Controllo degli accessi in base al ruolo
Il controllo degli accessi in base al ruolo di OneLake usa le assegnazioni di ruolo per applicare le autorizzazioni ai relativi membri. È possibile assegnare ruoli a singoli utenti o a gruppi di sicurezza, gruppi di Microsoft 365 e liste di distribuzione. Ogni membro del gruppo di utenti ottiene il ruolo assegnato.
Se un utente si trova in due o più gruppi di sicurezza o di Microsoft 365, ottiene il livello di autorizzazione più alto fornito dai ruoli. Se si annidano gruppi di utenti e si assegna un ruolo a un gruppo, tutti gli utenti indipendenti dispongono delle autorizzazioni.
OneLake RBAC consente agli utenti di definire i ruoli di accesso ai dati solo per gli elementi lakehouse.
Il controllo degli accessi in base al ruolo di OneLake limita l'accesso ai dati per gli utenti con Visualizzatore area di lavoro o l'accesso in lettura a una lakehouse. Non si applica alle Amministrazione, ai membri o ai collaboratori dell'area di lavoro. Di conseguenza, Il controllo degli accessi in base al ruolo di OneLake supporta solo il livello di lettura delle autorizzazioni.
Come creare ruoli controllo degli accessi in base al ruolo
È possibile definire e gestire i ruoli controllo degli accessi in base al ruolo di OneLake tramite le impostazioni di accesso ai dati lakehouse.
Per altre informazioni, vedere Introduzione ai ruoli di accesso ai dati.
Ruolo controllo degli accessi in base al ruolo predefinito in lakehouse
Quando l'utente crea un nuovo lakehouse, OneLake genera un ruolo controllo degli accessi in base al ruolo predefinito denominato Default Readers. Il ruolo consente a tutti gli utenti con l'autorizzazione ReadAll di leggere tutte le cartelle nell'elemento.
Ecco la definizione del ruolo predefinita:
| Elemento fabric | Nome ruolo | Autorizzazione | Cartelle incluse | Membri assegnati |
|---|---|---|---|---|
| Lakehouse | DefaultReader |
ReadAll | Tutte le cartelle in Tables/ e Files/ |
Tutti gli utenti con autorizzazione ReadAll |
Nota
Per limitare l'accesso a utenti specifici o cartelle specifiche, è necessario modificare il ruolo predefinito o rimuoverlo e creare un nuovo ruolo personalizzato.
Ereditarietà nel controllo degli accessi in base al ruolo di OneLake
Per una determinata cartella, le autorizzazioni di Controllo degli accessi in base al ruolo di OneLake ereditano sempre nell'intera gerarchia dei file e delle sottocartelle della cartella.
Ad esempio, data la gerarchia seguente di una lakehouse in OneLake.
Tables/
──── (empty folder)
Files/
────folder1
│ │ file11.txt
│ │
│ └───subfolder11
│ │ file1111.txt
| │
│ └───subfolder111
| │ file1111.txt
│
└───folder2
│ file21.txt
Per la gerarchia specificata, le autorizzazioni di Controllo degli accessi in base al ruolo di OneLake per Role1 e Role2 ereditano nel modo seguente:
| Ruolo | Autorizzazione | Cartella definita nell'autorizzazione | Cartelle e file che ereditano l'autorizzazione |
| Role1 | Leggere | folder1 |
|
| Role2 | Leggere | folder2 |
|
Attraversamento e presentazione nel controllo degli accessi in base al ruolo di OneLake
Il controllo degli accessi in base al ruolo di OneLake fornisce l'attraversamento automatico degli elementi padre per garantire che i dati siano facili da individuare. La concessione di un utente Read to subfolder11 concede all'utente la possibilità di elencare e attraversare la cartella della directory padre1. Questa funzionalità è simile alle autorizzazioni delle cartelle di Windows in cui concedere l'accesso a una sottocartella fornisce l'individuazione e l'attraversamento per le directory padre. L'elenco e l'attraversamento concessi all'elemento padre non si estendono ad altri elementi all'esterno dei genitori diretti, assicurando che altre cartelle vengano mantenute protette.
Ad esempio, data la gerarchia seguente di una lakehouse in OneLake.
Tables/
──── (empty folder)
Files/
────folder1
│ │ file11.txt
│ │
│ └───subfolder11
│ │ file111.txt
| │
│ └───subfolder111
| │ file1111.txt
│
└───folder2
│ file21.txt
Per la gerarchia specificata, le autorizzazioni di Controllo degli accessi in base al ruolo di OneLake per 'Role1' forniscono l'accesso seguente. Si noti che l'accesso a file11.txt non è visibile perché non è un elemento padre di sottocartella11. Analogamente per Role2, file111.txt non è visibile.
| Ruolo | Autorizzazione | Cartella definita nell'autorizzazione | Cartelle e file che ereditano l'autorizzazione |
| Role1 | Leggere | sottocartella11 |
|
| Role2 | Leggere | sottocartella111 |
|
Per i tasti di scelta rapida, il comportamento dell'elenco è leggermente diverso. I collegamenti alle origini dati esterne si comportano come le cartelle, ma i collegamenti ad altre posizioni di OneLake hanno un comportamento specializzato. L'accesso a un collegamento OneLake è determinato dalle autorizzazioni di destinazione del collegamento. Quando si elencano i collegamenti, non viene effettuata alcuna chiamata per controllare l'accesso di destinazione. Di conseguenza, quando si elenca una directory verranno restituiti tutti i collegamenti interni indipendentemente dall'accesso di un utente alla destinazione. Quando un utente tenta di aprire il collegamento, il controllo di accesso valuterà e un utente visualizzerà solo i dati che dispongono delle autorizzazioni necessarie per visualizzare. Per altre informazioni sui collegamenti, vedere la sezione sicurezza dei collegamenti.
Gli esempi seguenti usano la gerarchia di cartelle seguente.
Files/
────folder1
│
└───shortcut2
|
└───shortcut3
| Ruolo | Autorizzazione | Cartella definita nell'autorizzazione | Risultato dell'elenco dei file |
| Role1 | Leggere | folder1 |
|
| Role2 | N/D | N/D |
|
Come vengono valutate le autorizzazioni di Controllo degli accessi in base al ruolo di OneLake con le autorizzazioni di Infrastruttura
Le autorizzazioni dell'area di lavoro e dell'elemento consentono di concedere l'accesso "granulare grossolano" ai dati in OneLake per l'elemento specificato. Le autorizzazioni di Controllo degli accessi in base al ruolo di OneLake consentono di limitare l'accesso ai dati solo a cartelle specifiche.
Autorizzazioni di Controllo degli accessi in base al ruolo e dell'area di lavoro di OneLake
Le autorizzazioni dell'area di lavoro sono il primo limite di sicurezza per i dati all'interno di OneLake. Ogni area di lavoro rappresenta un singolo dominio o area di progetto in cui i team possono collaborare ai dati. La sicurezza nell'area di lavoro viene gestita tramite i ruoli dell'area di lavoro infrastruttura. Altre informazioni sul controllo degli accessi in base al ruolo dell'infrastruttura: ruoli dell'area di lavoro
I ruoli dell'area di lavoro in Fabric concedono le autorizzazioni seguenti in OneLake.
| Autorizzazione | Amministratore | Member | Collaboratore | Visualizzatore |
|---|---|---|---|---|
| Visualizzare i file in OneLake | Sempre* Sì | Sempre* Sì | Sempre* Sì | No per impostazione predefinita. Usare il controllo degli accessi in base al ruolo di OneLake per concedere l'accesso. |
| Scrivere file in OneLake | Sempre* Sì | Sempre* Sì | Sempre* Sì | No |
Nota
*Poiché l'area di lavoro Amministrazione, i ruoli membro e collaboratore concedono automaticamente le autorizzazioni di scrittura a OneLake, esegue l'override di tutte le autorizzazioni di lettura di Controllo degli accessi in base al ruolo di OneLake.
| Ruolo area di lavoro | OneLake applica le autorizzazioni di lettura controllo degli accessi in base al ruolo? |
|---|---|
| Amministrazione, Collaboratore, Membro | No, OneLake Security ignorerà tutte le autorizzazioni di lettura di OneLake RBC |
| Visualizzatore | Sì, se definito, verranno applicate le autorizzazioni di lettura controllo degli accessi in base al ruolo di OneLake |
Autorizzazioni di Controllo degli accessi in base al ruolo di OneLake e Lakehouse
All'interno di un'area di lavoro, gli elementi di Infrastruttura possono avere autorizzazioni configurate separatamente dai ruoli dell'area di lavoro. È possibile configurare le autorizzazioni tramite la condivisione di un elemento o la gestione delle autorizzazioni di un elemento. Le autorizzazioni seguenti determinano la capacità di un utente di eseguire azioni sui dati in OneLake.
Autorizzazioni lakehouse
| Autorizzazione Lakehouse | È possibile visualizzare i file in OneLake? | È possibile scrivere file in OneLake? | È possibile leggere i dati tramite l'endpoint di analisi SQL? |
|---|---|---|---|
| Lettura | No per impostazione predefinita, usare Il controllo degli accessi in base al ruolo di OneLake per concedere l'accesso. | No | No |
| ReadAll | Sì per impostazione predefinita. Usare il controllo degli accessi in base al ruolo di OneLake per limitare l'accesso. | No | No |
| Scrittura | Sì | Sì | Sì |
| Ricondividi, ViewOutput, ViewLogs | N/D: non può essere concesso autonomamente | N/D: non può essere concesso autonomamente | N/D: non può essere concesso autonomamente |
Autorizzazioni degli endpoint di Analisi SQL di OneLake e Del controllo degli accessi in base al ruolo di Lakehouse
L'endpoint di analisi SQL è un warehouse generato automaticamente da una Lakehouse in Microsoft Fabric. Un cliente può passare dalla vista "Lake" di Lakehouse (che supporta la progettazione dei dati e Apache Spark) alla vista "SQL" della stessa Lakehouse. Altre informazioni sull'endpoint di analisi SQL nella documentazione di Data Warehouse: Endpoint di analisi SQL.
| Autorizzazione dell'endpoint di Analisi SQL | Gli utenti possono visualizzare i file tramite l'endpoint OneLake? | Gli utenti possono scrivere file tramite OneLake Endpoint? | Gli utenti possono leggere i dati tramite l'endpoint di analisi SQL? |
|---|---|---|---|
| Lettura | No per impostazione predefinita, usare Il controllo degli accessi in base al ruolo di OneLake per concedere l'accesso. | No | No per impostazione predefinita, ma può essere configurato con autorizzazioni granulari sql |
| Readdata | No per impostazione predefinita. Usare il controllo degli accessi in base al ruolo di OneLake per concedere l'accesso. | No | Sì |
| Scrittura | Sì | Sì | Sì |
Autorizzazioni di OneLake RBAC e Default Lakehouse Semantic Model
In Microsoft Fabric, quando l'utente crea una lakehouse, il sistema effettua anche il provisioning del modello semantico predefinito associato. Il modello semantico predefinito include metriche sui dati lakehouse. Il modello semantico consente a Power BI di caricare i dati per la creazione di report.
| Autorizzazione del modello semantico predefinito | È possibile visualizzare i file in OneLake? | È possibile scrivere file in OneLake? | È possibile visualizzare lo schema nel modello semantico? | È possibile leggere i dati nel modello semantico? |
|---|---|---|---|---|
| Lettura | No per impostazione predefinita, usare Il controllo degli accessi in base al ruolo di OneLake per concedere l'accesso. | No | No | Sì per impostazione predefinita. Può essere limitato con la sicurezza a livello di oggetto di Power BI e la sicurezza a livello di riga di Power BI |
| Build | Sì per impostazione predefinita. Usare il controllo degli accessi in base al ruolo di OneLake per limitare l'accesso. | Sì | Sì | Sì |
| Scrittura | Sì | Sì | Sì | Sì |
| Ricondivisione | N/D: non può essere concesso autonomamente | N/D: non può essere concesso autonomamente | N/D: non può essere concesso autonomamente | N/D: non può essere concesso autonomamente |
Autorizzazioni di Condivisione Lakehouse e Controllo degli accessi in base al ruolo di OneLake
Quando l'utente condivide un lakehouse, concede ad altri utenti o a un gruppo di utenti l'accesso a una lakehouse senza concedere l'accesso all'area di lavoro e al resto degli elementi. Il lakehouse condiviso è disponibile tramite l'hub dati o la sezione Condivisi con l'utente corrente in Microsoft Fabrics.
Quando un utente condivide un lakehouse, può anche concedere l'accesso all'endpoint SQL e al modello semantico predefinito associato.
| Opzione di condivisione | È possibile visualizzare i file in OneLake? | È possibile scrivere file in OneLake? | È possibile leggere i dati tramite l'endpoint di analisi SQL? | È possibile visualizzare e compilare modelli semantici? |
|---|---|---|---|---|
| Nessuna autorizzazione aggiuntiva selezionata | No per impostazione predefinita, usare Il controllo degli accessi in base al ruolo di OneLake per concedere l'accesso. | No | No | No |
| Leggere tutto Apache Spark | Sì per impostazione predefinita. Usare il controllo degli accessi in base al ruolo di OneLake per limitare l'accesso. | No | No | No |
| Leggere tutti i dati dell'endpoint SQL | No per impostazione predefinita, usare Il controllo degli accessi in base al ruolo di OneLake per concedere l'accesso. | No | Sì | No |
| Compilare report nel set di dati predefinito | Sì per impostazione predefinita. Usare il controllo degli accessi in base al ruolo di OneLake per limitare l'accesso. | No | No | Sì |
Altre informazioni sul modello di autorizzazioni di condivisione dei dati:
Collegamenti
Controllo degli accessi in base al ruolo di OneLake nei collegamenti interni
Per qualsiasi cartella in una lakehouse, le autorizzazioni controllo degli accessi in base al ruolo ereditano sempre a tutti i collegamenti interni in cui questa cartella è definita come destinazione.
Quando un utente accede ai dati tramite un collegamento a un'altra posizione di OneLake, l'identità dell'utente chiamante viene usata per autorizzare l'accesso ai dati nel percorso di destinazione del collegamento*. Di conseguenza, questo utente deve disporre delle autorizzazioni di Controllo degli accessi in base al ruolo di OneLake nel percorso di destinazione per leggere i dati.
Importante
Quando si accede ai collegamenti tramite modelli semantici di Power BI o T-SQL, l'identità dell'utente chiamante non viene passata alla destinazione di scelta rapida. L'identità del proprietario dell'elemento chiamante viene invece passata, delegando l'accesso all'utente chiamante.
La definizione delle autorizzazioni di controllo degli accessi in base al ruolo per il collegamento interno non è consentita e deve essere definita nella cartella di destinazione che si trova nell'elemento di destinazione. Poiché la definizione delle autorizzazioni di controllo degli accessi in base al ruolo è limitata solo agli elementi lakehouse, OneLake abilita le autorizzazioni di controllo degli accessi in base al ruolo solo per i collegamenti destinati alle cartelle negli elementi lakehouse.
La tabella successiva specifica se lo scenario di collegamento corrispondente è supportato per la definizione delle autorizzazioni di Controllo degli accessi in base al ruolo di OneLake.
| Scenario di collegamento interno | Autorizzazioni di Controllo degli accessi in base al ruolo di OneLake supportate? | Commenti |
|---|---|---|
| Collegamento in una lakehouse1 che punta a folder2 situato nella stessa lakehouse. | Supportata. | Per limitare l'accesso ai dati nel collegamento, definire il controllo degli accessi in base al ruolo di OneLake per folder2. |
| Collegamento in una lakehouse1 che punta a folder2 situato in un altro lakehouse2 | Supportata. | Per limitare l'accesso ai dati in collegamento, definire il controllo degli accessi in base al ruolo di OneLake per folder2 in lakehouse2. |
| Collegamento in una lakehouse che punta a una tabella situata in un datawarehouse | Non supportato. | OneLake non supporta la definizione delle autorizzazioni di controllo degli accessi in base al ruolo nei datawarehouse. L'accesso viene determinato in base all'autorizzazione ReadAll. |
| Collegamento in una lakehouse che punta a una tabella che si trova in un database KQL | Non supportato. | OneLake non supporta la definizione delle autorizzazioni di controllo degli accessi in base al ruolo nei database KQL. L'accesso viene determinato in base all'autorizzazione ReadAll. |
Controllo degli accessi in base al ruolo di OneLake in collegamenti esterni (ADLS, S3, Dataverse)
OneLake supporta la definizione delle autorizzazioni di controllo degli accessi in base al ruolo per i collegamenti, ad esempio ADLS, S3 e Dataverse. In questo caso, il modello di controllo degli accessi in base al ruolo viene applicato sopra il modello di autorizzazione delegato abilitato per questo tipo di collegamento.
Si supponga che user1 crei un collegamento S3 in una lakehouse che punta a una cartella in un bucket AWS S3. Quindi user2 sta tentando di accedere ai dati in questo collegamento.
| S3 Connessione ion autorizza l'accesso per l'utente delegato1? | OneLake RBAC autorizza l'accesso per l'utente richiedente2? | Risultato: user2 può accedere ai dati in S3 Shortcut? |
|---|---|---|
| Sì | Sì | Sì |
| No | No | No |
| No | Sì | No |
| Sì | No | No |
Le autorizzazioni controllo degli accessi in base al ruolo devono essere definite per l'intero ambito del collegamento (intera cartella di destinazione), ma ereditano in modo ricorsivo in tutte le relative sottocartelle e file.
Altre informazioni sui collegamenti S3, ADLS e Dataverse in OneLake Shortcuts.More about S3, ADLS, and Dataverse shortcuts in OneLake Shortcuts.
Limiti per il controllo degli accessi in base al ruolo di OneLake
La tabella seguente fornisce le limitazioni dei ruoli di accesso ai dati di OneLake.
| Scenario | Limite |
|---|---|
| Numero massimo di ruoli controllo degli accessi in base al ruolo di OneLake per ogni elemento dell'infrastruttura | Al massimo 250 ruoli per ogni elemento lakehouse. |
| Numero massimo di membri per ogni ruolo Controllo degli accessi in base al ruolo di OneLake | Al massimo 500 utenti e gruppi di utenti per ruolo. |
| Numero massimo di autorizzazioni per ogni ruolo controllo degli accessi in base al ruolo di OneLake | Al massimo 500 autorizzazioni per ogni ruolo |
Latenze nel controllo degli accessi in base al ruolo di OneLake
- Se si modifica una definizione di ruolo controllo degli accessi in base al ruolo di OneLake, sono necessari circa 5 minuti affinché OneLake applichi le definizioni aggiornate.
- Se si modifica un gruppo di utenti nel ruolo Controllo degli accessi in base al ruolo di OneLake, è necessario circa un'ora affinché OneLake applichi le autorizzazioni del ruolo per il gruppo di utenti aggiornato.
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per