Prise en main des rôles d’accès aux données OneLake (préversion)

Les rôles d’accès aux données OneLake sont une fonctionnalité qui vous permet d’appliquer le contrôle d’accès en fonction du rôle (RBAC) à vos données stockées dans OneLake. Vous pouvez définir des rôles de sécurité qui accordent l’accès en lecture à des dossiers spécifiques au sein d’un élément Fabric, puis assignent ces rôles à des utilisateurs ou des groupes. Les autorisations d’accès déterminent les dossiers que les utilisateurs voient lors de l’accès à la vue en lac des données, via l’expérience utilisateur lakehouse, les notebooks ou les API OneLake.

Important

À compter d’août 2025, les contributeurs ne disposeront plus des autorisations suffisantes pour afficher ou gérer les rôles d’accès aux données OneLake.

Les utilisateurs de structure des rôles Administration, Membre ou Contributeur peuvent commencer à créer des rôles d’accès aux données OneLake pour permettre d'accéder à des dossiers spécifiques uniquement dans un lakehouse. Pour accorder l’accès aux données dans un lakehouse, ajoutez des utilisateurs à un rôle d’accès aux données. Les utilisateurs qui ne font pas partie d’un rôle d’accès aux données ne voient aucune donnée dans ce lakehouse.

Remarque

La sécurité des rôles d’accès aux données s’applique uniquement aux utilisateurs accédant directement à OneLake. Les éléments de structure tels que les points de terminaison d’analytique SQL, les modèles sémantiques et les entrepôts ont leurs propres modèles de sécurité et accèdent à OneLake par le biais d’une identité déléguée. Cela signifie que les utilisateurs peuvent voir différents éléments dans chaque charge de travail s’ils ont accès à plusieurs éléments.

Prérequis

Pour configurer la sécurité d’un lakehouse, vous devez être un Administrateur, un membre ou un contributeur pour l’espace de travail. La création de rôle et l’attribution d’appartenance prennent effet dès que le rôle est enregistré. Veillez donc à accorder l’accès avant d’ajouter une personne à un rôle.

Les rôles d’accès aux données OneLake ne sont pris en charge que pour les éléments lakehouse.

Comment activer la fonctionnalité

La fonctionnalité en préversion des rôles d’accès aux données est désactivée par défaut. La fonctionnalité d'évaluation est configurée pour chaque lakehouse. Le contrôle opt-in permet à un seul lakehouse d’essayer la préversion sans l’activer sur d’autres lakehouses ou éléments Fabric.

Pour activer la préversion, vous devez être un Administrateur un membre ou un contributeur dans l’espace de travail.

La fonctionnalité d'évaluation ne peut pas être désactivée une fois activée.

1. Accédez à un lakehouse et sélectionnez Gérer l’accès aux données OneLake (préversion).
2. Passez en revue la boîte de dialogue de confirmation. La préversion des rôles d’accès aux données n’est pas compatible avec la préversion du partage de données externe. Si vous êtes ok avec la modification, sélectionnez Continuer.

Pour garantir une expérience d’adhésion fluide, tous les utilisateurs disposant d’une autorisation de lecture pour les données dans lakehouse continuent d’avoir un accès en lecture via un rôle d’accès aux données par défaut appelé DefaultReader. À l’aide de l’appartenances à des rôles virtualisés, tous les utilisateurs disposant des autorisations nécessaires pour afficher les données dans le lakehouse (l’autorisation ReadAll) sont inclus en tant que membres de ce rôle par défaut. Pour commencer à restreindre l’accès à ces utilisateurs, supprimez le rôle DefaultReader ou supprimez l’autorisation ReadAll des utilisateurs accédants.

Important

Assurez-vous que tous les utilisateurs inclus dans un rôle d’accès aux données sont supprimés du rôle DefaultReader. Sinon, ils conservent un contrôle total sur les données.

Quels types de données peuvent être sécurisés ?

Utilisez les rôles d’accès aux données OneLake pour gérer l’accès en lecture OneLake aux dossiers d’un lakehouse. L’accès en lecture peut être donné à n’importe quel dossier d’un lakehouse, et l’état par défaut n’est pas accessible à un dossier. Le jeu de sécurité par les rôles d’accès aux données s’applique exclusivement à l’accès aux API spécifiques à OneLake ou OneLake. Pour plus d’informations, consultez le modèle de contrôle d'accès aux données.

Créer un rôle

Procédez comme suit pour créer un rôle d’accès aux données dans OneLake.

1. Ouvrez le lakehouse où vous souhaitez définir la sécurité.

2. Sélectionnez Gérer l’accès aux données OneLake (préversion) dans le menu Lakehouse.

3. Dans le volet Gérer l’accès aux données OneLake, sélectionnez Nouveau.

4. Fournissez un nom pour le nouveau rôle qui répond aux instructions suivantes :

   • Le nom de rôle ne peut contenir que des caractères alphanumériques et des traits de soulignement.
   • Le nom de rôle doit commencer par une lettre.
   • Les noms sont insensibles à la casse et doivent être uniques.
   • La longueur maximale du nom est limitée à 128 caractères.

5. Si vous souhaitez que ce rôle s’applique à toutes les tables et fichiers de ce lakehouse, sélectionnez l’option Toutes les données.

   Cette sélection permet également d’accéder à tous les dossiers ajoutés à l’avenir.

6. Si vous souhaitez que ce rôle s’applique uniquement à un groupe sélectionné de tables et de dossiers, sélectionnez l’option Données sélectionnées. Ensuite, procédez comme suit pour définir les données approuvées pour ce rôle.

   1. Sélectionnez Parcourir le lakehouse.

      

   2. Développez les répertoires Tables et Fichiers pour afficher les données dans votre lakehouse.

   3. Cochez les cases en regard des tables et fichiers auxquels vous souhaitez appliquer le rôle.

   4. Sélectionnez Ajouter des données pour ajouter les éléments sélectionnés à votre rôle.

7. Utilisez la zone de texte Ajouter des membres à votre rôle pour entrer manuellement les noms ou adresses e-mail des utilisateurs que vous souhaitez inclure dans le rôle. Vous pouvez également sélectionner Configuration avancée et suivre les instructions de Affecter des membres virtuels.

   Pour ajouter manuellement des membres :

   1. Entrez le nom ou l’adresse e-mail d’un utilisateur.
   2. Sélectionnez le nom approprié dans la liste suggérée.
   3. Sélectionnez l’icône de vérification pour confirmer votre sélection ou l’icône X pour effacer la sélection.

8. Passez en revue les résumés Rôle de préversion.

   1. Pour modifier l’aperçu des données, sélectionnez Parcourir le lakehouse et mettez à jour les tables et dossiers sélectionnés.
   2. Pour supprimer un utilisateur de la préversion des membres, sélectionnez plus options (...) en regard de leur nom, puis Supprimer du rôle.

9. Sélectionnez Créer un rôle et attendez la notification indiquant que le rôle a été correctement publié.

Modifier un rôle

Procédez comme suit pour modifier un rôle d’accès aux données existant dans OneLake.

1. Ouvrez le lakehouse où vous souhaitez définir la sécurité.

2. Sélectionnez Gérer l’accès aux données OneLake (préversion) dans le menu Lakehouse.

3. Dans le volet Gérer l’accès aux données OneLake, sélectionnez le rôle que vous souhaitez modifier.

   Cette action ouvre la page des détails du rôle, qui comprend deux onglets : Données dans le rôle et Membres dans le rôle.

4. Passez en revue les informations de l’onglet Données dans le rôle :

   Cet onglet affiche toutes les données auxquelles les membres du rôle peuvent accéder.

   La colonne Données affiche le nom des tables ou dossiers qui font partie de l’accès au rôle. Vous pouvez développer et réduire les schémas pour afficher les éléments en dessous. Le pointage sur une entrée affiche le chemin d’accès complet de la table ou du dossier.

   La colonne Type indique le type d’élément sélectionné. Les valeurs sont les suivantes : Schéma, Tableou Dossier.

   La colonne Autorisations indique l’autorisation accordée par le rôle à chaque élément. Actuellement, seul Lecture est pris en charge.

   La colonne Accès aux données indique si des restrictions au niveau des lignes ou des colonnes sont appliquées à l’élément. Une icône avec un verrou et des lignes horizontales indique que la sécurité au niveau des lignes est appliquée, tandis qu’une icône avec un verrou et des lignes verticales indique que la sécurité au niveau des colonnes est appliquée.

5. Pour modifier les données incluses dans le rôle, sélectionnez Ajouter des données.

   Cette action ouvre la boîte de dialogue de sélection de la table et du dossier.

6. Cochez et décochez les tables ou dossiers pour les ajouter ou les supprimer du rôle.

7. Sélectionnez Ajouter des données pour confirmer vos sélections.

8. Sélectionnez l’onglet Membres dans le rôle pour afficher les membres du rôle.

   La colonne Membres affiche l’image de profil et le nom du membre.

   La colonne Type indique si le membre est un utilisateur ou un groupe.

   La colonne Ajoutée à l’aide de indique si un utilisateur a été ajouté via son e-mail en tant que membre du rôle ou inclus dans le cadre d’un groupe d’autorisations lakehouse. Pour plus d’informations sur l’ajout d’utilisateurs à l’aide d’autorisations lakehouse, consultez Affecter des membres virtuels.

9. Pour modifier les membres du rôle, sélectionnez Ajouter des membres.

10. Pour ajouter manuellement des membres, entrez un nom ou un e-mail dans la zone de texte Ajouter des membres à votre rôle. Sélectionnez le nom approprié dans la liste suggérée. Puis, sélectionnez l’icône de vérification pour confirmer votre sélection ou sélectionnez l’icône X pour effacer la sélection.

11. Pour supprimer les utilisateurs du rôle, sélectionnez plus options (...) en regard de leur nom et sélectionnez Supprimer du rôle.

Apporter des modifications à l’appartenance aux rôles met à jour le rôle immédiatement. Une notification note la réussite ou l’échec de toutes les modifications.

Supprimer un rôle

Procédez comme suit pour supprimer un rôle d’accès aux données OneLake.

1. Ouvrez le lakehouse où vous souhaitez définir la sécurité.

2. Sélectionnez Gérer l’accès aux données OneLake (préversion) dans le menu Lakehouse.

3. Dans le volet Gérer l’accès aux données OneLake, cochez la zone en regard des rôles à supprimer.

4. Sélectionnez Supprimer et attendez la notification indiquant que les rôles sont correctement supprimés.

Attribuer un membre ou groupe

Les rôles d’accès aux données OneLake prennent en charge deux méthodes d’ajout d’utilisateurs à un rôle. La méthode principale consiste à ajouter des utilisateurs ou des groupes directement à un rôle à l’aide de la zone Ajouter des personnes ou des groupes dans la page Attribuer un rôle. La deuxième consiste à créer des appartenances virtuelles avec des groupes d’autorisations à l’aide du contrôle Configuration avancée.

L’ajout d’utilisateurs directement à un rôle ajoute les utilisateurs en tant que membres explicites du rôle. Ces utilisateurs apparaissent avec leur nom et leur image affichés dans la liste Membres.

Les membres virtuels permettent d'ajuster dynamiquement l'appartenance au rôle en fonction des autorisations sur les éléments de Fabric des utilisateurs. En sélectionnant Configuration avancée et en sélectionnant une autorisation, vous ajoutez n’importe quel utilisateur dans l’espace de travail Fabric disposant de toutes les autorisations sélectionnées en tant que membre implicite du rôle. Par exemple, si vous avez choisi ReadAll, Écriture alors un utilisateur de l’espace de travail Fabric disposant des autorisations ReadAll et Écriture sur l’élément serait inclus en tant que membre du rôle. Vous pouvez voir quels utilisateurs sont ajoutés par un groupe d’autorisations en examinant la colonne Ajouté à l’aide de dans l’onglet Membres du rôle. Ces membres ne peuvent pas être supprimés manuellement directement. Pour supprimer un membre ajouté via un groupe d’autorisations, supprimez le groupe d’autorisations du rôle.

Quel que soit le type d’appartenance que vous utilisez, les rôles d’accès aux données prennent en charge l’ajout d’utilisateurs individuels, de groupes Microsoft Entra et de principaux de sécurité.

Attribuer des membres virtuels

Les autorisations qui peuvent être utilisées pour les membres virtuels sont les suivantes :

• Lire
• Écrire
• Repartager
• Exécuter
• Lire tout

Pour affecter des utilisateurs avec des groupes d’autorisations, procédez comme suit :

1. Sélectionnez le nom du rôle auquel vous souhaitez attribuer des membres.

2. Dans la page des détails du rôle, sélectionnez l’onglet Membres du rôle.

3. Sélectionnez Ajouter des membres.

4. Sélectionnez Configuration avancée.

   

5. Dans la zone Groupes d’autorisations, cochez la case en regard de chaque autorisation pour laquelle vous souhaitez inclure des utilisateurs.

   Chaque groupe d’autorisations affiche le nombre d’utilisateurs inclus dans ce groupe.

   La sélection de plusieurs groupes d’autorisations inclut les utilisateurs disposant de toutes les autorisations nécessaires sélectionnées.

6. Sélectionnez Ajouter pour inclure les groupes et enregistrer le rôle.

Problèmes connus

La fonctionnalité d'évaluation du partage de données externes n’est pas compatible avec la préversion des rôles d’accès aux données. Lorsque vous activez la préversion des rôles d’accès aux données sur un lakehouse, tous les partages de données externes existants peuvent cesser de fonctionner.

La sécurité OneLake ne fonctionne pas avec les raccourcis OneLake inter-régions.

Contenu connexe

• Vue d'ensemble de la sécurité de Fabric
• Vue d'ensemble de Fabric et sécurité OneLake
• Modèle de contrôle d’accès aux données