Jaa

OneLake-tietojen käyttöroolien käytön aloittaminen (esiversio)

  • Artikkeli

Yleiskuvaus

Kansioiden OneLake-tietojen käyttöroolit ovat uusi ominaisuus, jonka avulla voit käyttää roolipohjaista käyttöoikeuksien hallintaa (RBAC) OneLakeen tallennetuissa tiedoissa. Voit määrittää käyttöoikeusrooleja, jotka myöntävät lukuoikeuden tiettyihin Fabric-kohteen kansioihin ja määrittävät ne käyttäjille tai ryhmille. Käyttöoikeudet määrittävät, mitä kansioita käyttäjät näkevät käyttäessään tietojen Lake-näkymää joko Lakehouse UX:n, muistikirjojen tai OneLake-ohjelmointirajapintojen kautta.

Fabric-käyttäjät Hallinta-, Jäsen- tai Osallistuja-rooleissa voivat aloittaa luomalla OneLake-tietojen käyttöoikeusrooleja, jotta voit myöntää käyttöoikeuden vain tiettyihin Lakehousen kansioihin. Lakehouse-tietojen käyttöoikeuksien myöntämiseksi lisätään käyttäjiä tietojen käyttörooliin. Käyttäjät, jotka eivät kuulu tietojen käyttöoikeusrooliin, eivät näe mitään tietoja kyseisessä lakehousessa.

Muistiinpano

Tietojen käyttöroolin suojaus koskee vain käyttäjiä, jotka käyttävät OneLakea suoraan. Fabric-kohteilla, kuten SQL Endpointilla, semanttisella mallilla ja varastolla, on omat suojausmallinsa ja ne käyttävät OneLakea delegoitujen käyttäjätietojen kautta. Tämä tarkoittaa sitä, että käyttäjät voivat nähdä eri kohteita kussakin kuormituksessa, jos heille annetaan käyttöoikeus useisiin kohteisiin.

Suostuminen

Kaikkien Fabric-lakehouse-talojen tietojen käyttöroolien esikatseluominaisuus on oletusarvoisesti poistettu käytöstä. Esikatseluominaisuus on määritetty lakehouse-periaatteella. Opt-in-ohjausobjekti mahdollistaa yhden Lakehousen esikatselun kokeilemisen ottamatta sitä käyttöön muissa Lakehouse- tai Fabric-kohteissa.

Jotta voit ottaa esikatselun käyttöön, sinun on oltava työtilassa Hallinta, jäsen tai osallistuja. Siirry Lakehouse-kohtaan ja valitse Valintanauhan Hallitse OneLake-tietojen käyttöä (esikatselu) -painike vahvistusvalintaikkunan avaamiseksi. Tietojen käyttöroolien esiversio ei ole yhteensopiva ulkoisten tietojen jakamisen esikatselun kanssa. Jos et ole tyytyväinen muutokseen, valitse Jatka. Roolien hallintakokemus avautuu, ja ominaisuus on nyt käytössä.

Esikatseluominaisuutta ei voi poistaa käytöstä, kun se on otettu käyttöön.

Sujuvan suostumiskokemuksen takaamiseksi kaikilla käyttäjillä, joilla on lakehousen tietojen lukuoikeus, on edelleen lukuoikeus. Käyttöoikeuksia siirretään luomalla oletusarvoinen tietojen käyttörooli, jonka nimi on "DefaultReader". Virtualisoidun roolin jäsenyyksien avulla kaikki käyttäjät, joilla oli tarvittavat oikeudet tarkastella tietoja Lakehousessa (ReadAll-käyttöoikeus), sisällytetään tämän oletusroolin jäseniksi. Aloita kyseisten käyttäjien käyttöoikeuksien rajoittaminen varmistamalla, että DefaultReader-rooli on poistettu tai että ReadAll-käyttöoikeus on poistettu käyttöoikeuksien myöntäviltä käyttäjiltä.

Tärkeä

Varmista, että kaikki käyttäjät, jotka kuuluvat tietojen käyttörooliin, eivät myöskään kuulu DefaultReader-rooliin. Muussa tapauksessa tietojen täydet käyttöoikeudet säilytetään.

Minkä tyyppisiä tietoja voidaan suojata?

OneLake-tietojen käyttörooleja voidaan käyttää OneLake-lukuoikeuden hallintaan Lakehousessa olevia kansioita varten. Lukuoikeudet voidaan antaa mihin tahansa Lakehouse-kansion kansioon, eikä kansion käyttöoikeus ole oletustila. Tietojen käyttöoikeusroolien määrittämää suojausta sovelletaan vain OneLake- tai OneLake-tiettyihin ohjelmointirajapintoihin. Jos haluat lisätietoja, tutustu tietojen käytön hallintamalliin.

Edellytykset

Jotta voit määrittää Lakehouse-järjestelmän suojauksen, sinun on oltava työtilan Hallinta, jäsen tai osallistuja. Roolin luominen ja jäsenyyden määritys tulevat voimaan heti, kun rooli on tallennettu, joten varmista, että haluat myöntää käyttöoikeudet, ennen kuin lisäät jonkun rooliin.

OneLake-tietojen käyttörooleja tuetaan vain Lakehouse-kohteiden osalta.

Roolin luominen

  1. Avaa Lakehouse, jossa haluat määrittää suojauksen.
  2. Valitse Lakehouse-valintanauhan oikeasta reunasta OneLake-tietojen käytön hallinta (esikatselu).
  3. Valitse OneLake-tietojen käyttöruudun vasemmasta yläkulmasta Uusi rooli ja kirjoita haluamasi roolin nimi. Roolin nimellä on tiettyjä rajoituksia:
    1. Roolin nimi voi sisältää vain aakkosnumeerisia merkkejä.
    2. Roolin nimen on alettava kirjaimella.
    3. Nimien kirjainkoolla ei ole merkitystä, ja niiden on oltava yksilöllisiä.
    4. Nimen enimmäispituus on 128 merkkiä.
  4. Jos haluat, että tämä rooli koskee kaikkia tämän Lakehouse-kansioiden kansioita, valitse Kaikki kansiot.
    1. Tämä valinta sisältää kaikki tulevaisuudessa lisätyt kansiot.
  5. Valitse Valitut kansiot , jos haluat, että tämä rooli koskee vain valittuja kansioita.
    1. Valitse niiden kansioiden vieressä olevat ruudut, joita haluat roolin käytettävän.
    2. Roolit myöntävät käyttöoikeuden kansioihin. Jos haluat sallia käyttäjän käyttää kansiota, valitse sen vieressä oleva ruutu. Jos käyttäjän ei pitäisi nähdä kansiota, älä valitse ruutua.
    3. Luo rooli valitsemalla vasemmasta alakulmasta Tallenna .
  6. Avaa roolin jäsenyysruutu valitsemalla vasemmasta yläkulmasta Määritä rooli .
  7. Lisää henkilöitä, ryhmiä tai sähköpostiosoitteita Lisää henkilöitä tai ryhmiä -ohjausobjektiin. Lisätietoja on kohdassa Jäsenen tai ryhmän määrittäminen.
  8. Valitse Lisää , jos haluat siirtää valintasi Määritettyjen henkilöiden ja ryhmien luetteloon. Lisää-vaihtoehdon valitseminen ei vielä tallenna valintaasi.
  9. Valitse Tallenna ja odota ilmoitusta, että roolit on julkaistu.
  10. Sulje ruutu valitsemalla X oikeasta yläkulmasta.

Muokkaa roolia

  1. Avaa Lakehouse, jossa haluat määrittää suojauksen.
  2. Valitse Lakehouse-valintanauhan oikeasta reunasta OneLake-tietojen käytön hallinta (esikatselu).
  3. Vie hiiren osoitin OneLake-tietojen käyttöruudun hallinnassa muokattavan roolin päälle ja valitse se.
  4. Voit muuttaa sitä, mihin kansioihin myönnetään käyttöoikeus, valitsemalla tai poistamalla kunkin kansion vieressä olevien valintaruutujen valinnan.
  5. Jos haluat muuttaa henkilöitä, valitse Määritä rooli. Lisätietoja on kohdassa Jäsenen tai ryhmän määrittäminen.
  6. Jos haluat lisätä muita henkilöitä, kirjoita nimet Lisää henkilöitä tai ryhmiä -ruutuun ja valitse Lisää.
  7. Jos haluat poistaa ihmisiä, valitse heidän nimensä kohdasta Määritetyt henkilöt ja ryhmät ja valitse Poista.
  8. Valitse Tallenna ja odota ilmoitusta, että roolit on julkaistu.
  9. Sulje ruutu valitsemalla X oikeasta yläkulmasta.

Roolin poistaminen

  1. Avaa Lakehouse, jossa haluat määrittää suojauksen.
  2. Valitse Lakehouse-valintanauhan oikeasta reunasta OneLake-tietojen käytön hallinta (esikatselu).
  3. Valitse OneLake-tietojen käyttöoikeuden hallintaruudussa niiden roolien vieressä oleva ruutu, jotka haluat poistaa.
  4. Valitse Poista ja odota ilmoitusta siitä, että roolit on poistettu.
  5. Sulje ruutu valitsemalla X oikeasta yläkulmasta.

Määritä jäsen tai ryhmä

OneLake-tietojen käyttöroolit tukevat kahta eri tapaa lisätä käyttäjiä rooliin. Päämenetelmä on lisätä käyttäjiä tai ryhmiä suoraan rooliin Käyttämällä Määritä rooli -sivun Lisää henkilöitä tai ryhmiä -ruutua. Toinen käyttää virtuaalijäsenyyksiä ja lisää automaattisesti käyttäjiä, joilla on kaikki nämä oikeudet - hallinta.

Jos lisäät käyttäjiä suoraan rooliin Lisää henkilöitä tai ryhmiä -ruudussa, käyttäjät lisätään rooliin eksplisiittisinä jäseninä. Nämä käyttäjät näkyvät vain nimensä ja kuvansa kanssa, jotka näytetään Määritettyjen henkilöiden ja ryhmien luettelossa.

Virtuaaliset jäsenet sallivat roolin jäsenyyden dynaamisen mukauttamisen käyttäjien Fabric-kohteen käyttöoikeuksien perusteella. Kun valitset Lisää automaattisesti käyttäjät, joilla on kaikki nämä käyttöoikeudet -ruutu ja valitset käyttöoikeuden, lisäät Fabric-työtilaan käyttäjän, jolla on kaikki valitut käyttöoikeudet roolin implisiittisenä jäsenenä. Jos esimerkiksi valitset kohdan ReadAll, kirjoita niin kuka tahansa Fabric-työtilan käyttäjä, jolla on ReadAll- JA Write-oikeudet Lakehouseen, sisällytetään roolin jäseneksi. Näet, ketkä käyttäjät lisätään virtuaalisina jäseninä, etsimällä "Määritä työtilan käyttöoikeudet" -tekstiä hänen nimensä alta Määritetyt henkilöt ja ryhmät -luettelosta. Näitä jäseniä ei voi poistaa manuaalisesti, ja niiden Fabric-käyttöoikeus on kumottava, jotta ne voidaan poistaa.

Jäsenyystyypistä riippumatta tietojen käyttöoikeusroolit tukevat yksittäisten käyttäjien, Microsoft Entra -ryhmien ja suojausobjektien lisäämistä.

Jäsenten määrittäminen

Määritysjäsenten sivulle pääsemiseksi on kaksi tapaa:

Menetelmä 1

  1. Valitse sen roolin nimi, johon haluat määrittää jäsenet.
  2. Valitse roolin tietosivun yläreunassa Määritä rooli.

Menetelmä 2

  1. Valitse rooliluettelosta sen roolin vieressä oleva valintaruutu, jolle haluat määrittää jäseniä.
  2. Valitse Delegoi.

Määritä käyttäjät suoraan

Määritä rooli -sivulla voit lisätä jäseniä tai ryhmiä kirjoittamalla heidän nimensä tai sähköpostiosoitteensa Lisää henkilöitä tai ryhmiä -ruutuun. Valitse tulos, jonka haluat valita kyseiselle käyttäjälle. Voit toistaa tämän vaiheen niin monelle käyttäjälle kuin haluat. Jos valitsit väärät käyttäjät, voit poistaa heidät ruudusta valitsemalla hänen merkinnän vierestä X tai poistaa kaikki merkinnät valitsemalla Tyhjennä . Kun olet valmis, siirrä valitut käyttäjät käyttöoikeusluetteloon valitsemalla Lisää . Niiden lisäämistä luetteloon ei tallenneta vielä. Se on esiversio roolijäsenyysluettelosta, kun kyseiset käyttäjät on lisätty.

Jos haluat julkaista käyttöoikeuksien muutokset, valitse ruudun alareunasta Tallenna .

Näennäisjäsenten määrittäminen

Jos haluat lisätä virtuaalijäseniä, käytä Lisää automaattisesti käyttäjiä, joilla on kaikki nämä käyttöoikeudet -ruutua. Valitse ruutu avataksesi avattavan valikon valitsimen, jolloin voit valita Virtualisoitavat Fabric-käyttöoikeudet. Käyttäjät virtualisoidaan, jos heillä on kaikki tarkistuskäyttöoikeudet.

Virtualisointiin voidaan käyttää seuraavia käyttöoikeuksia:

  • Luettu
  • Kirjoitus
  • Jaa uudelleen
  • Suorita
  • ReadAll
  • ViewOutput
  • ViewLogs

Kun käyttöoikeus on valittu, kaikki virtualisoidut jäsenet näkyvät Vastuuhenkilöt ja ryhmät -luettelossa. Käyttäjillä on nimensä vieressä teksti, joka ilmaisee, että heidät on määritetty työtilan käyttöoikeuksilla. Näitä käyttäjiä ei voi poistaa roolimäärityksestä manuaalisesti. Poista sen sijaan vastaavat käyttöoikeudet virtualisoinnin ohjausobjektista tai poista Fabric-käyttöoikeus.

Tunnetut ongelmat

Ulkoisen tietojen jakamisen esikatseluominaisuus (linkki) ei ole yhteensopiva tietojen käyttöroolien esikatselun kanssa. Kun otat tietojen käyttöroolit käyttöön esikatselemaan lakehousessa, aiemmin luodut ulkoiset tieto jaetut tiedot saattavat lakata toimimasta.

Liittyvä sisältö