η UX διαχείρισης ρόλων και η δυνατότητα είναι πλέον ενεργοποιημένη.

Η δυνατότητα προεπισκόπησης δεν είναι δυνατό να απενεργοποιηθεί όταν ενεργοποιηθεί.

Για να εξασφαλιστεί μια ομαλή εμπειρία συγκατάθεσης, όλοι οι χρήστες με δικαίωμα ανάγνωσης στα δεδομένα στο lakehouse συνεχίζουν να έχουν πρόσβαση ανάγνωσης. Η μετεγκατάσταση πρόσβασης γίνεται μέσω της δημιουργίας ενός προεπιλεγμένου ρόλου πρόσβασης δεδομένων με την ονομασία "DefaultReader". Χρησιμοποιώντας εικονικές ιδιότητες μέλους ρόλου, όλοι οι χρήστες που είχαν τα απαραίτητα δικαιώματα προβολής δεδομένων στο lakehouse (το δικαίωμα ReadAll) περιλαμβάνονται ως μέλη αυτού του προεπιλεγμένου ρόλου. Για να αρχίσετε να περιορίζετε την πρόσβαση σε αυτούς τους χρήστες, βεβαιωθείτε ότι ο ρόλος DefaultReader διαγράφεται ή ότι το δικαίωμα ReadAll καταργείται από τους χρήστες που αποκτούν πρόσβαση.

Σημαντικό

Βεβαιωθείτε ότι οι χρήστες που περιλαμβάνονται σε έναν ρόλο πρόσβασης δεδομένων δεν αποτελούν επίσης μέρος του ρόλου DefaultReader. Διαφορετικά, θα διατηρήσουν πλήρη πρόσβαση στα δεδομένα.

Ποιους τύπους δεδομένων μπορούν να εξασφαλιστούν;

Οι ρόλοι πρόσβασης δεδομένων OneLake μπορούν να χρησιμοποιηθούν για τη διαχείριση του OneLake με πρόσβαση ανάγνωσης σε φακέλους σε ένα lakehouse. Είναι δυνατή η πρόσβαση ανάγνωσης σε οποιονδήποτε φάκελο σε ένα lakehouse και δεν υπάρχει πρόσβαση σε έναν φάκελο στην προεπιλεγμένη κατάσταση. Το σύνολο ασφαλείας από ρόλους πρόσβασης δεδομένων ισχύει αποκλειστικά για πρόσβαση σε σχέση με συγκεκριμένα API OneLake ή OneLake. Για περισσότερες πληροφορίες, ανατρέξτε στο μοντέλο ελέγχου πρόσβασης δεδομένων.

Προαπαιτούμενα στοιχεία

Για να ρυθμίσετε τις παραμέτρους ασφαλείας για μια λίμνη, πρέπει να είστε Διαχείριση, Μέλος ή Συμβάλλων για τον χώρο εργασίας. Η δημιουργία ρόλων και η ανάθεση μελών τίθενται σε ισχύ μόλις αποθηκευτεί ο ρόλος, οπότε βεβαιωθείτε ότι θέλετε να εκχωρήσετε πρόσβαση πριν προσθέσετε κάποιον σε έναν ρόλο.

Οι ρόλοι πρόσβασης δεδομένων OneLake υποστηρίζονται μόνο για αντικείμενα lakehouse.

Δημιουργία ρόλου

1. Ανοίξτε το lakehouse όπου θέλετε να ορίσετε ασφάλεια.
2. Στη δεξιά πλευρά της κορδέλας lakehouse, επιλέξτε Διαχείριση πρόσβασης δεδομένων OneLake (προεπισκόπηση).
3. Στην επάνω αριστερή γωνία του τμήματος παραθύρου Διαχείριση πρόσβασης δεδομένων OneLake, επιλέξτε Νέος ρόλος και πληκτρολογήστε το όνομα ρόλου που θέλετε. Το όνομα του ρόλου έχει ορισμένους περιορισμούς:
   1. Το όνομα ρόλου μπορεί να περιέχει μόνο αλφαριθμητικούς χαρακτήρες.
   2. Το όνομα του ρόλου πρέπει να αρχίζει με γράμμα.
   3. Τα ονόματα δεν κάνουν διάκριση πεζών-κεφαλαίων και πρέπει να είναι μοναδικά.
   4. Το μέγιστο μήκος ονόματος είναι 128 χαρακτήρες.
4. Επιλέξτε το κουμπί εναλλαγής Όλοι οι φάκελοι αν θέλετε αυτός ο ρόλος να εφαρμόζεται σε όλους τους φακέλους σε αυτό το lakehouse.
   1. Αυτή η επιλογή περιλαμβάνει όλους τους φακέλους που θα προστεθούν στο μέλλον.
5. Επιλέξτε τους επιλεγμένους φακέλους εάν θέλετε μόνο αυτός ο ρόλος να ισχύει για τους επιλεγμένους φακέλους.
   1. Επιλέξτε τα πλαίσια δίπλα στους φακέλους στους οποία θέλετε να εφαρμοστεί ο ρόλος.
   2. Οι ρόλοι εκχωρούν πρόσβαση σε φακέλους. Για να επιτρέψετε σε έναν χρήστη να αποκτήσει πρόσβαση σε έναν φάκελο, επιλέξτε το πλαίσιο δίπλα του. Εάν ένας χρήστης δεν πρέπει να βλέπει έναν φάκελο, μην επιλέξετε το πλαίσιο.
   3. Κάτω αριστερά, επιλέξτε Αποθήκευση για να δημιουργήσετε τον ρόλο σας.
6. Στην επάνω αριστερή γωνία, επιλέξτε Ανάθεση ρόλου για να ανοίξετε το παράθυρο συμμετοχής ρόλων.
7. Προσθέστε άτομα, ομάδες ή διευθύνσεις ηλεκτρονικού ταχυδρομείου στο στοιχείο ελέγχου Προσθήκη ατόμων ή ομάδων . Για περισσότερες πληροφορίες, ανατρέξτε στο θέμα Ανάθεση μέλους ή ομάδας.
8. Επιλέξτε Προσθήκη για να μετακινήσετε την επιλογή σας στη λίστα Αντιστοιχισμένοι χρήστες και ομάδες . Η επιλογή Προσθήκη δεν αποθηκεύει ακόμα την επιλογή σας.
9. Επιλέξτε Αποθήκευση και περιμένετε την ειδοποίηση ότι οι ρόλοι θα δημοσιευτούν με επιτυχία.
10. Επιλέξτε το X στην επάνω δεξιά γωνία για να εξέλθετε από το τμήμα παραθύρου.

Επεξεργασία ρόλου

1. Ανοίξτε το lakehouse όπου θέλετε να ορίσετε ασφάλεια.
2. Στη δεξιά πλευρά της κορδέλας lakehouse, επιλέξτε Διαχείριση πρόσβασης δεδομένων OneLake (προεπισκόπηση).
3. Στο τμήμα παραθύρου Διαχείριση πρόσβασης δεδομένων OneLake, τοποθετήστε τον δείκτη επάνω στον ρόλο που θέλετε να επεξεργαστείτε και επιλέξτε τον.
4. Μπορείτε να αλλάξετε σε ποιους φακέλους έχει εκχωρηθεί πρόσβαση, επιλέγοντας ή κατα καταργήστε την επιλογή των πλαισίων ελέγχου δίπλα σε κάθε φάκελο.
5. Για να αλλάξετε τα άτομα, επιλέξτε Ανάθεση ρόλου. Για περισσότερες πληροφορίες, ανατρέξτε στο θέμα Ανάθεση μέλους ή ομάδας.
6. Για να προσθέσετε περισσότερα άτομα, πληκτρολογήστε ονόματα στο πλαίσιο Προσθήκη ατόμων ή ομάδων και επιλέξτε Προσθήκη.
7. Για να καταργήσετε άτομα, επιλέξτε το όνομά τους στην περιοχή Αντιστοιχισμένοι χρήστες και ομάδες και επιλέξτε Κατάργηση.
8. Επιλέξτε Αποθήκευση και περιμένετε την ειδοποίηση ότι οι ρόλοι θα δημοσιευτούν με επιτυχία.
9. Επιλέξτε το X στην επάνω δεξιά γωνία για να εξέλθετε από το τμήμα παραθύρου.

Διαγραφή ρόλου

1. Ανοίξτε το lakehouse όπου θέλετε να ορίσετε ασφάλεια.
2. Στη δεξιά πλευρά της κορδέλας lakehouse, επιλέξτε Διαχείριση πρόσβασης δεδομένων OneLake (προεπισκόπηση).
3. Στο τμήμα παραθύρου Διαχείριση πρόσβασης δεδομένων OneLake, επιλέξτε το πλαίσιο δίπλα στους ρόλους που θέλετε να διαγράψετε.
4. Επιλέξτε Διαγραφή και περιμένετε την ειδοποίηση ότι οι ρόλοι θα διαγραφούν με επιτυχία.
5. Επιλέξτε το X στην επάνω δεξιά γωνία για να εξέλθετε από το τμήμα παραθύρου.

Ανάθεση μέλους ή ομάδας

Οι ρόλοι πρόσβασης δεδομένων OneLake υποστηρίζουν δύο διαφορετικές μεθόδους προσθήκης χρηστών σε έναν ρόλο. Η κύρια μέθοδος είναι με την προσθήκη χρηστών ή ομάδων απευθείας σε έναν ρόλο χρησιμοποιώντας το πλαίσιο Προσθήκη ατόμων ή ομάδας στη σελίδα Ανάθεση ρόλου. Η δεύτερη χρησιμοποιεί εικονικές συνδρομές με το στοιχείο ελέγχου Αυτόματη προσθήκη χρηστών με όλα αυτά τα δικαιώματα .

Η προσθήκη χρηστών απευθείας σε έναν ρόλο με το πλαίσιο Προσθήκη ατόμων ή ομάδας προσθέτει τους χρήστες ως ρητά μέλη του ρόλου. Αυτοί οι χρήστες εμφανίζονται μόνο με το όνομά τους και την εικόνα τους που εμφανίζονται στη λίστα Εκχωρημένοι χρήστες και ομάδες .

Τα εικονικά μέλη επιτρέπουν τη δυναμική προσαρμογή της ιδιότητας μέλους του ρόλου με βάση τα δικαιώματα στοιχείου Fabric των χρηστών. Επιλέγοντας Αυτόματη προσθήκη χρηστών με όλα αυτά τα δικαιώματα και επιλέγοντας ένα δικαίωμα, προσθέτετε οποιονδήποτε χρήστη στον χώρο εργασίας Fabric ο οποίος έχει όλα τα επιλεγμένα δικαιώματα ως έμμεσο μέλος του ρόλου. Για παράδειγμα, εάν επιλέξετε ReadAll, Write τότε οποιοσδήποτε χρήστης του χώρου εργασίας Fabric που έχει δικαιώματα ReadAll AND Write στο lakehouse θα συμπεριληφθεί ως μέλος του ρόλου. Μπορείτε να δείτε ποιοι χρήστες προστίθενται ως εικονικά μέλη, αναζητώντας το κείμενο "Εκχωρήθηκε από δικαιώματα χώρου εργασίας" κάτω από το όνομά τους στη λίστα Εκχωρημένα άτομα και ομάδες . Αυτά τα μέλη δεν μπορούν να καταργηθούν με μη αυτόματο τρόπο και πρέπει να ανακαλέσουν το αντίστοιχο δικαίωμα Fabric προκειμένου να μην εκχωρηθούν.

Ανεξάρτητα από τον τύπο ιδιότητας μέλους, οι ρόλοι πρόσβασης δεδομένων υποστηρίζουν την προσθήκη μεμονωμένων χρηστών, ομάδων Microsoft Entra και αρχών ασφαλείας.

Ανάθεση μελών

Για να μεταβείτε στη σελίδα ανάθεσης μελών, υπάρχουν δύο τρόποι:

Μέθοδος 1

1. Επιλέξτε το όνομα του ρόλου στον οποίο θέλετε να αντιστοιχίσετε μέλη.
2. Στο επάνω μέρος της σελίδας λεπτομερειών ρόλου, επιλέξτε Ανάθεση ρόλου.

Μέθοδος 2

1. Από τη λίστα ρόλων, επιλέξτε το πλαίσιο ελέγχου δίπλα στον ρόλο στον οποίο θέλετε να αντιστοιχίσετε μέλη.
2. Επιλέξτε Ανάθεση.

Απευθείας ανάθεση χρηστών

Από τη σελίδα Ανάθεση ρόλου , μπορείτε να προσθέσετε μέλη ή ομάδες πληκτρολογώντας το όνομά τους ή τη διεύθυνση ηλεκτρονικού ταχυδρομείου τους στο πλαίσιο Προσθήκη ατόμων ή ομάδων . Επιλέξτε το αποτέλεσμα στο οποίο θέλετε να επιλέξετε αυτόν τον χρήστη. Μπορείτε να επαναλάβετε αυτό το βήμα για όσους χρήστες θέλετε. Εάν επιλέξατε λάθος χρήστες, μπορείτε να επιλέξετε το X δίπλα στην καταχώρηση τους για να τους καταργήσετε από το πλαίσιο ή να επιλέξετε Απαλοιφή για να καταργήσετε όλες τις καταχωρήσεις. Όταν τελειώσετε, επιλέξτε Προσθήκη για να μετακινήσετε τους επιλεγμένους χρήστες στη λίστα πρόσβασης. Η προσθήκη τους στη λίστα δεν αποθηκεύεται ακόμα. Είναι μια προεπισκόπηση της λίστας μελών ρόλου όταν προστεθούν αυτοί οι χρήστες.

Για να δημοσιεύσετε τις αλλαγές πρόσβασης, επιλέξτε Αποθήκευση στο κάτω μέρος του παραθύρου.

Εκχώρηση εικονικών μελών

Για να προσθέσετε εικονικά μέλη, χρησιμοποιήστε το πλαίσιο Αυτόματη προσθήκη χρηστών με όλα αυτά τα δικαιώματα . Επιλέξτε το πλαίσιο για να ανοίξετε τον επιλογέα αναπτυσσόμενης λίστας για να επιλέξετε τα δικαιώματα Fabric για απεικόνιση. Οι χρήστες εικονικοποιούνται εάν έχουν όλα τα επιλεγμένα δικαιώματα.

Τα δικαιώματα που μπορούν να χρησιμοποιηθούν για την απεικόνιση είναι τα εξής:

• Αναγνωσμένη
• Εγγραφή
• Επανάληψη κοινής χρήσης
• Εκτέλεση
• ReadAll
• ΠροβολήOutput
• ViewLogs

Όταν επιλέγεται ένα δικαίωμα, τα εικονικά μέλη εμφανίζονται στη λίστα Εκχωρημένα άτομα και ομάδες . Οι χρήστες έχουν κείμενο δίπλα στο όνομά τους, το οποίο υποδεικνύει ότι τους έχουν εκχωρηθεί δικαιώματα χώρου εργασίας. Αυτοί οι χρήστες δεν μπορούν να καταργηθούν με μη αυτόματο τρόπο από την ανάθεση ρόλου. Αντί για αυτό, καταργήστε τα αντίστοιχα δικαιώματα από το στοιχείο ελέγχου απεικόνισης ή καταργήστε το δικαίωμα Fabric.

Γνωστά προβλήματα

Η δυνατότητα προεπισκόπησης κοινής χρήσης εξωτερικών δεδομένων (σύνδεση) δεν είναι συμβατή με την προεπισκόπηση των ρόλων πρόσβασης δεδομένων. Όταν ενεργοποιείτε την προεπισκόπηση των ρόλων πρόσβασης δεδομένων σε ένα lakehouse, τυχόν υπάρχοντες εξωτερικοί κοινόχρηστοι χώροι δεδομένων ενδέχεται να πάψετε να λειτουργούν.

Σχετικό περιεχόμενο

• Επισκόπηση ασφαλείας Fabric

• Επισκόπηση ασφαλείας Fabric και OneLake

• Μοντέλο Έλεγχος πρόσβασης δεδομένων