Szerepköralapú hozzáférés-vezérlés (RBAC)
A OneLake RBAC szerepkör-hozzárendelésekkel alkalmazza az engedélyeket a tagokra. Szerepköröket személyekhez, biztonsági csoportokhoz, Microsoft 365-csoportokhoz és terjesztési listákhoz is hozzárendelhet. A felhasználói csoport minden tagja megkapja a hozzárendelt szerepkört.
Ha valaki két vagy több biztonsági csoportban vagy Microsoft 365-csoportban van, a szerepkörök által biztosított legmagasabb szintű engedélyt kapja. Ha felhasználói csoportokat ágyaz be, és szerepkört rendel egy csoporthoz, az összes benne foglalt felhasználó rendelkezik engedéllyel.
A OneLake RBAC lehetővé teszi, hogy a felhasználók csak a Lakehouse-elemekhez definiáljanak adathozzáférési szerepköröket.
A OneLake RBAC korlátozza a Munkaterület-megjelenítővel rendelkező felhasználók adathozzáférését, vagy olvasási hozzáférést biztosít egy tóházhoz. Ez nem vonatkozik a munkaterület rendszergazdáira, tagjaira vagy közreműködőire. Ennek eredményeképpen a OneLake RBAC csak olvasási szintű engedélyeket támogat.
RBAC-szerepkörök létrehozása
A OneLake RBAC-szerepköröket a Lakehouse adathozzáférési beállításaival határozhatja meg és kezelheti.
További információ az adatelérési szerepkörök használatának első lépéseiről.
Alapértelmezett RBAC-szerepkör a lakehouse-ban
Amikor a felhasználó létrehoz egy új lakehouse-t, a OneLake létrehoz egy alapértelmezett RBAC-szerepkört.Default Readers A szerepkör lehetővé teszi, hogy a ReadAll engedéllyel rendelkező összes felhasználó beolvassa az elem összes mappáit.
Az alapértelmezett szerepkördefiníció a következő:
| Hálóelem | Szerepkörnév | Engedély | Mappák belefoglalva | Hozzárendelt tagok |
|---|---|---|---|---|
| Lakehouse | DefaultReader |
ReadAll | Az összes mappa a Tables/Files/ |
Minden felhasználó ReadAll engedéllyel |
Feljegyzés
Az adott felhasználókhoz vagy mappákhoz való hozzáférés korlátozásához módosítania kell az alapértelmezett szerepkört, vagy el kell távolítania, és létre kell hoznia egy új egyéni szerepkört.
Öröklés a OneLake RBAC-ben
Egy adott mappa esetében a OneLake RBAC-engedélyek mindig a mappa fájljainak és almappáinak teljes hierarchiáját öröklik.
Például a OneLake-ben lévő tóház következő hierarchiáját tekintve.
Tables/
──── (empty folder)
Files/
────folder1
│ │ file11.txt
│ │
│ └───subfolder11
│ │ file1111.txt
| │
│ └───subfolder111
| │ file1111.txt
│
└───folder2
│ file21.txt
Az adott hierarchia esetében a OneLake RBAC-engedélyek az alábbi módon örökölnek és Role2 örökölnekRole1:
| Szerep | Engedély | Az engedélyben definiált mappa | Az engedélyt öröklő mappák és fájlok |
| Szerepkör1 | Olvas | mappa1 |
|
| Szerepkör2 | Olvas | mappa2 |
|
Bejárás és listaelem a OneLake RBAC-ben
A OneLake RBAC automatikusan bejárja a szülőelemeket, hogy az adatok könnyen felderíthetőek legyenek. Ha egy felhasználónak olvasást ad az almappának11 lehetővé teszi a felhasználó számára a szülőkönyvtár mappa1 listázását és bejárását. Ez a funkció hasonló a Windows mappaengedélyekhez, ahol az almappákhoz való hozzáférés felderítést és bejárást biztosít a szülőkönyvtárak számára. A szülőnek megadott lista és bejárás nem terjed ki a közvetlen szülőkön kívüli egyéb elemekre, így biztosítva a többi mappa biztonságát.
Például a OneLake-ben lévő tóház következő hierarchiáját tekintve.
Tables/
──── (empty folder)
Files/
────folder1
│ │ file11.txt
│ │
│ └───subfolder11
│ │ file111.txt
| │
│ └───subfolder111
| │ file1111.txt
│
└───folder2
│ file21.txt
Az adott hierarchia esetében a OneLake RBAC-engedélyek a "Role1" számára a következő hozzáférést biztosítják. Vegye figyelembe, hogy a file11.txt elérése nem látható, mivel nem az almappák szülője11. A 2. szerepkörhöz hasonlóan a file111.txt sem látható.
| Szerep | Engedély | Az engedélyben definiált mappa | Az engedélyt öröklő mappák és fájlok |
| Szerepkör1 | Olvas | almappák11 |
|
| Szerepkör2 | Olvas | almappák111 |
|
A billentyűparancsok esetében a lista viselkedése kissé eltérő. A külső adatforrásokra mutató parancsikonok ugyanúgy viselkednek, mint a mappák, azonban a más OneLake-helyekre mutató parancsikonok speciális viselkedést tanúsítanak. A OneLake-parancsikonokhoz való hozzáférést a parancsikon célengedélyei határozzák meg. A billentyűparancsok felsorolásakor nem történik hívás a célhozzáférés ellenőrzéséhez. Ennek eredményeképpen egy címtár listázásakor a rendszer minden belső parancsikont visszaad, függetlenül attól, hogy a felhasználó hozzáfér-e a célhoz. Amikor egy felhasználó megpróbálja megnyitni a parancsikont, a hozzáférés-ellenőrzés kiértékeli, és a felhasználó csak a szükséges engedélyekkel rendelkező adatokat látja. A billentyűparancsokkal kapcsolatos további információkért tekintse meg a billentyűparancsok biztonsági szakaszát.
Az alábbi példák a következő mappahierarchiát használják.
Files/
────folder1
│
└───shortcut2
|
└───shortcut3
| Szerep | Engedély | Az engedélyben definiált mappa | Fájlok listázásának eredménye |
| Szerepkör1 | Olvas | mappa1 |
|
| Szerepkör2 | N/A | N/A |
|
A OneLake RBAC-engedélyek kiértékelése hálóengedélyekkel
A munkaterület- és elemengedélyek lehetővé teszik a "durva szemcsés" hozzáférést az adott elem adataihoz a OneLake-ben. A OneLake RBAC-engedélyek lehetővé teszik, hogy a OneLake-beli adathozzáférést csak adott mappákra korlátozza.
OneLake RBAC- és munkaterület-engedélyek
A munkaterület engedélyei a OneLake-ben lévő adatok első biztonsági határa. Minden munkaterület egyetlen tartományt vagy projektterületet jelöl, ahol a csapatok együttműködhetnek az adatokon. Háló-munkaterületi szerepkörök segítségével kezelheti a munkaterület biztonságát. További információ a Háló szerepköralapú hozzáférés-vezérléséről (RBAC): Munkaterületi szerepkörök
A Fabric munkaterületi szerepkörei a következő engedélyeket biztosítják a OneLake-ben.
| Engedély | Admin | Tag | Közreműködő | Megtekintő |
|---|---|---|---|---|
| Fájlok megtekintése a OneLake-ben | Mindig* Igen | Mindig* Igen | Mindig* Igen | Alapértelmezés szerint nem. A OneLake RBAC használatával adja meg a hozzáférést. |
| Fájlok írása a OneLake-ben | Mindig* Igen | Mindig* Igen | Mindig* Igen | Nem |
Feljegyzés
*Mivel a munkaterület-rendszergazdai, tag- és közreműködői szerepkörök automatikusan írási engedélyeket adnak a OneLake-nek, felülbírálja a OneLake RBAC olvasási engedélyeit.
| Munkaterületi szerepkör | A OneLake RBAC olvasási engedélyeket alkalmaz? |
|---|---|
| Rendszergazda, közreműködő, tag | Nem, a OneLake Security figyelmen kívül hagyja a OneLake RBC olvasási engedélyeit |
| Megtekintő | Igen, ha meg van adva, a OneLake RBAC olvasási engedélyei lesznek alkalmazva |
OneLake RBAC és Lakehouse engedélyek
A munkaterületen belül a hálóelemek a munkaterületi szerepköröktől elkülönítve konfigurálhatók engedélyekkel. Az engedélyeket egy elem megosztásával vagy egy elem engedélyeinek kezelésével konfigurálhatja. Az alábbi engedélyek határozzák meg, hogy a felhasználó műveleteket hajthat-e végre a OneLake-ben tárolt adatokon.
Lakehouse-engedélyek
| Lakehouse-engedély | Megtekintheti a fájlokat a OneLake-ben? | Tud fájlokat írni a OneLake-ben? | Képes adatokat olvasni az SQL Analytics-végponton keresztül? |
|---|---|---|---|
| Olvasás | Alapértelmezés szerint a OneLake RBAC használatával adjon hozzáférést. | Nem | Nem |
| ReadAll | Alapértelmezés szerint igen. A OneLake RBAC használatával korlátozza a hozzáférést. | Nem | Nem |
| Írás | Igen | Igen | Igen |
| Végrehajtás, megosztás, ViewOutput, ViewLogs | N/A – önmagában nem adható meg | N/A – önmagában nem adható meg | N/A – önmagában nem adható meg |
OneLake RBAC és Lakehouse SQL Analytics-végpont engedélyei
Az SQL Analytics-végpont egy olyan raktár, amely automatikusan létrejön a Microsoft Fabric egyik Lakehouse-jából. Az ügyfél áttérhet a Lakehouse "Lake" nézetéről (amely támogatja az adatelemzést és az Apache Sparkot) ugyanazon Lakehouse "SQL" nézetére. További információ az SQL Analytics-végpontról a Data Warehouse dokumentációjában : SQL Analytics-végpont.
| SQL Analytics-végpont engedélye | A felhasználók a OneLake-végponton keresztül tekinthetik meg a fájlokat? | A felhasználók a OneLake-végponton keresztül írhatnak fájlokat? | A felhasználók az SQL Analytics-végponton keresztül olvashatják az adatokat? |
|---|---|---|---|
| Olvasás | Alapértelmezés szerint a OneLake RBAC használatával adjon hozzáférést. | Nem | Alapértelmezés szerint nem, de sql részletes engedélyekkel konfigurálható |
| ReadData | Alapértelmezés szerint nem. Hozzáférés biztosítása a OneLake RBAC használatával. | Nem | Igen |
| Írás | Igen | Igen | Igen |
OneLake RBAC és Alapértelmezett Lakehouse szemantikai modell engedélyei
A Microsoft Fabricben, amikor a felhasználó létrehoz egy tóházat, a rendszer a társított alapértelmezett szemantikai modellt is kiépíti. Az alapértelmezett szemantikai modell metrikái a lakehouse-adatokon alapulnak. A szemantikai modell lehetővé teszi, hogy a Power BI betöltse az adatokat jelentéskészítéshez.
| Alapértelmezett szemantikai modellengedély | Megtekintheti a fájlokat a OneLake-ben? | Tud fájlokat írni a OneLake-ben? | Láthatja a sémát a szemantikai modellben? | Képes adatokat olvasni a szemantikai modellben? |
|---|---|---|---|---|
| Olvasás | Alapértelmezés szerint a OneLake RBAC használatával adjon hozzáférést. | Nem | Nem | Alapértelmezés szerint igen. A Power BI objektumszintű biztonságával és a Power BI sorszintű biztonságával korlátozható |
| Létrehozás | Alapértelmezés szerint igen. A OneLake RBAC használatával korlátozza a hozzáférést. | Igen | Igen | Igen |
| Írás | Igen | Igen | Igen | Igen |
| Újramegosztás | N/A – önmagában nem adható meg | N/A – önmagában nem adható meg | N/A – önmagában nem adható meg | N/A – önmagában nem adható meg |
Lakehouse-megosztás és OneLake RBAC-engedélyek
Amikor a felhasználó megoszt egy tóházat, hozzáférést ad más felhasználóknak vagy felhasználói csoportoknak a tóházhoz anélkül, hogy hozzáférést adnának a munkaterülethez és annak többi eleméhez. A megosztott lakehouse a Data Hubon vagy a Microsoft Fabrics Velem megosztva szakaszán keresztül érhető el.
Ha valaki megoszt egy tóházat, hozzáférést is biztosíthat az SQL Analytics-végponthoz és a társított alapértelmezett szemantikai modellhez.
| Megosztási lehetőség | Megtekintheti a fájlokat a OneLake-ben? | Tud fájlokat írni a OneLake-ben? | Képes adatokat olvasni az SQL Analytics-végponton keresztül? | Megtekintheti és létrehozhat szemantikai modelleket? |
|---|---|---|---|---|
| Nincs kijelölve további engedély | Alapértelmezés szerint a OneLake RBAC használatával adjon hozzáférést. | Nem | Nem | Nem |
| Az összes Apache Spark olvasása | Alapértelmezés szerint igen. A OneLake RBAC használatával korlátozza a hozzáférést. | Nem | Nem | Nem |
| Az ÖSSZES SQL-végpont adatainak olvasása | Alapértelmezés szerint a OneLake RBAC használatával adjon hozzáférést. | Nem | Igen | Nem |
| Jelentések készítése az alapértelmezett adatkészletről | Alapértelmezés szerint igen. A OneLake RBAC használatával korlátozza a hozzáférést. | Nem | Nem | Igen |
További információ az adatmegosztási engedélymodellről:
Parancsikonok
OneLake RBAC belső parancsikonokban
A lakehouse bármely mappája esetében az RBAC-engedélyek mindig öröklik az összes belső parancsikont , ahol a mappa célként van definiálva.
Amikor egy felhasználó egy másik OneLake-helyre mutató parancsikonon keresztül fér hozzá az adatokhoz, a rendszer a hívó felhasználó identitásával engedélyezi az adatokhoz való hozzáférést a parancsikon célútvonalán*. Ennek eredményeképpen a felhasználónak OneLake RBAC-engedélyekkel kell rendelkeznie a célhelyen az adatok olvasásához.
Fontos
Ha Power BI szemantikai modelleken vagy T-SQL-en keresztül fér hozzá a billentyűparancsokhoz, a rendszer nem továbbítja a hívó felhasználó identitását a parancsikon-célnak. A hívóelem-tulajdonos identitása átadása helyett a rendszer delegálja a hívó felhasználó hozzáférését.
A belső parancsikon RBAC-engedélyeinek megadása nem engedélyezett, és a célelemben található célmappában kell definiálni. Mivel az RBAC-engedélyek meghatározása csak a lakehouse-elemekre korlátozódik, a OneLake csak a lakehouse-elemek mappáit megcélzó parancsikonokhoz engedélyezi az RBAC-engedélyeket.
A következő táblázat azt határozza meg, hogy a megfelelő billentyűparancs-forgatókönyv támogatott-e a OneLake RBAC-engedélyek meghatározásához.
| Belső billentyűparancs-forgatókönyv | OneLake RBAC-engedélyek támogatottak? | Megjegyzések |
|---|---|---|
| Parancsikon egy lakehouse1-ben, amely az ugyanabban a tóházban található 2. mappára mutat. | Támogatott. | Ha a parancsikonban korlátozni szeretné az adatokhoz való hozzáférést, adja meg a OneLake RBAC-t a folder2-hez. |
| Parancsikon egy lakehouse1-ben, amely egy másik lakehouse2-ben található mappa2-ra mutat | Támogatott. | Ha a parancsikonban korlátozni szeretné az adatokhoz való hozzáférést, adja meg a OneLake RBAC-t a lakehouse2 2 mappához. |
| Parancsikon egy adattárházban található táblára mutató tóházban | Nem támogatott. | A OneLake nem támogatja az RBAC-engedélyek meghatározását az adattárházakban. A hozzáférés meghatározása a ReadAll engedély alapján történik. |
| Parancsikon egy tóházban egy KQL-adatbázisban található táblára mutatva | Nem támogatott. | A OneLake nem támogatja az RBAC-engedélyek meghatározását a KQL-adatbázisokban. A hozzáférés meghatározása a ReadAll engedély alapján történik. |
OneLake RBAC külső billentyűparancsokban (ADLS, S3, Dataverse)
A OneLake támogatja az RBAC-engedélyek meghatározását olyan billentyűparancsokhoz, mint az ADLS, az S3 és a Dataverse billentyűparancsok. Ebben az esetben az RBAC-modell az ilyen típusú parancsikonhoz engedélyezett delegált engedélyezési modellre lesz alkalmazva.
Tegyük fel, hogy az 1. felhasználó létrehoz egy S3-parancsikont egy lakehouse-ban, amely egy AWS S3-gyűjtő mappájára mutat. Ezután a 2. felhasználó megpróbál hozzáférni az adatokhoz ebben a parancsikonban.
| Engedélyezi az S3-kapcsolat a delegált felhasználó1 hozzáférését? | Engedélyezi a OneLake RBAC a hozzáférést a kérelmező felhasználó számára2? | Eredmény: A user2 hozzáférhet az adatokhoz az S3-ban parancsikonban? |
|---|---|---|
| Igen | Igen | Igen |
| Nem | Nem | Nem |
| Nem | Igen | Nem |
| Igen | Nem | Nem |
Az RBAC-engedélyeket a parancsikon teljes hatóköréhez (a teljes célmappához) meg kell határozni, de rekurzív módon örökölni kell az összes almappáját és fájlját.
További információ az S3, az ADLS és a Dataverse billentyűparancsokról a OneLake-billentyűparancsokban.
A OneLake RBAC korlátai
Az alábbi táblázat a OneLake adathozzáférési szerepkörök korlátozásait ismerteti.
| Eset | Korlát |
|---|---|
| A OneLake RBAC-szerepkörök maximális száma hálóelemenként | Legfeljebb 250 szerepkör minden lakehouse-elemhez. |
| Tagok maximális száma OneLake RBAC-szerepkörenként | Szerepkörenként legfeljebb 500 felhasználó és felhasználói csoport. |
| Az engedélyek maximális száma OneLake RBAC-szerepkörenként | Szerepkörenként legfeljebb 500 engedély |
Késések a OneLake RBAC-ben
- Ha módosít egy OneLake RBAC szerepkördefiníciót, a OneLake körülbelül 5 percet vesz igénybe a frissített definíciók alkalmazásához.
- Ha módosít egy felhasználói csoportot a OneLake RBAC-szerepkörben, a OneLake körülbelül egy órát vesz igénybe a szerepkör engedélyeinek alkalmazása a frissített felhasználói csoportban.