Megosztás a következőn keresztül:

Ismerkedés a OneLake adathozzáférési szerepköreivel (előzetes verzió)

  • Cikk

Áttekintés

A OneLake-beli adathozzáférési szerepkörök mappákhoz egy új funkció, amellyel szerepköralapú hozzáférés-vezérlést (RBAC) alkalmazhat a OneLake-ben tárolt adatokra. Megadhatja azokat a biztonsági szerepköröket, amelyek olvasási hozzáférést biztosítanak egy Hálóelem adott mappáihoz, és hozzárendelheti őket felhasználókhoz vagy csoportokhoz. A hozzáférési engedélyek határozzák meg, hogy a felhasználók milyen mappákat látnak az adatok tónézetének elérésekor a lakehouse UX-eken, jegyzetfüzeteken vagy OneLake API-kon keresztül.

A rendszergazdai, tag- vagy közreműködői szerepkörökben lévő hálófelhasználók a OneLake-adathozzáférési szerepkörök létrehozásával kezdhetik meg a hozzáférést, hogy csak a lakehouse adott mappáihoz biztosítsanak hozzáférést. Ha hozzáférést szeretne biztosítani egy tóházban lévő adatokhoz, adjon hozzá felhasználókat egy adathozzáférési szerepkörhöz. Azok a felhasználók, akik nem tartoznak adathozzáférési szerepkörhöz, nem látnak adatokat az adott tóházban.

Feljegyzés

Az adathozzáférési szerepkör biztonsága CSAK a OneLake-t közvetlenül elérő felhasználókra vonatkozik. Az olyan hálóelemek, mint az SQL Analytics-végpontok, a szemantikai modellek és a raktárak saját biztonsági modellekkel rendelkeznek, és delegált identitáson keresztül férnek hozzá a OneLake-hez. Ez azt jelenti, hogy a felhasználók különböző elemeket láthatnak az egyes számítási feladatokban, ha több elemhez is hozzáférést kapnak.

A bejelentkezés menete

A Fabric összes lakehouse-jában alapértelmezés szerint le van tiltva az adatelérési szerepkörök előzetes verziója. Az előzetes verziójú funkció tóházonként van konfigurálva. Az opt-in vezérlő lehetővé teszi, hogy egyetlen lakehouse kipróbálja az előnézetet anélkül, hogy engedélyezve lenne bármely más lakehouse-on vagy Fabric-elemen.

Az előnézet engedélyezéséhez rendszergazdának, tagnak vagy közreműködőnek kell lennie a munkaterületen. Lépjen egy tóházra, és válassza a OneLake adathozzáférés kezelése (előzetes verzió) gombot a menüszalagon a megerősítést kérő párbeszédpanel megnyitásához. Az adathozzáférési szerepkörök előzetes verziója nem kompatibilis a külső adatmegosztási előzetes verzióval. Ha nincs rendben a módosítással, válassza a Folytatás lehetőséget. Megnyílik a felügyeleti szerepkörök UX-je, és a funkció engedélyezve van.

Az előzetes verziójú funkció nem kapcsolható ki, ha engedélyezve van.

A zökkenőmentes felhasználói élmény biztosítása érdekében a lakehouse-beli adatok olvasási engedéllyel rendelkező összes felhasználója továbbra is olvasási hozzáféréssel rendelkezik. A hozzáférés migrálása a "DefaultReader" nevű alapértelmezett adatelérési szerepkör létrehozásával történik. A virtualizált szerepkör-tagságok használata az alapértelmezett szerepkör tagjai közé tartozik minden olyan felhasználó, aki rendelkezik a lakehouse-adatok megtekintéséhez szükséges engedélyekkel (a ReadAll engedéllyel). A felhasználók hozzáférésének korlátozásához győződjön meg arról, hogy a DefaultReader szerepkör törölve van, vagy hogy a ReadAll engedély el lett távolítva a hozzáféréssel rendelkező felhasználóktól.

Fontos

Győződjön meg arról, hogy az adatelérési szerepkörben szereplő felhasználók nem részei a DefaultReader szerepkörnek. Ellenkező esetben teljes hozzáférést biztosítanak az adatokhoz.

Milyen típusú adatok védhetők?

A OneLake adathozzáférési szerepkörök segítségével kezelheti a OneLake-nek a lakehouse-beli mappákhoz való olvasási hozzáférését. Az olvasási hozzáférés a lakehouse bármely mappájába megadható, és a mappákhoz való hozzáférés nem az alapértelmezett állapot. Az adathozzáférési szerepkörök által beállított biztonsági beállítások kizárólag a OneLake-hez vagy a OneLake-specifikus API-khoz való hozzáférésre vonatkoznak. További információkért tekintse meg az adathozzáférés-vezérlési modellt.

Előfeltételek

A lakehouse biztonságának konfigurálásához rendszergazdának, tagnak vagy közreműködőnek kell lennie a munkaterületen. A szerepkör létrehozása és a tagság-hozzárendelés a szerepkör mentése után azonnal érvénybe lép, ezért mielőtt hozzáadna valakit egy szerepkörhöz, győződjön meg arról, hogy hozzáférést szeretne adni.

A OneLake adathozzáférési szerepkörök csak a lakehouse-elemek esetében támogatottak.

Szerepkör létrehozása

  1. Nyissa meg azt a tóházat, ahol meg szeretné határozni a biztonságot.
  2. A lakehouse menüszalag jobb oldalán válassza a OneLake-adathozzáférés kezelése (előzetes verzió) lehetőséget.
  3. A OneLake-adatelérési panel bal felső részén válassza az Új szerepkör lehetőséget, és írja be a kívánt szerepkörnevet. A szerepkör neve bizonyos korlátozásokkal rendelkezik:
    1. A szerepkör neve csak alfanumerikus karaktereket tartalmazhat.
    2. A szerepkör nevének betűvel kell kezdődnie.
    3. A nevek nem érzéketlenek, és egyedinek kell lenniük.
    4. A név hossza legfeljebb 128 karakter lehet.
  4. Válassza a Minden mappa kapcsolót, ha azt szeretné, hogy ez a szerepkör a tóházban lévő összes mappára vonatkozzanak.
    1. Ez a kijelölés a jövőben hozzáadott mappákat is tartalmazza.
  5. Jelölje ki a kijelölt mappákat , ha csak a kijelölt mappákra szeretné alkalmazni ezt a szerepkört.
    1. Jelölje be azon mappák melletti jelölőnégyzeteket, amelyeket a szerepkörnek alkalmaznia kell.
    2. A szerepkörök hozzáférést biztosítanak a mappákhoz. Ha engedélyezni szeretné, hogy egy felhasználó hozzáférjen egy mappához, jelölje be a mellette lévő jelölőnégyzetet. Ha egy felhasználónak nem kellene mappát látnia, ne jelölje be a jelölőnégyzetet.
    3. A bal alsó sarokban válassza a Mentés lehetőséget a szerepkör létrehozásához.
  6. A bal felső sarokban válassza a Szerepkör hozzárendelése lehetőséget a szerepkör-tagság panel megnyitásához.
  7. Személyek, csoportok vagy e-mail-címek hozzáadása a Személyek vagy csoportok hozzáadása vezérlőhöz. További információ: Tag vagy csoport hozzárendelése.
  8. A Hozzáadás gombra kattintva áthelyezheti a kijelölést a Hozzárendelt felhasználók listába. A Hozzáadás gombra kattintva még nem menti a kijelölést.
  9. Válassza a Mentés lehetőséget, és várja meg a szerepkörök sikeres közzétételéről szóló értesítést.
  10. A jobb felső sarokban lévő X elemet választva lépjen ki a panelről.

Szerepkör szerkesztése

  1. Nyissa meg azt a tóházat, ahol meg szeretné határozni a biztonságot.
  2. A lakehouse menüszalag jobb oldalán válassza a OneLake-adathozzáférés kezelése (előzetes verzió) lehetőséget.
  3. A OneLake-adatelérési panelen mutasson a szerkeszteni kívánt szerepkörre, és jelölje ki.
  4. Az egyes mappák melletti jelölőnégyzetek bejelölésével vagy jelölésének törlésével módosíthatja, hogy mely mappákhoz kap hozzáférést.
  5. A személyek módosításához válassza a Szerepkör hozzárendelése lehetőséget. További információ: Tag vagy csoport hozzárendelése.
  6. További személyek hozzáadásához írja be a neveket a Személyek vagy csoportok hozzáadása mezőbe, és válassza a Hozzáadás lehetőséget.
  7. Személyek eltávolításához válassza ki a nevüket a Hozzárendelt felhasználók területen, és válassza az Eltávolítás lehetőséget.
  8. Válassza a Mentés lehetőséget, és várja meg a szerepkörök sikeres közzétételéről szóló értesítést.
  9. A jobb felső sarokban lévő X elemet választva lépjen ki a panelről.

Szerepkör törlése

  1. Nyissa meg azt a tóházat, ahol meg szeretné határozni a biztonságot.
  2. A lakehouse menüszalag jobb oldalán válassza a OneLake-adathozzáférés kezelése (előzetes verzió) lehetőséget.
  3. A OneLake-adatelérési panelen jelölje be a törölni kívánt szerepkörök melletti jelölőnégyzetet.
  4. Válassza a Törlés lehetőséget, és várja meg a szerepkörök sikeres törléséről szóló értesítést.
  5. A jobb felső sarokban lévő X elemet választva lépjen ki a panelről.

Tag vagy csoport hozzárendelése

A OneLake adathozzáférési szerepkörök két különböző módszert támogatnak a felhasználók szerepkörhöz való hozzáadásához. A fő módszer az, hogy felhasználókat vagy csoportokat ad hozzá közvetlenül egy szerepkörhöz a Szerepkör hozzárendelése lap Személyek vagy csoportok hozzáadása mezőjével. A második a virtuális tagságok használata a Felhasználók hozzáadása a Lakehouse-engedélyek vezérlése alapján.

Ha közvetlenül hozzáadja a felhasználókat egy szerepkörhöz a Személyek vagy csoport hozzáadása mezővel, a felhasználók a szerepkör explicit tagjaiként lesznek hozzáadva. Ezek a felhasználók a nevükkel és a képükkel jelennek meg a Hozzárendelt személyek és csoportok listában.

A virtuális tagok lehetővé teszik a szerepkör tagságának dinamikus módosítását a felhasználók Hálóelem-engedélyei alapján. Ha kiválasztja a Felhasználók hozzáadása Lakehouse-engedélyek alapján jelölőnégyzetet , és kiválaszt egy engedélyt, a Fabric munkaterületen olyan felhasználót vesz fel, aki a szerepkör implicit tagjaként az összes kijelölt engedéllyel rendelkezik. Ha például a ReadAll lehetőséget választja , akkor az Írás parancsot választva a Fabric-munkaterület bármely olyan felhasználója szerepelni fog a szerepkör tagjaként, aki ReadAll ÉS Write engedélyekkel rendelkezik az elemhez. Láthatja, hogy mely felhasználók lesznek hozzáadva virtuális tagként, ha a Hozzárendelt felhasználók lista Hozzárendelt felhasználók oszlopában a "Lakehouse-engedélyek" értéket keresi. Ezek a tagok nem távolíthatók el manuálisan, és a hozzárendelés megszüntetéséhez vissza kell vonniuk a megfelelő hálóengedélyüket.

A tagság típusától függetlenül az adathozzáférési szerepkörök támogatják az egyéni felhasználók, a Microsoft Entra-csoportok és a biztonsági tagok hozzáadását.

Tagok hozzárendelése

A tagok hozzárendelése lapra kétféleképpen lehet eljutni:

1. módszer

  1. Válassza ki annak a szerepkörnek a nevét, amelyhez tagokat szeretne hozzárendelni.
  2. A szerepkör részletei lap tetején válassza a Szerepkör hozzárendelése lehetőséget.

2. módszer

  1. A szerepkörlistában jelölje be a tagokat hozzárendelni kívánt szerepkör melletti jelölőnégyzetet.
  2. Válassza a Hozzárendelés lehetőséget.

Felhasználók közvetlen hozzárendelése

A Szerepkör hozzárendelése lapon felvehet tagokat vagy csoportokat, ha beírja a nevüket vagy e-mail-címüket a Személyek vagy csoportok hozzáadása mezőbe. Válassza ki azt az eredményt, amelyet fel szeretne venni a felhasználóba. Ezt a lépést annyi felhasználónál megismételheti, amennyit csak szeretne. Ha nem a megfelelő felhasználókat jelölte ki, a bejegyzés melletti X billentyűvel eltávolíthatja őket a mezőből, vagy a Törlés gombra kattintva eltávolíthatja az összes bejegyzést. Ha végzett, a Hozzáadás gombra kattintva áthelyezheti a kijelölt felhasználókat a hozzáférési listára. Ha hozzáadja őket a listához, még nem menti őket. Ez a szerepkör-tagsági lista előzetes verziója, miután hozzáadta a felhasználókat, és az újonnan hozzáadott felhasználók neve mellett megjelenik egy jelző.

A hozzáférési módosítások közzétételéhez válassza a Mentés elemet a panel alján.

Virtuális tagok hozzárendelése

Virtuális tagok hozzáadásához használja a Felhasználók hozzáadása a Lakehouse-engedélyek mező alapján. A legördülő lista megnyitásához jelölje be a jelölőnégyzetet a virtualizálni kívánt hálóengedélyek kiválasztásához. A rendszer virtualizálja a felhasználókat, ha az összes ellenőrzött engedéllyel rendelkeznek.

A virtualizáláshoz használható engedélyek a következők:

  • Olvasás
  • Írás
  • Újramegosztás
  • Végrehajtás
  • ReadAll

Az engedélyek kiválasztása után válassza a Hozzáadás lehetőséget a hozzárendelt felhasználók listájának frissítéséhez a módosításokkal. A felhasználók neve mellett szöveg szerepel, amely azt jelzi, hogy a lakehouse-engedélyek hozzárendelték őket. Ezek a felhasználók nem távolíthatók el manuálisan a szerepkör-hozzárendelésből. Ehelyett távolítsa el a megfelelő engedélyeket a Felhasználók hozzáadása a Lakehouse-engedélyek szabályozása alapján, vagy távolítsa el a Háló engedélyt.

Ismert problémák

A külső adatmegosztás előzetes verziója funkció nem kompatibilis az adathozzáférési szerepkörök előzetes verziójával. Ha engedélyezi az adathozzáférési szerepkörök előzetes verzióját egy tóházban, a meglévő külső adatmegosztások működése leállhat.

Kapcsolódó tartalom