Muistiinpano
Tämän sivun käyttö edellyttää valtuutusta. Voit yrittää kirjautua sisään tai vaihtaa hakemistoa.
Tämän sivun käyttö edellyttää valtuutusta. Voit yrittää vaihtaa hakemistoa.
Saraketason turvallisuus (CLS) on OneLake-tietoturvan ominaisuus, joka mahdollistaa pääsyn valittuihin sarakkeisiin taulukossa sen sijaan, että käyttäisit täyttä pääsyä taulukkoon. CLS:n avulla voit määrittää taulukoiden alijoukon, jota käyttäjät voivat käyttää. Listalta poistettujen sarakkeiden tiedot eivät ole käyttäjille näkyvissä.
Edellytykset
- Tieto, joka tukee OneLake-turvallisuutta. Listan tuetuista tuotetyypeistä löydät kohdasta Aloita OneLake-tietoturvan kanssa.
- Tutustu tunnetut rajoitukset -osioon.
Ymmärrä sarakketason tietoturva
OneLaken suojauksen CLS pakotetaan jommallakummalla seuraavista kahdesta tavasta:
- Suodatetut taulukot Fabric-moottoreissa: Fabric-moduulien, kuten Spark-muistikirjojen, kyselyt johtavat siihen, että käyttäjä näkee vain sarakkeet, jotka hän voi nähdä CLS-sääntöjen mukaisesti.
- Estetty pääsy tauluihin: Taulukoita, joihin sovelletaan CLS-sääntöjä, ei voi lukea tuettujen Fabric-moottoreiden tai valtuutettujen kolmannen osapuolen moottoreiden ulkopuolella, jotka valvovat OneLake-turvallisuutta. Pääsy on estetty luvattomilta moottoreilta.
Suodatetuissa taulukoissa käytetään seuraavia toimintoja:
- CLS-säännöt eivät rajoita käyttöoikeuksia käyttäjille, joilla on järjestelmänvalvoja-, jäsen- ja osallistujaroolit.
- Jos CLS-säännöllä on ristiriita sen määritetyn taulukon kanssa, kysely epäonnistuu eikä sarakkeita palauteta. Jos esimerkiksi CLS on määritetty sarakkeelle, joka ei ole osa taulukkoa.
- CLS-taulukoiden kyselyt epäonnistuvat, jos käyttäjä on osa kahta eri roolia ja jollain rooleista on rivitason suojaus (RLS).
- CLS-sääntöjä voidaan soveltaa vain Delta-parkettitaulukon objekteille.
- CLS-säännöt, joita käytetään muissa kuin Delta-taulukkoobjekteissa, estävät roolin jäsenten pääsyn koko taulukkoon.
- Jos käyttäjä suorittaa kyselyn
select *taulukossa, jossa hänellä on vain joidenkin sarakkeiden käyttöoikeus, CLS-säännöt toimivat eri tavalla Fabric-moduulin mukaan.- Spark-muistikirjat: Kysely onnistuu ja näyttää vain sallitut sarakkeet.
- SQL Analytics -päätepiste: Sarakkeen käyttö on estetty niille sarakkeille, joita käyttäjä ei voi käyttää.
- Semanttiset mallit: Sarakkeen käyttö on estetty sarakkeilla, joita käyttäjä ei voi käyttää.
- Suojatun sarakkeen nimi voi näkyä tietyissä kokemuksissa, mutta datan arvoja ei koskaan näytetä.
Pääsy valtuutettujen moottoreiden tietoihin
tuetut Fabric moottorit voivat käyttää taulukoita, joihin sovelletaan CLS-sääntöjä.
Vinkki
- Jos haluat käyttää dataa SQL-analytiikkapäätepisteestä, ota käyttöön OneLake-turvallisuus SQL-analytiikkapäätepisteelle.
- Semanttisen mallin datan saamiseksi semanttisen mallin täytyy käyttää Direct Lake on OneLake.
Valtuutetut kolmannen osapuolen moottorit voivat hakea tehokkaan sarakkeiden käyttöoikeuden käyttäjälle OneLakesta käyttämällä valtuutettujen moottorirajapintojen rajapintoja ja valvoa CLS:ää kyselyn aikana. OneLake on edelleen ainoa totuuden lähde, ja OneLakessa laadittuja CLS-määritelmiä sovelletaan johdonmukaisesti Fabric-moottoreissa ja valtuutetuissa ulkoisissa moottoreissa.
Lisätietoja löytyy kohdasta Kolmannen osapuolen moottorin integroiminen OneLake-turvallisuuteen.
Saraketason suojaussääntöjen määrittäminen
Voit määrittää saraketason suojauksen osana OneLake-käyttöoikeusroolia mille tahansa Delta-parkquet-taulukolle kohteen Taulukot-osiossa . CLS on aina määritetty taulukolle, ja se on joko käytössä tai poistettu käytöstä. CLS on oletusarvoisesti poistettu käytöstä ja käyttäjillä on pääsy kaikkiin sarakkeisiin. Käyttäjät voivat ottaa CLS-tunnuksen käyttöön ja poistaa sarakkeita luettelosta käyttöoikeuden kumoamiseksi.
Tärkeä
Sarakkeen käyttöoikeuden poistaminen ei estä kyseisen sarakkeen käyttöä, jos toinen rooli myöntää sen käyttöoikeuden.
Määritä saraketason suojaus seuraavien vaiheiden avulla:
Siirry tietokohteeseesi ja valitse Manage OneLake security.
Valitse aiemmin luotu rooli, jolle haluat määrittää taulukon tai kansion suojauksen, tai luo uusi rooli valitsemalla Uusi.
Roolitiedot -sivulla valitse lisää vaihtoehtoja (...) taulukon vierestä, johon haluat määritellä CLS:n, ja valitse sitten Sarakkeen turvallisuus.
Taulukon CLS-arvo on oletusarvoisesti poistettu käytöstä. Ota CLS käyttöön valitsemalla Ota CLS käyttöön tai luo uusi sääntö ottaaksesi sen käyttöön.
Käyttöliittymä täyttää tämän taulukon sarakeluettelon, jonka käyttäjät voivat nähdä. Oletusarvoisesti se näyttää kaikki sarakkeet.
Jos haluat rajoittaa sarakkeen käyttöoikeuksia, valitse sarakkeen nimen vieressä oleva valintaruutu ja valitse sitten Poista. Sallittujen sarakkeiden luettelossa on oltava vähintään yksi sarake.
Päivitä rooli valitsemalla Tallenna .
Jos haluat lisätä poistetun sarakkeen, valitse Uusi sääntö. Tämä toiminto lisää uuden CLS-säännön merkinnän luettelon loppuun. Valitse sitten avattavan valikon avulla sarake, jonka haluat sisällyttää käyttöösi.
Kun olet valmis, valitse Tallenna.
Yhdistä rivi- ja saraketason suojaus
Rivitason ja saraketason suojausta voidaan käyttää yhdessä rajoittamaan käyttäjän pääsyä taulukkoon. Näitä kahta käytäntöä on kuitenkin otettava käyttöön käyttäen yksittäistä OneLake-käyttöoikeusroolia. Tässä skenaariossa tietojen käyttö on rajoitettu yhteen rooliin määritettyjen sääntöjen mukaan.
OneLake-suojaus ei tue kahden tai useamman roolin yhdistelmiä, joissa toinen sisältää RLS-sääntöjä ja toinen CLS-sääntöjä. Käyttäjät, jotka yrittävät käyttää taulukoita, jotka ovat osa rooliyhdistelmää, jota ei tueta, saavat kyselyvirheitä.