Σημείωση
Η πρόσβαση σε αυτή τη σελίδα απαιτεί εξουσιοδότηση. Μπορείτε να δοκιμάσετε να συνδεθείτε ή να αλλάξετε καταλόγους.
Η πρόσβαση σε αυτή τη σελίδα απαιτεί εξουσιοδότηση. Μπορείτε να δοκιμάσετε να αλλάξετε καταλόγους.
Με την ασφάλεια OneLake, το Microsoft Fabric επεκτείνει τον τρόπο με τον οποίο οι οργανισμοί μπορούν να διαχειρίζονται και να επιβάλλουν πρόσβαση σε δεδομένα σε όλους τους φόρτους εργασίας. Αυτό το νέο πλαίσιο ασφαλείας παρέχει στους διαχειριστές μεγαλύτερη ευελιξία για τη ρύθμιση παραμέτρων δικαιωμάτων. Οι διαχειριστές μπορούν να επιλέξουν μεταξύ κεντρικής διαχείρισης μέσω του OneLake ή λεπτομερούς ελέγχου βάσει SQL εντός του τελικού σημείου ανάλυσης SQL.
Λειτουργίες πρόσβασης σε τελικό σημείο ανάλυσης SQL
Όταν χρησιμοποιείτε το τελικό σημείο SQL analytics, η επιλεγμένη λειτουργία πρόσβασης καθορίζει τον τρόπο επιβολής της ασφάλειας των δεδομένων. Το Fabric υποστηρίζει δύο διαφορετικά μοντέλα πρόσβασης, καθένα από τα οποία προσφέρει διαφορετικά οφέλη ανάλογα με τις λειτουργικές σας ανάγκες και τις ανάγκες συμμόρφωσης:
Λειτουργία ταυτότητας χρήστη: Επιβάλλει την ασφάλεια χρησιμοποιώντας ρόλους και πολιτικές OneLake. Σε αυτήν τη λειτουργία, το τελικό σημείο ανάλυσης SQL μεταβιβάζει την ταυτότητα του συνδεδεμένου χρήστη στο OneLake και η πρόσβαση ανάγνωσης διέπεται εξ ολοκλήρου από τους κανόνες ασφαλείας που ορίζονται στο OneLake. Υποστηρίζονται δικαιώματα επιπέδου SQL σε πίνακες, διασφαλίζοντας συνεπή διαχείριση σε εργαλεία όπως το Power BI, τα σημειωματάρια και το lakehouse.
Λειτουργία ταυτότητας με ανάθεση: Παρέχει πλήρη έλεγχο μέσω SQL. Σε αυτήν τη λειτουργία, το τελικό σημείο ανάλυσης SQL συνδέεται στο OneLake χρησιμοποιώντας την ταυτότητα του χώρου εργασίας ή του κατόχου του στοιχείου και η ασφάλεια διέπεται αποκλειστικά από δικαιώματα SQL που ορίζονται μέσα στη βάση δεδομένων. Αυτό το μοντέλο υποστηρίζει παραδοσιακές προσεγγίσεις ασφαλείας, συμπεριλαμβανομένων των GRANT, REVOKE, προσαρμοσμένων ρόλων, Row-Level Security και Dynamic Data Masking.
Κάθε λειτουργία υποστηρίζει διαφορετικά μοντέλα διακυβέρνησης. Η κατανόηση των συνεπειών τους είναι απαραίτητη για την επιλογή της σωστής προσέγγισης στο περιβάλλον Fabric σας.
Σύγκριση μεταξύ τρόπων πρόσβασης
Ακολουθεί ένας σαφής και συνοπτικός πίνακας σύγκρισης που εστιάζει στο πώς και πού ορίζετε την ασφάλεια σε λειτουργία ταυτότητας χρήστη έναντι της λειτουργίας ταυτότητας με ανάθεση, κατανεμημένη κατά τύπο αντικειμένου και πολιτικές πρόσβασης δεδομένων:
| Στόχος ασφάλειας | Λειτουργία ταυτότητας χρήστη | Λειτουργία ταυτότητας με ανάθεση |
|---|---|---|
| Πίνακες | Η πρόσβαση ελέγχεται από ρόλους ασφαλείας OneLake. Η SQL GRANT/REVOKE δεν επιτρέπεται. |
Πλήρης έλεγχος με χρήση SQL GRANT/REVOKE. |
| Θέα | Χρησιμοποιήστε το SQL GRANT/REVOKE για να εκχωρήσετε δικαιώματα. | Χρησιμοποιήστε το SQL GRANT/REVOKE για να εκχωρήσετε δικαιώματα. |
| Αποθηκευμένες διαδικασίες | Χρησιμοποιήστε το SQL GRANT EXECUTE για να εκχωρήσετε δικαιώματα. | Χρησιμοποιήστε το SQL GRANT EXECUTE για να εκχωρήσετε δικαιώματα. |
| Functions | Χρησιμοποιήστε το SQL GRANT EXECUTE για να εκχωρήσετε δικαιώματα. | Χρησιμοποιήστε το SQL GRANT EXECUTE για να εκχωρήσετε δικαιώματα. |
| ΑσφάλειαRow-Level (RLS) | Ορίζεται στο περιβάλλον εργασίας χρήστη του OneLake ως μέρος των ρόλων ασφαλείας του OneLake. | Ορίζεται χρησιμοποιώντας SQL CREATE SECURITY POLICY. |
| ΑσφάλειαColumn-Level (CLS) | Ορίζεται στο περιβάλλον εργασίας χρήστη του OneLake ως μέρος των ρόλων ασφαλείας του OneLake. | Ορίζεται χρησιμοποιώντας το SQL GRANT SELECT με λίστα στηλών. |
| Δυναμική μάσκα δεδομένων (DDM) | Δεν υποστηρίζεται στην ασφάλεια OneLake. | Ορίζεται χρησιμοποιώντας SQL ALTER TABLE με MASKED επιλογή. |
Λειτουργία ταυτότητας χρήστη στην ασφάλεια OneLake
Σε λειτουργία ταυτότητας χρήστη, το τελικό σημείο ανάλυσης SQL χρησιμοποιεί έναν μηχανισμό ελέγχου ταυτότητας διαβίβασης για την επιβολή πρόσβασης σε δεδομένα. Όταν ένας χρήστης συνδέεται στο τελικό σημείο ανάλυσης SQL, η ταυτότητα αναγνωριστικού Entra μεταβιβάζεται στο OneLake, το οποίο εκτελεί τον έλεγχο δικαιωμάτων. Όλες οι λειτουργίες ανάγνωσης σε πίνακες αξιολογούνται χρησιμοποιώντας τους κανόνες ασφαλείας που ορίζονται στο OneLake Lakehouse, όχι από δηλώσεις GRANT ή REVOKE επιπέδου SQL.
Αυτή η λειτουργία σάς επιτρέπει να διαχειρίζεστε την ασφάλεια κεντρικά, διασφαλίζοντας συνεπή επιβολή σε όλες τις εμπειρίες Fabric, συμπεριλαμβανομένου του τελικού σημείου Power BI, σημειωματαρίων, λιμνίων και αναλύσεων SQL. Έχει σχεδιαστεί για μοντέλα διακυβέρνησης όπου η πρόσβαση πρέπει να ορίζεται μία φορά στο OneLake και να γίνεται αυτόματα σεβαστή παντού.
Σε λειτουργία ταυτότητας χρήστη:
Η πρόσβαση στο τραπέζι διέπεται εξ ολοκλήρου από την ασφάλεια OneLake. Οι δηλώσεις SQL GRANT/REVOKE σε πίνακες παραβλέπονται.
Το RLS (Row-Level Security), το CLS (Column-Level Security) και το Object-Level Security ορίζονται όλα στην εμπειρία OneLake.
Τα δικαιώματα SQL επιτρέπονται για αντικείμενα εκτός δεδομένων, όπως προβολές, αποθηκευμένες διαδικασίες και συναρτήσεις, επιτρέποντας ευελιξία για τον ορισμό προσαρμοσμένης λογικής ή σημείων εισόδου σε δεδομένα που απευθύνονται στο χρήστη.
Οι λειτουργίες εγγραφής δεν υποστηρίζονται στο τελικό σημείο ανάλυσης SQL. Όλες οι εγγραφές πρέπει να πραγματοποιούνται μέσω του περιβάλλοντος εργασίας χρήστη του Lakehouse και διέπονται από ρόλους χώρου εργασίας (Διαχειριστής, Μέλος, Συνεργάτης).
Σημαντικό
Το τελικό σημείο ανάλυσης SQL απαιτεί μια αντιστοίχιση ένα προς ένα μεταξύ των δικαιωμάτων στοιχείων και των μελών σε ρόλο ασφαλείας OneLake για να συγχρονιστεί σωστά. Εάν εκχωρήσετε σε μια ταυτότητα πρόσβαση σε έναν ρόλο ασφαλείας OneLake, η ίδια ταυτότητα πρέπει να έχει δικαίωμα ανάγνωσης Fabric και στο lakehouse. Για παράδειγμα, εάν ένας χρήστης εκχωρήσει το "user123@microsoft.com" σε έναν ρόλο ασφαλείας OneLake, τότε το "user123@microsoft.com" πρέπει επίσης να εκχωρηθεί σε αυτό το lakehouse.
Συμπεριφορά ρόλου χώρου εργασίας
Οι χρήστες με ρόλο διαχειριστή, μέλους ή συμβάλλοντος σε επίπεδο χώρου εργασίας δεν υπόκεινται σε επιβολή ασφάλειας του OneLake. Αυτοί οι ρόλοι έχουν αυξημένα δικαιώματα και θα παρακάμψουν εντελώς τις πολιτικές RLS, CLS και OLS. Ακολουθήστε αυτές τις απαιτήσεις για να διασφαλίσετε ότι τηρείται η ασφάλεια του OneLake:
Αναθέστε στους χρήστες το ρόλο θεατή στο χώρο εργασίας ή
Μοιραστείτε το τελικό σημείο Lakehouse ή SQL analytics με χρήστες χρησιμοποιώντας δικαιώματα μόνο για ανάγνωση . Μόνο οι χρήστες με πρόσβαση μόνο για ανάγνωση φιλτράρουν τα ερωτήματά τους σύμφωνα με τους ρόλους ασφαλείας του OneLake.
Προτεραιότητα ρόλου: Η πιο επιτρεπτική πρόσβαση κερδίζει
Εάν ένας χρήστης ανήκει σε πολλούς ρόλους OneLake, ο πιο ανεκτικός ρόλος καθορίζει την αποτελεσματική πρόσβασή του. Για παράδειγμα:
Εάν ένας ρόλος παρέχει πλήρη πρόσβαση σε έναν πίνακα και ένας άλλος εφαρμόζει RLS για τον περιορισμό των γραμμών, το RLS δεν θα επιβληθεί.
Ο ευρύτερος ρόλος πρόσβασης έχει προτεραιότητα. Αυτή η συμπεριφορά διασφαλίζει ότι οι χρήστες δεν αποκλείονται ακούσια, αλλά απαιτεί προσεκτικό σχεδιασμό ρόλων για την αποφυγή διενέξεων. Συνιστάται να διατηρείτε τους περιοριστικούς και ανεκτικούς ρόλους αμοιβαία αποκλειόμενους κατά την επιβολή ελέγχων πρόσβασης σε επίπεδο γραμμών ή στηλών.
Για περισσότερες πληροφορίες, ανατρέξτε στο μοντέλο ελέγχου πρόσβασης δεδομένων για την ασφάλεια OneLake.
Συγχρονισμός ασφαλείας μεταξύ τελικού σημείου OneLake και SQL analytics
Ένα κρίσιμο στοιχείο της λειτουργίας ταυτότητας χρήστη είναι η υπηρεσία συγχρονισμού ασφαλείας. Αυτή η υπηρεσία παρασκηνίου παρακολουθεί τις αλλαγές που γίνονται στους ρόλους ασφαλείας στο OneLake και διασφαλίζει ότι αυτές οι αλλαγές αντικατοπτρίζονται στο τελικό σημείο ανάλυσης SQL.
Η υπηρεσία συγχρονισμού ασφαλείας είναι υπεύθυνη για τα εξής:
Εντοπισμός αλλαγών σε ρόλους OneLake, συμπεριλαμβανομένων νέων ρόλων, ενημερώσεων, εκχωρήσεων χρηστών και αλλαγών σε πίνακες.
Μετάφραση πολιτικών που ορίζονται από το OneLake (RLS, CLS, OLS) σε ισοδύναμες δομές ρόλων βάσεων δεδομένων συμβατές με SQL.
Διασφάλιση ότι τα αντικείμενα συντόμευσης (πίνακες που προέρχονται από άλλες λίμνες) έχουν επικυρωθεί σωστά, ώστε να τηρούνται οι αρχικές ρυθμίσεις ασφαλείας του OneLake, ακόμη και όταν η πρόσβαση γίνεται από απόσταση.
Αυτός ο συγχρονισμός διασφαλίζει ότι οι ορισμοί ασφαλείας του OneLake παραμένουν έγκυροι, εξαλείφοντας την ανάγκη για μη αυτόματη παρέμβαση σε επίπεδο SQL για την αναπαραγωγή της συμπεριφοράς ασφαλείας. Επειδή η ασφάλεια επιβάλλεται κεντρικά:
Δεν μπορείτε να ορίσετε RLS, CLS ή OLS απευθείας χρησιμοποιώντας την T-SQL σε αυτήν τη λειτουργία.
Μπορείτε ακόμα να εφαρμόσετε δικαιώματα SQL σε προβολές, συναρτήσεις και αποθηκευμένες διαδικασίες χρησιμοποιώντας προτάσεις GRANT ή EXECUTE.
Σφάλματα και επίλυση συγχρονισμού ασφαλείας
| Σενάριο | Συμπεριφορά σε λειτουργία ταυτότητας χρήστη | Συμπεριφορά σε λειτουργία κατ' εξουσιοδότηση | Διορθωτικά μέτρα | Σημειώσεις |
|---|---|---|---|---|
| Η πολιτική RLS αναφέρεται σε μια στήλη που έχει διαγραφεί ή μετονομαστεί | Σφάλμα: *Η πολιτική ασφαλείας σε επίπεδο γραμμών αναφέρεται σε μια στήλη που δεν υπάρχει πλέον.*Η βάση δεδομένων εισέρχεται σε κατάσταση σφάλματος μέχρι να διορθωθεί η πολιτική. | Σφάλμα: Μη έγκυρο όνομα <στήλης όνομα στήλης> | Ενημερώστε ή καταργήστε έναν ή περισσότερους ρόλους που επηρεάζονται ή επαναφέρετε τη στήλη που λείπει. | Η ενημέρωση θα πρέπει να γίνει στο lakehouse όπου δημιουργήθηκε ο ρόλος. |
| Η πολιτική CLS αναφέρεται σε μια στήλη που έχει διαγραφεί ή μετονομαστεί | Σφάλμα: *Η πολιτική ασφαλείας σε επίπεδο στήλης αναφέρεται σε μια στήλη που δεν υπάρχει πλέον.*Η βάση δεδομένων εισέρχεται σε κατάσταση σφάλματος μέχρι να διορθωθεί η πολιτική. | Σφάλμα: Μη έγκυρο όνομα <στήλης όνομα στήλης> | Ενημερώστε ή καταργήστε έναν ή περισσότερους ρόλους που επηρεάζονται ή επαναφέρετε τη στήλη που λείπει. | Η ενημέρωση θα πρέπει να γίνει στο lakehouse όπου δημιουργήθηκε ο ρόλος. |
| Η πολιτική RLS/CLS αναφέρεται σε έναν πίνακα που έχει διαγραφεί ή μετονομαστεί | Σφάλμα: Η πολιτική ασφαλείας αναφέρεται σε έναν πίνακα που δεν υπάρχει πλέον. | Δεν εμφανίστηκε σφάλμα. Το ερώτημα αποτυγχάνει χωρίς μηνύματα εάν λείπει πίνακας. | Ενημερώστε ή καταργήστε έναν ή περισσότερους ρόλους που επηρεάζονται ή επαναφέρετε τον πίνακα που λείπει. | Η ενημέρωση θα πρέπει να γίνει στο lakehouse όπου δημιουργήθηκε ο ρόλος. |
| Η πολιτική DDM (Dynamic Data Masking) αναφέρεται σε μια στήλη που έχει διαγραφεί ή μετονομαστεί | Το DDM που δεν υποστηρίζεται από το OneLake Security, πρέπει να υλοποιηθεί μέσω SQL. | Σφάλμα: Μη έγκυρο όνομα <στήλης όνομα στήλης> | Ενημερώστε ή καταργήστε έναν ή περισσότερους κανόνες DDM που επηρεάζονται ή επαναφέρετε τη στήλη που λείπει. | Ενημερώστε την πολιτική DDM στο τελικό σημείο ανάλυσης SQL. |
| Σφάλμα συστήματος (μη αναμενόμενη αποτυχία) | Σφάλμα: Παρουσιάστηκε μη αναμενόμενο σφάλμα συστήματος. Δοκιμάστε ξανά ή επικοινωνήστε με την υποστήριξη. | Σφάλμα: Παρουσιάστηκε εσωτερικό σφάλμα κατά την εφαρμογή αλλαγών πίνακα στην SQL. | Επαναλάβετε τη λειτουργία. Εάν το πρόβλημα παραμένει, επικοινωνήστε με την υποστήριξη της Microsoft. | ΔΙ |
| Ο χρήστης δεν έχει δικαιώματα για το αντικείμενο σχεδίασης | Σφάλμα: Ο χρήστης δεν έχει δικαιώματα για το αντικείμενο σχεδίασης | Σφάλμα: Ο χρήστης δεν έχει δικαιώματα για το αντικείμενο σχεδίασης | Δώστε στον χρήστη δικαίωμα objectID {objectID} για το τεχνούργημα. | Το αναγνωριστικό αντικειμένου πρέπει να ταιριάζει ακριβώς μεταξύ του μέλους ρόλου ασφαλείας OneLake και των δικαιωμάτων στοιχείου Fabric. Εάν μια ομάδα προστεθεί στην ιδιότητα μέλους ρόλου, τότε στην ίδια ομάδα πρέπει να εκχωρηθεί το δικαίωμα ανάγνωσης Fabric. Η προσθήκη ενός μέλους από αυτήν την ομάδα στο στοιχείο δεν υπολογίζεται ως άμεση αντιστοίχιση. |
| Η αρχή χρήστη δεν υποστηρίζεται. | Σφάλμα: Η αρχή χρήστη δεν υποστηρίζεται. | Σφάλμα: Η αρχή χρήστη δεν υποστηρίζεται. | Παρακαλώ αφαιρέστε το χρήστη {username} από το ρόλο DefaultReader | Αυτό το σφάλμα παρουσιάζεται εάν ο χρήστης δεν είναι πλέον έγκυρο αναγνωριστικό Entra, όπως εάν ο χρήστης έχει αποχωρήσει από τον οργανισμό σας ή έχει διαγραφεί. Καταργήστε τα από το ρόλο για να επιλύσετε αυτό το σφάλμα. |
Συμπεριφορά συντομεύσεων με συγχρονισμό ασφαλείας
Η ασφάλεια OneLake επιβάλλεται στην πηγή της αλήθειας, επομένως ο συγχρονισμός ασφαλείας απενεργοποιεί την αλυσίδα ιδιοκτησίας για πίνακες και προβολές που περιλαμβάνουν συντομεύσεις. Αυτό εξασφαλίζει ότι τα δικαιώματα του συστήματος προέλευσης αξιολογούνται και τηρούνται πάντα, ακόμη και για ερωτήματα από άλλη βάση δεδομένων.
Ως αποτέλεσμα:
Οι χρήστες πρέπει να έχουν έγκυρη πρόσβαση τόσο στην πηγή συντόμευσης (τρέχον τελικό σημείο ανάλυσης Lakehouse ή SQL) όσο και στον προορισμό όπου βρίσκονται φυσικά τα δεδομένα.
Εάν ο χρήστης δεν έχει άδεια από οποιαδήποτε πλευρά, τα ερωτήματα θα αποτύχουν με σφάλμα πρόσβασης.
Κατά τη σχεδίαση των εφαρμογών ή των προβολών που αναφέρονται σε συντομεύσεις, βεβαιωθείτε ότι οι αναθέσεις ρόλων έχουν ρυθμιστεί σωστά και στα δύο άκρα της σχέσης συντόμευσης.
Αυτός ο σχεδιασμός διατηρεί την ακεραιότητα ασφαλείας σε όλα τα όρια του Lakehouse, αλλά εισάγει σενάρια όπου ενδέχεται να προκύψουν αποτυχίες πρόσβασης εάν οι ρόλοι μεταξύ των Lakehouse δεν είναι ευθυγραμμισμένοι.
Λειτουργία ανάθεσης στην ασφάλεια OneLake
Στη λειτουργία ταυτότητας με ανάθεση, το τελικό σημείο ανάλυσης SQL χρησιμοποιεί το ίδιο μοντέλο ασφαλείας που υπάρχει σήμερα στο Microsoft Fabric. Η διαχείριση της ασφάλειας και των δικαιωμάτων γίνεται αποκλειστικά στο επίπεδο SQL και οι ρόλοι OneLake ή οι πολιτικές πρόσβασης δεν επιβάλλονται για πρόσβαση σε επίπεδο πίνακα. Όταν ένας χρήστης συνδέεται στο τελικό σημείο ανάλυσης SQL και εκδίδει ένα ερώτημα:
Η SQL επικυρώνει την πρόσβαση με βάση τα δικαιώματα SQL (GRANT, REVOKE, RLS, CLS, DDM, ρόλοι κ.λπ.).
Εάν το ερώτημα είναι εξουσιοδοτημένο, το σύστημα προχωρά στην πρόσβαση στα δεδομένα που είναι αποθηκευμένα στο OneLake.
Αυτή η πρόσβαση δεδομένων πραγματοποιείται χρησιμοποιώντας την ταυτότητα του κατόχου τελικού σημείου ανάλυσης Lakehouse ή SQL, γνωστού και ως λογαριασμού στοιχείου.
Σε αυτό το μοντέλο:
Ο συνδεδεμένος χρήστης δεν μεταβιβάζεται στο OneLake.
Όλη η επιβολή της πρόσβασης θεωρείται ότι γίνεται στο επίπεδο SQL.
Ο κάτοχος του στοιχείου είναι υπεύθυνος για την ύπαρξη επαρκών δικαιωμάτων στο OneLake για την ανάγνωση των υποκείμενων αρχείων εκ μέρους του φόρτου εργασίας.
Επειδή πρόκειται για μοτίβο ανάθεσης, οποιαδήποτε εσφαλμένη στοίχιση μεταξύ των δικαιωμάτων SQL και της πρόσβασης OneLake για τον κάτοχο οδηγεί σε αποτυχίες ερωτήματος. Αυτή η λειτουργία παρέχει πλήρη συμβατότητα με:
SQL GRANT/REVOKE σε όλα τα επίπεδα αντικειμένων
ΑσφάλειαRow-Level, ασφάλεια Column-Level καιδυναμική απόκρυψη δεδομένων που ορίζεται από SQL
Υπάρχοντα εργαλεία και πρακτικές T-SQL που χρησιμοποιούνται από DBA ή εφαρμογές
Πώς να αλλάξετε τη λειτουργία πρόσβασης OneLake
Η λειτουργία πρόσβασης καθορίζει τον τρόπο ελέγχου ταυτότητας και επιβολής της πρόσβασης σε δεδομένα κατά την υποβολή ερωτημάτων στο OneLake μέσω τελικού σημείου ανάλυσης SQL. Μπορείτε να κάνετε εναλλαγή μεταξύ λειτουργίας ταυτότητας χρήστη και λειτουργίας ταυτότητας με ανάθεση ακολουθώντας τα παρακάτω βήματα:
Πλοηγηθείτε στον χώρο εργασίας Fabric και ανοίξτε το σπίτι σας στη λίμνη. Από την επάνω δεξιά γωνία, μεταβείτε από το lakehouse στο τελικό σημείο SQL analytics.
Από την επάνω πλοήγηση, μεταβείτε στην καρτέλα Ασφάλεια και επιλέξτε μία από τις ακόλουθες λειτουργίες πρόσβασης OneLake:
Ταυτότητα χρήστη – Χρησιμοποιεί την ταυτότητα του συνδεδεμένου χρήστη. Επιβάλλει τους ρόλους OneLake.
Ταυτότητα με ανάθεση – Χρησιμοποιεί την ταυτότητα του κατόχου του στοιχείου. επιβάλλει μόνο δικαιώματα SQL.
Ξεκινά ένα αναδυόμενο παράθυρο για να επιβεβαιώσετε την επιλογή σας. Επιλέξτε Ναι για να επιβεβαιώσετε την αλλαγή.
Ζητήματα που πρέπει να λαμβάνονται υπόψη κατά την εναλλαγή μεταξύ λειτουργιών
Μετάβαση σε λειτουργία ταυτότητας χρήστη
Τα δικαιώματα SQL RLS, CLS και σε επίπεδο πίνακα παραβλέπονται.
Οι ρόλοι OneLake πρέπει να ρυθμιστούν για να διατηρήσουν οι χρήστες την πρόσβαση.
Μόνο οι χρήστες με δικαιώματα θεατή ή κοινόχρηστη πρόσβαση μόνο για ανάγνωση θα διέπονται από την ασφάλεια του OneLake.
Οι υπάρχοντες ρόλοι SQL διαγράφονται και δεν είναι δυνατή η ανάκτησή τους.
Μετάβαση σε λειτουργία ταυτότητας με ανάθεση
Οι ρόλοι και οι πολιτικές ασφαλείας του OneLake δεν εφαρμόζονται πλέον.
Οι ρόλοι SQL και οι πολιτικές ασφαλείας ενεργοποιούνται.
Ο κάτοχος του στοιχείου πρέπει να έχει έγκυρη πρόσβαση στο OneLake, διαφορετικά ενδέχεται να αποτύχουν όλα τα ερωτήματα.
Περιορισμοί
Ισχύει μόνο για αναγνώστες: Το OneLake Security διέπει τους χρήστες που έχουν πρόσβαση σε δεδομένα ως θεατές. Οι χρήστες σε άλλους ρόλους χώρου εργασίας (Διαχειριστής, Μέλος ή Συνεργάτης) παρακάμπτουν το OneLake Security και διατηρούν πλήρη πρόσβαση.
Τα αντικείμενα SQL δεν κληρονομούν ιδιοκτησία: Οι συντομεύσεις εμφανίζονται στο τελικό σημείο του SQL Analytics ως πίνακες. Κατά την πρόσβαση σε αυτούς τους πίνακες, απευθείας ή μέσω προβολών, οι αποθηκευμένες διαδικασίες και άλλα παράγωγα αντικείμενα SQL δεν φέρουν ιδιοκτησία σε επίπεδο αντικειμένου. Όλα τα δικαιώματα ελέγχονται κατά το χρόνο εκτέλεσης για να αποτραπεί η παράκαμψη ασφαλείας.
Οι αλλαγές συντόμευσης ενεργοποιούν το χρόνο διακοπής λειτουργίας επικύρωσης: Όταν αλλάζει ένας προορισμός συντόμευσης (για παράδειγμα, μετονομασία, ενημέρωση URL), η βάση δεδομένων εισέρχεται για λίγο σε κατάσταση λειτουργίας ενός χρήστη , ενώ το σύστημα επικυρώνει τον νέο προορισμό. Κατά τη διάρκεια αυτής της περιόδου τα ερωτήματα αποκλείονται, αυτές οι λειτουργίες είναι αρκετά γρήγορες, αλλά μερικές φορές ανάλογα με διαφορετική εσωτερική διαδικασία μπορεί να χρειαστούν έως και 5 λεπτά για να συγχρονιστούν.
- Η δημιουργία συντομεύσεων σχήματος ενδέχεται να προκαλέσει ένα γνωστό σφάλμα που επηρεάζει την επικύρωση και καθυστερεί τον συγχρονισμό μετα-δεδομένων.
Καθυστερημένη μετάδοση δικαιωμάτων: Οι αλλαγές δικαιωμάτων δεν είναι στιγμιαίες. Η εναλλαγή μεταξύ των λειτουργιών ασφαλείας (ταυτότητα χρήστη έναντι πληρεξουσίου) ενδέχεται να απαιτεί χρόνο μετάδοσης πριν τεθεί σε ισχύ, αλλά θα διαρκέσει λιγότερο από 1 λεπτό.
Εξάρτηση επιπέδου ελέγχου: Τα δικαιώματα δεν μπορούν να εφαρμοστούν σε χρήστες ή ομάδες που δεν υπάρχουν ήδη στο επίπεδο ελέγχου χώρου εργασίας. Πρέπει είτε να κάνετε κοινή χρήση του στοιχείου προέλευσης είτε ο χρήστης πρέπει να είναι μέλος του ρόλου χώρου εργασίας θεατή. Σημειώστε ότι το ίδιο ακριβώς αναγνωριστικό αντικειμένου πρέπει να βρίσκεται και στα δύο μέρη. Μια ομάδα και ένα μέλος αυτής της ομάδας δεν υπολογίζονται ως αγώνας.
Επικρατεί η πιο επιτρεπτική πρόσβαση: Όταν οι χρήστες ανήκουν σε πολλές ομάδες ή ρόλους, τηρείται η πιο ανεκτική αποτελεσματική άδεια Παράδειγμα: Εάν ένας χρήστης έχει και DENY μέσω ενός ρόλου και GRANT μέσω άλλου, η GRANT έχει προτεραιότητα.
Περιορισμοί λειτουργίας με ανάθεση: Στη λειτουργία με ανάθεση, ο συγχρονισμός μετα-δεδομένων σε πίνακες συντομεύσεων μπορεί να αποτύχει εάν το στοιχείο προέλευσης διαθέτει πολιτικές ασφαλείας OneLake που δεν εκχωρούν πλήρη πρόσβαση πίνακα στον κάτοχο του στοιχείου.
Συμπεριφορά DENNY: Όταν πολλοί ρόλοι εφαρμόζονται σε έναν πίνακα συντόμευσης, η διασταύρωση των δικαιωμάτων ακολουθεί τη σημασιολογία του SQL Server: Η συνάρτηση DENY αντικαθιστά τη συνάρτηση GRANT. Αυτό μπορεί να παράγει μη αναμενόμενα αποτελέσματα πρόσβασης.
Αναμενόμενες συνθήκες σφάλματος: Οι χρήστες ενδέχεται να αντιμετωπίσουν σφάλματα σε σενάρια όπως:
Ο προορισμός συντόμευσης μετονομάστηκε ή δεν είναι έγκυρος
- Παράδειγμα: Εάν η προέλευση του πίνακα διαγράφηκε.
Εσφαλμένη διαμόρφωση RLS (Row-Level Security)
Ορισμένες εκφράσεις για φιλτράρισμα RLS δεν υποστηρίζονται στο OneLake και ενδέχεται να επιτρέπουν μη εξουσιοδοτημένη πρόσβαση σε δεδομένα.
Η απόρριψη της στήλης που χρησιμοποιείται στην έκφραση φίλτρου ακυρώνει το RLS και ο συγχρονισμός μεταδεδομένων θα είναι παλιός μέχρι να διορθωθεί το RLS στον πίνακα ασφαλείας OneLake.
Για τη Δημόσια προεπισκόπηση, υποστηρίζουμε μόνο πίνακες μίας έκφρασης. Τα δυναμικά RLS και τα RLS πολλαπλών πινάκων δεν υποστηρίζονται προς το παρόν.
Περιορισμοί ασφαλείας Column-Level (CLS)
Το CLS λειτουργεί διατηρώντας μια λίστα επιτρεπόμενων στηλών. Εάν μια επιτρεπόμενη στήλη καταργηθεί ή μετονομαστεί, η πολιτική CLS παύει να ισχύει.
Όταν το CLS δεν είναι έγκυρο, ο συγχρονισμός μετα-δεδομένων αποκλείεται μέχρι να διορθωθεί ο κανόνας CLS στον πίνακα OneLake Security.
Αποτυχία συγχρονισμού μετα-δεδομένων ή δικαιωμάτων
- Εάν υπάρχουν αλλαγές στον πίνακα, όπως η μετονομασία μιας στήλης, η ασφάλεια δεν αναπαράγεται στο νέο αντικείμενο και λαμβάνετε σφάλματα περιβάλλοντος εργασίας χρήστη που δείχνουν ότι η στήλη δεν υπάρχει.
Οι μετονομασίες πινάκων δεν διατηρούν τις πολιτικές ασφαλείας: Εάν οι ρόλοι OneLake Security (OLS) έχουν οριστεί σε επίπεδο σχήματος, αυτοί οι ρόλοι παραμένουν σε ισχύ μόνο εφόσον το όνομα του πίνακα παραμένει αμετάβλητο. Η μετονομασία του πίνακα διακόπτει τη συσχέτιση και οι πολιτικές ασφαλείας δεν θα μετεγκατασταθούν αυτόματα. Αυτό μπορεί να οδηγήσει σε ακούσια έκθεση δεδομένων έως ότου εφαρμοστούν εκ νέου οι πολιτικές.
Οι ρόλοι ασφαλείας OneLake δεν μπορούν να έχουν ονόματα μεγαλύτερα από 124 χαρακτήρες. Διαφορετικά, ο συγχρονισμός ασφαλείας δεν μπορεί να συγχρονίσει τους ρόλους.
Οι ρόλοι ασφαλείας OneLake μεταδίδονται στο τελικό σημείο ανάλυσης SQL με το πρόθεμα OLS_.
Οι αλλαγές χρήστη στους ρόλους OLS_ δεν υποστηρίζονται και μπορεί να προκαλέσουν μη αναμενόμενες συμπεριφορές.
Οι ομάδες ασφαλείας και οι λίστες διανομής με δυνατότητα αλληλογραφίας δεν υποστηρίζονται.
Ο κάτοχος του lakehouse πρέπει να είναι μέλος των ρόλων χώρου εργασίας διαχειριστή, μέλους ή συνεργάτη. Διαφορετικά, η ασφάλεια δεν εφαρμόζεται στο τελικό σημείο ανάλυσης SQL.
Ο κάτοχος του lakehouse δεν μπορεί να είναι κύριος υπηρεσίας για να λειτουργήσει ο συγχρονισμός ασφαλείας.