Bagikan melalui

Mulai menggunakan peran akses data OneLake (pratinjau)

  • Artikel

Gambaran Umum

Peran akses data OneLake untuk folder adalah fitur baru yang memungkinkan Anda menerapkan kontrol akses berbasis peran (RBAC) ke data Anda yang disimpan di OneLake. Anda dapat menentukan peran keamanan yang memberikan akses baca ke folder tertentu dalam item Fabric, dan menetapkannya kepada pengguna atau grup. Izin akses menentukan folder apa yang dilihat pengguna saat mengakses tampilan data lake, baik melalui UX lakehouse, notebook, atau ONELake API.

Pengguna Fabric dalam peran Admin, Anggota, atau Kontributor dapat memulai dengan membuat peran akses data OneLake untuk memberikan akses hanya ke folder tertentu di lakehouse. Untuk memberikan akses ke data di lakehouse, tambahkan pengguna ke peran akses data. Pengguna yang bukan bagian dari peran akses data tidak melihat data di lakehouse tersebut.

Catatan

Keamanan peran akses data HANYA berlaku untuk pengguna yang mengakses OneLake secara langsung. Item fabric seperti titik akhir analitik SQL, model semantik, dan gudang memiliki model keamanan mereka sendiri dan mengakses OneLake melalui identitas yang didelegasikan. Ini berarti pengguna dapat melihat item yang berbeda di setiap beban kerja jika mereka diberi akses ke beberapa item.

Cara ikut serta

Semua lakehouse di Fabric memiliki fitur pratinjau peran akses data yang dinonaktifkan secara default. Fitur pratinjau dikonfigurasi berdasarkan per lakehouse. Kontrol keikutsertaan memungkinkan satu lakehouse untuk mencoba pratinjau tanpa mengaktifkannya pada lakehouse atau item Fabric lainnya.

Untuk mengaktifkan pratinjau, Anda harus menjadi Admin, Anggota, atau Kontributor di ruang kerja. Navigasi ke lakehouse dan pilih tombol Kelola akses data OneLake (pratinjau) di pita untuk membuka dialog konfirmasi. Pratinjau peran akses data tidak kompatibel dengan pratinjau Berbagi data eksternal. Jika Anda 'ok dengan perubahan, pilih Lanjutkan. UX kelola peran terbuka dan fitur sekarang diaktifkan.

Fitur pratinjau tidak dapat dinonaktifkan setelah diaktifkan.

Untuk memastikan pengalaman keikutsertaan yang lancar, semua pengguna dengan izin baca ke data di lakehouse terus memiliki akses baca. Migrasi akses dilakukan melalui pembuatan peran akses data default yang disebut "DefaultReader." Menggunakan keanggotaan peran virtual semua pengguna yang memiliki izin yang diperlukan untuk melihat data di lakehouse (izin ReadAll) disertakan sebagai anggota peran default ini. Untuk mulai membatasi akses ke pengguna tersebut, pastikan bahwa peran DefaultReader dihapus atau bahwa izin ReadAll dihapus dari pengguna yang mengakses.

Penting

Pastikan bahwa setiap pengguna yang disertakan dalam peran akses data juga bukan bagian dari peran DefaultReader. Jika tidak, mereka akan mempertahankan akses penuh ke data.

Jenis data apa yang dapat diamankan?

Peran akses data OneLake dapat digunakan untuk mengelola akses baca OneLake ke folder di lakehouse. Akses baca dapat diberikan ke folder apa pun di lakehouse, dan tidak ada akses ke folder adalah status default. Keamanan yang ditetapkan oleh peran akses data berlaku secara eksklusif untuk akses terhadap API khusus OneLake atau OneLake. Untuk informasi selengkapnya, lihat model kontrol akses data.

Prasyarat

Untuk mengonfigurasi keamanan untuk lakehouse, Anda harus menjadi Admin, Anggota, atau Kontributor untuk ruang kerja. Pembuatan peran dan penetapan keanggotaan berlaku segera setelah peran disimpan, jadi pastikan Anda ingin memberikan akses sebelum menambahkan seseorang ke peran.

Peran akses data OneLake hanya didukung untuk item lakehouse.

Membuat peran

  1. Buka lakehouse tempat Anda ingin menentukan keamanan.
  2. Di sisi kanan pita lakehouse, pilih Kelola akses data OneLake (pratinjau).
  3. Di kiri atas panel Kelola akses data OneLake, pilih Peran Baru, dan ketik nama peran yang Anda inginkan. Nama peran memiliki batasan tertentu:
    1. Nama peran hanya dapat berisi karakter alfanumerik.
    2. Nama peran harus dimulai dengan huruf.
    3. Nama tidak peka huruf besar/kecil dan harus unik.
    4. Panjang nama maksimum adalah 128 karakter.
  4. Pilih tombol Semua folder jika Anda ingin peran ini berlaku untuk semua folder di lakehouse ini.
    1. Pilihan ini mencakup folder apa pun yang ditambahkan di masa mendatang.
  5. Pilih folder Terpilih jika Anda hanya ingin memiliki peran ini yang berlaku untuk folder yang dipilih.
    1. Centang kotak di samping folder yang ingin Anda terapkan perannya.
    2. Peran memberikan akses ke folder. Untuk mengizinkan pengguna mengakses folder, centang kotak di sampingnya. Jika pengguna tidak melihat folder, jangan centang kotak.
    3. Di kiri bawah, pilih Simpan untuk membuat peran Anda.
  6. Di kiri atas, pilih Tetapkan peran untuk membuka panel keanggotaan peran.
  7. Tambahkan orang, grup, atau alamat email ke kontrol Tambahkan orang atau grup . Untuk informasi selengkapnya, lihat Menetapkan anggota atau grup.
  8. Pilih Tambahkan untuk memindahkan pilihan Anda ke daftar Orang dan grup yang ditetapkan. Memilih Tambahkan belum menyimpan pilihan Anda.
  9. Pilih Simpan dan tunggu pemberitahuan bahwa peran berhasil diterbitkan.
  10. Pilih X di kanan atas untuk keluar dari panel.

Mengedit peran

  1. Buka lakehouse tempat Anda ingin menentukan keamanan.
  2. Di sisi kanan pita lakehouse, pilih Kelola akses data OneLake (pratinjau).
  3. Pada panel Kelola akses data OneLake, arahkan mouse ke atas peran yang ingin Anda edit dan pilih.
  4. Anda dapat mengubah folder mana yang diberikan akses dengan memilih atau membatalkan pilihan kotak centang di samping setiap folder.
  5. Untuk mengubah orang, pilih Tetapkan peran. Untuk informasi selengkapnya, lihat Menetapkan anggota atau grup.
  6. Untuk menambahkan lebih banyak orang, ketik nama dalam kotak Tambahkan orang atau grup dan pilih Tambahkan.
  7. Untuk menghapus orang, pilih nama mereka di bawah Orang dan grup yang ditetapkan dan pilih Hapus.
  8. Pilih Simpan dan tunggu pemberitahuan bahwa peran berhasil diterbitkan.
  9. Pilih X di kanan atas untuk keluar dari panel.

Menghapus peran

  1. Buka lakehouse tempat Anda ingin menentukan keamanan.
  2. Di sisi kanan pita lakehouse, pilih Kelola akses data OneLake (pratinjau).
  3. Pada panel Kelola akses data OneLake, centang kotak di samping peran yang ingin Anda hapus.
  4. Pilih Hapus dan tunggu pemberitahuan bahwa peran berhasil dihapus.
  5. Pilih X di kanan atas untuk keluar dari panel.

Menetapkan anggota atau grup

Peran akses data OneLake mendukung dua metode berbeda untuk menambahkan pengguna ke peran. Metode utama adalah dengan menambahkan pengguna atau grup langsung ke peran menggunakan kotak Tambahkan orang atau grup di halaman Tetapkan peran. Yang kedua menggunakan keanggotaan virtual dengan otomatis menambahkan pengguna dengan semua kontrol izin ini.

Menambahkan pengguna langsung ke peran dengan kotak Tambahkan orang atau grup menambahkan pengguna sebagai anggota eksplisit peran. Pengguna ini muncul hanya dengan nama dan gambar mereka yang ditampilkan di daftar Orang dan grup yang ditetapkan.

Anggota virtual memungkinkan keanggotaan peran disesuaikan secara dinamis berdasarkan izin item Fabric pengguna. Dengan memilih kotak Tambahkan pengguna secara otomatis dengan semua izin ini dan memilih izin, Anda menambahkan pengguna apa pun di ruang kerja Fabric yang memiliki semua izin yang dipilih sebagai anggota implisit peran. Misalnya, jika Anda memilih ReadAll, Tulis maka setiap pengguna ruang kerja Fabric yang memiliki izin ReadAll AND Write ke lakehouse akan disertakan sebagai anggota peran. Anda dapat melihat pengguna mana yang ditambahkan sebagai anggota virtual dengan mencari teks "Ditetapkan oleh izin ruang kerja" di bawah namanya di daftar Orang dan grup yang ditetapkan. Anggota ini tidak dapat dihapus secara manual dan harus mencabut izin Fabric yang sesuai agar tidak ditetapkan.

Terlepas dari jenis keanggotaan mana, peran akses data mendukung penambahan pengguna individu, grup Microsoft Entra, dan prinsip keamanan.

Menetapkan anggota

Untuk masuk ke halaman tetapkan anggota ada dua cara:

Metode 1

  1. Pilih nama peran yang ingin Anda tetapkan anggotanya.
  2. Di bagian atas halaman detail peran, pilih Tetapkan peran.

Metode 2

  1. Dari daftar peran, pilih kotak centang di samping peran yang ingin Anda tetapkan anggotanya.
  2. Pilih Tetapkan.

Menetapkan pengguna secara langsung

Dari halaman Tetapkan peran , Anda bisa menambahkan anggota atau grup dengan mengetikkan nama atau alamat email mereka di kotak Tambahkan orang atau grup . Pilih pada hasil yang ingin Anda pilih pengguna tersebut. Anda dapat mengulangi langkah ini untuk pengguna sebanyak yang Anda inginkan. Jika Anda memilih pengguna yang salah, Anda dapat memilih X di samping entri mereka untuk menghapusnya dari kotak, atau pilih Hapus untuk menghapus semua entri. Setelah selesai, pilih Tambahkan untuk memindahkan pengguna yang dipilih ke daftar akses. Menambahkannya ke daftar belum disimpan. Ini adalah pratinjau daftar keanggotaan peran setelah pengguna tersebut ditambahkan.

Untuk menerbitkan perubahan akses, pilih Simpan di bagian bawah panel.

Menetapkan anggota virtual

Untuk menambahkan anggota virtual, gunakan kotak Tambahkan pengguna secara otomatis dengan semua izin ini. Pilih kotak untuk membuka pemilih dropdown untuk memilih izin Fabric untuk divirtualisasikan. Pengguna divirtualisasi jika mereka memiliki semua izin yang diperiksa.

Izin yang dapat digunakan untuk virtualisasi adalah:

  • Baca
  • Tulis
  • Membagikan ulang
  • Jalankan
  • ReadAll
  • LihatOutput
  • TampilkanLog

Setelah izin dipilih, setiap anggota virtual ditampilkan di daftar Orang dan grup yang ditetapkan. Pengguna memiliki teks di samping nama mereka yang menunjukkan bahwa mereka ditetapkan oleh izin ruang kerja. Pengguna ini tidak dapat dihapus secara manual dari penetapan peran. Sebagai gantinya, hapus izin yang sesuai dari kontrol virtualisasi atau hapus izin Fabric.

Masalah umum

Fitur pratinjau berbagi data eksternal (tautan) tidak kompatibel dengan pratinjau peran akses data. Saat Anda mengaktifkan pratinjau peran akses data di lakehouse, berbagi data eksternal yang ada mungkin berhenti berfungsi.

Konten terkait