Prise en main des rôles d’accès aux données OneLake (préversion)
Vue d’ensemble
Les rôles d’accès aux données OneLake pour les dossiers sont une nouvelle fonctionnalité qui vous permet d’appliquer le contrôle d’accès en fonction du rôle (RBAC) à vos données stockées dans OneLake. Vous pouvez définir des rôles de sécurité qui accordent l’accès en lecture à des dossiers spécifiques au sein d’un élément Fabric et les assignent à des utilisateurs ou des groupes. Les autorisations d'accès déterminent les dossiers que les utilisateurs voient lors de l’accès à la vue en lac des données, via l’expérience utilisateur lakehouse, les notebooks ou les API OneLake.
Les utilisateurs de structure des rôles Administration, Membre ou Contributeur peuvent commencer à créer des rôles d’accès aux données OneLake pour permettre d'accéder à des dossiers spécifiques uniquement dans un lakehouse. Pour accorder l’accès aux données dans un lakehouse, ajoutez des utilisateurs à un rôle d’accès aux données. Les utilisateurs qui ne font pas partie d’un rôle d’accès aux données ne voient aucune donnée dans ce lakehouse.
Remarque
La sécurité des rôles d’accès aux données s’applique UNIQUEMENT aux utilisateurs accédant directement à OneLake. Les éléments de structure tels que les points de terminaison d’analytique SQL, les modèles sémantiques et les entrepôts ont leurs propres modèles de sécurité et accèdent à OneLake par le biais d’une identité déléguée. Cela signifie que les utilisateurs peuvent voir différents éléments dans chaque charge de travail s'ils ont accès à plusieurs éléments.
Comment activer la fonctionnalité
Toutes les lakehouses dans Fabric ont la fonctionnalité d'évaluation des rôles d’accès aux données désactivée par défaut. La fonctionnalité d'évaluation est configurée pour chaque lakehouse. Le contrôle opt-in permet à un seul lakehouse d’essayer la préversion sans l’activer sur d’autres lakehouses ou éléments Fabric.
Pour activer la préversion, vous devez être un Administrateur un membre ou un contributeur dans l’espace de travail. Accédez à un lakehouse et sélectionnez le bouton Gérer l’accès aux données OneLake (préversion) dans le ruban pour ouvrir la boîte de dialogue de confirmation. La préversion des rôles d’accès aux données n’est pas compatible avec la préversion du partage de données externe. Si vous êtes ok avec la modification, sélectionnez Continuer. L’expérience utilisateur de gestion des rôles s’ouvre et la fonctionnalité est désormais activée.
La fonctionnalité d'évaluation ne peut pas être désactivée une fois activée.
Pour garantir une expérience d’adhésion fluide, tous les utilisateurs disposant d’une autorisation d'accès en lecture pour les données dans lakehouse continuent d’avoir un accès en lecture. La migration de l’accès est effectuée via la création d’un rôle d’accès aux données par défaut appelé « DefaultReader ». L’utilisation d’appartenances à des rôles virtualisés pour tous les utilisateurs disposant des autorisations nécessaires pour afficher les données dans le lakehouse (autorisation ReadAll) est incluse en tant que membres de ce rôle par défaut. Pour commencer à restreindre l’accès à ces utilisateurs, vérifiez que le rôle DefaultReader est supprimé ou que l’autorisation ReadAll est supprimée des utilisateurs accédants.
Important
Assurez-vous que tous les utilisateurs inclus dans un rôle d’accès aux données ne font pas également partie du rôle DefaultReader. Sinon, ils conservent un contrôle total sur les données.
Quels types de données peuvent être sécurisés ?
Les rôles d’accès aux données OneLake peuvent être utilisés pour gérer l’accès en lecture OneLake aux dossiers d’un lakehouse. L’accès en lecture peut être donné à n’importe quel dossier d’un lakehouse, et aucun accès à un dossier n’est l’état par défaut. Le jeu de sécurité par les rôles d’accès aux données s’applique exclusivement à l’accès aux API spécifiques à OneLake ou OneLake. Pour plus d’informations, consultez le modèle de contrôle d'accès aux données.
Prérequis
Pour configurer la sécurité d’un lakehouse, vous devez être un Administrateur, un membre ou un contributeur pour l’espace de travail. La création de rôle et l’attribution d’appartenance prennent effet dès que le rôle est enregistré. Veillez donc à accorder l’accès avant d’ajouter une personne à un rôle.
Les rôles d’accès aux données OneLake ne sont pris en charge que pour les éléments lakehouse.
Créer un rôle
- Ouvrez le lakehouse où vous souhaitez définir la sécurité.
- Dans le côté droit du ruban lakehouse, sélectionnez Gérer l'accès aux données OneLake (préversion).
- En haut à gauche du volet Gérer l’accès aux données OneLake, sélectionnez Nouveau rôle et tapez le nom de rôle souhaité. Le nom de rôle a certaines restrictions :
- Le nom de rôle ne peut contenir que des caractères alphanumériques et des traits de soulignement.
- Le nom de rôle doit commencer par une lettre.
- Les noms sont insensibles à la casse et doivent être uniques.
- La longueur maximale du nom est limitée à 128 caractères.
- Sélectionnez le bouton bascule Tous les dossiers si vous souhaitez que ce rôle s’applique à tous les dossiers de ce lakehouse.
- Cette sélection inclut tous les dossiers ajoutés à l’avenir.
- Sélectionnez les Dossiers sélectionnés si vous souhaitez que ce rôle s’applique uniquement aux dossiers sélectionnés.
- Cochez les cases en regard des dossiers auxquels le rôle doit s’appliquer.
- Les rôles accordent l’accès aux dossiers. Pour permettre à un utilisateur d’accéder à un dossier, cochez la zone en regard de celle-ci. Si un utilisateur ne doit pas voir de dossier, ne cochez pas pas la zone.
- En bas à gauche, sélectionnez Enregistrer pour créer votre rôle.
- En haut à gauche, sélectionnez Attribuer un rôle pour ouvrir le volet d’appartenance au rôle.
- Ajoutez des personnes, des groupes ou des adresses e-mail au contrôle Ajouter des personnes ou des groupes. Pour plus d’informations, consultez Attribuer un membre ou groupe.
- Sélectionnez Ajouter pour déplacer votre sélection vers la liste Utilisateurs affectés. Le fait de sélectionner Ajouter n'enregistre pas encore votre sélection.
- Sélectionnez Enregistrer et attendre la notification indiquant que les rôles sont correctement publiés.
- Sélectionnez X en haut à droite du volet pour fermer ce dernier.
Modifier un rôle
- Ouvrez le lakehouse où vous souhaitez définir la sécurité.
- Dans le côté droit du ruban lakehouse, sélectionnez Gérer l'accès aux données OneLake (préversion).
- Dans le volet Gérer l’accès aux données OneLake, pointez sur le rôle que vous souhaitez modifier et sélectionnez-le.
- Vous pouvez modifier les dossiers auxquels l'accès est accordé en sélectionnant ou en désélectionnant les cases à cocher situées à côté de chaque dossier.
- Pour modifier les personnes, sélectionnez Attribuer un rôle. Pour plus d’informations, consultez Attribuer un membre ou groupe.
- Pour ajouter d’autres personnes, tapez des noms dans la zone Ajouter des personnes ou des groupes, puis sélectionnez Ajouter.
- Pour supprimer des personnes, sélectionnez leur nom sous Utilisateurs attribués, puis sélectionnez Supprimer.
- Sélectionnez Enregistrer et attendre la notification indiquant que les rôles sont correctement publiés.
- Sélectionnez X en haut à droite du volet pour fermer ce dernier.
Supprimer un rôle
- Ouvrez le lakehouse où vous souhaitez définir la sécurité.
- Dans le côté droit du ruban lakehouse, sélectionnez Gérer l'accès aux données OneLake (préversion).
- Dans le volet Gérer l’accès aux données OneLake, cochez la zone en regard des rôles à supprimer.
- Sélectionnez Supprimer et attendez la notification indiquant que les rôles sont correctement supprimés.
- Sélectionnez X en haut à droite du volet pour fermer ce dernier.
Attribuer un membre ou groupe
Les rôles d’accès aux données OneLake prennent en charge deux méthodes différentes d’ajout d’utilisateurs à un rôle. La méthode principale consiste à ajouter des utilisateurs ou des groupes directement à un rôle à l’aide de la zone Ajouter des personnes ou des groupes dans la page Attribuer un rôle. La deuxième utilise des appartenances virtuelles avec le contrôle Ajouter des utilisateurs en fonction des autorisations du lakehouse.
L’ajout d’utilisateurs directement à un rôle avec la zone Ajouter des personnes ou des groupes ajoute les utilisateurs en tant que membres explicites du rôle. Ces utilisateurs apparaissent avec leur nom et leur image affichés dans la liste des personnes et des groupes attribués.
Les membres virtuels permettent d'ajuster dynamiquement l'appartenance au rôle en fonction des autorisations sur les éléments de Fabric des utilisateurs. En sélectionnant Ajouter des utilisateurs en fonction des autorisations du lakehouse et en sélectionnant une autorisation, vous ajoutez n’importe quel utilisateur dans l’espace de travail Fabric qui dispose de toutes les autorisations sélectionnées en tant que membre implicite du rôle. Par exemple, si vous avez choisi ReadAll, Écriture alors un utilisateur de l’espace de travail Fabric disposant des autorisations ReadAll ET Écriture sur l’élément serait inclus en tant que membre du rôle. Vous pouvez voir quels utilisateurs sont ajoutés en tant que membres virtuels en recherchant la valeur « Autorisations du lakehouse » dans la colonne Attribué par de la liste Utilisateurs affectés. Ces membres ne peuvent pas être supprimés manuellement et doivent avoir l’autorisation Fabric correspondante révoquée pour qu’elles ne soient pas attribuées.
Quel que soit le type d’appartenance, les rôles d’accès aux données prennent en charge l’ajout d’utilisateurs individuels, de groupes Microsoft Entra et de principaux de sécurité.
Attribution de membres
Pour accéder à la page attribuer des membres, il existe deux façons :
Méthode 1
- Sélectionnez le nom du rôle auquel vous souhaitez attribuer des membres.
- En haut de la page détails de rôle, sélectionnez Attribuer un rôle.
Méthode 2
- Dans la liste des rôles, cochez la case en regard du rôle auquel vous souhaitez attribuer des membres.
- Sélectionnez Attribuer.
Attribuer directement des utilisateurs
Dans la page Attribuer un rôle, vous pouvez ajouter des membres ou des groupes en tapant leur nom ou leur adresse e-mail dans la zone Ajouter des personnes ou des groupes. Sélectionnez le résultat pour lequel vous souhaitez inclure cet utilisateur. Vous pouvez répéter cette étape pour autant d’utilisateurs que vous le souhaitez. Si vous avez sélectionné les utilisateurs incorrects, vous pouvez sélectionner le X en regard de leur entrée pour les supprimer de la zone, ou sélectionner Effacer pour supprimer toutes les entrées. Une fois que vous avez terminé, sélectionnez Ajouter pour déplacer les utilisateurs sélectionnés vers la liste d’accès. L’ajout de ces éléments à la liste n’est pas encore enregistré. Il s’agit d’un aperçu de la liste d’appartenances aux rôles une fois que ces utilisateurs sont ajoutés, et les utilisateurs nouvellement ajoutés présenteront un indicateur en regard de leur nom.
Pour publier les modifications d'accès, sélectionnez Enregistrer en bas du volet.
Attribuer des membres virtuels
Pour ajouter des membres virtuels, utilisez la case Ajouter des utilisateurs en fonction des autorisations du lakehouse. Activez la case à cocher pour ouvrir le sélecteur de liste déroulante pour choisir les autorisations d’infrastructure à virtualiser. Les utilisateurs sont virtualisés s’ils disposent de toutes les autorisations vérifiées.
Les autorisations qui peuvent être utilisées pour la virtualisation sont les suivantes :
- Lire
- Écrire
- Repartager
- Exécuter
- ReadAll
Après avoir sélectionné les autorisations, sélectionnez Ajouter pour mettre à jour la liste Utilisateurs affectés avec les modifications. Les utilisateurs ont du texte en regard de leur nom indiquant qu’ils ont été attribués par les autorisations du lakehouse. Ces utilisateurs ne peuvent pas être supprimés manuellement de l’attribution de rôle. Au lieu de cela, supprimez les autorisations correspondantes du contrôle Ajouter des utilisateurs en fonction des autorisations du lakehouse ou supprimez l’autorisation Fabric.
Problèmes connus
La fonctionnalité d'évaluation du partage de données externes n’est pas compatible avec la préversion des rôles d’accès aux données. Lorsque vous activez la préversion des rôles d’accès aux données sur un lakehouse, tous les partages de données externes existants peuvent cesser de fonctionner.