RBAC(역할 기반 액세스 제어)
OneLake RBAC는 역할 할당을 사용하여 멤버에게 권한을 적용합니다. 개인 또는 보안 그룹, Microsoft 365 그룹 및 메일 그룹에 역할을 할당할 수 있습니다. 사용자 그룹의 모든 멤버는 할당된 역할을 가져옵니다.
다른 사용자가 둘 이상의 보안 그룹 또는 Microsoft 365 그룹에 있는 경우 역할에서 제공하는 가장 높은 수준의 권한을 받습니다. 사용자 그룹을 중첩하고 그룹에 역할을 할당하는 경우 포함된 모든 사용자에게 권한이 있습니다.
OneLake RBAC를 사용하면 사용자가 Lakehouse 항목에 대한 데이터 액세스 역할만 정의할 수 있습니다 .
OneLake RBAC는 작업 영역 뷰어를 사용하는 사용자의 데이터 액세스 또는 레이크하우스에 대한 읽기 액세스를 제한합니다. 작업 영역 관리, 구성원 또는 참가자에는 적용되지 않습니다. 결과적으로 OneLake RBAC는 읽기 수준의 권한만 지원합니다.
RBAC 역할을 만드는 방법
Lakehouse 데이터 액세스 설정을 통해 OneLake RBAC 역할을 정의하고 관리할 수 있습니다.
데이터 액세스 역할 시작에 대해 자세히 알아보세요.
Lakehouse의 기본 RBAC 역할
사용자가 새 레이크하우스를 만들 때 OneLake는 명명 Default Readers된 기본 RBAC 역할을 생성합니다. 이 역할을 사용하면 ReadAll 권한이 있는 모든 사용자가 항목의 모든 폴더를 읽을 수 있습니다.
기본 역할 정의는 다음과 같습니다.
| 패브릭 항목 | 역할 이름 | Permission | 포함된 폴더 | 할당된 멤버 |
|---|---|---|---|---|
| 레이크하우스 | DefaultReader |
ReadAll | 아래 Tables/ 의 모든 폴더 및 Files/ |
ReadAll 권한이 있는 모든 사용자 |
참고 항목
특정 사용자 또는 특정 폴더에 대한 액세스를 제한하려면 기본 역할을 수정하거나 제거한 후 새 사용자 지정 역할을 만들어야 합니다.
OneLake RBAC의 상속
지정된 폴더의 경우 OneLake RBAC 권한은 항상 폴더 파일 및 하위 폴더의 전체 계층 구조에 상속됩니다.
예를 들어 OneLake의 레이크하우스 계층 구조는 다음과 같습니다.
Tables/
──── (empty folder)
Files/
────folder1
│ │ file11.txt
│ │
│ └───subfolder11
│ │ file1111.txt
| │
│ └───subfolder111
| │ file1111.txt
│
└───folder2
│ file21.txt
지정된 계층의 경우 OneLake RBAC 권한은 Role1Role2 다음과 같은 방식으로 상속됩니다.
| 역할 | 권한 | 사용 권한에 정의된 폴더 | 사용 권한을 상속하는 폴더 및 파일 |
| Role1 | 읽기 | folder1 |
|
| Role2 | 읽기 | folder2 |
|
OneLake RBAC의 순회 및 목록
OneLake RBAC는 데이터를 쉽게 검색할 수 있도록 부모 항목의 자동 순회를 제공합니다. 하위 폴더11에 대한 읽기 권한을 사용자에게 부여하면 부모 디렉터리 folder1을 나열하고 트래버스할 수 있습니다. 이 기능은 하위 폴더에 대한 액세스 권한을 부여하면 부모 디렉터리에 대한 검색 및 순회를 제공하는 Windows 폴더 권한과 유사합니다. 부모에 부여된 목록 및 순회는 직접 부모 외부의 다른 항목으로 확장되지 않으므로 다른 폴더가 안전하게 유지됩니다.
예를 들어 OneLake의 레이크하우스 계층 구조는 다음과 같습니다.
Tables/
──── (empty folder)
Files/
────folder1
│ │ file11.txt
│ │
│ └───subfolder11
│ │ file111.txt
| │
│ └───subfolder111
| │ file1111.txt
│
└───folder2
│ file21.txt
지정된 계층의 경우 'Role1'에 대한 OneLake RBAC 권한은 다음과 같은 액세스를 제공합니다. file11.txt 대한 액세스는 subfolder11의 부모가 아니기 때문에 표시되지 않습니다. 마찬가지로 Role2의 경우 file111.txt 표시되지 않습니다.
| 역할 | 권한 | 사용 권한에 정의된 폴더 | 사용 권한을 상속하는 폴더 및 파일 |
| Role1 | 읽기 | subfolder11 |
|
| Role2 | 읽기 | subfolder111 |
|
바로 가기의 경우 목록 동작은 약간 다릅니다. 외부 데이터 원본에 대한 바로 가기는 폴더와 동일하게 동작하지만 다른 OneLake 위치에 대한 바로 가기에는 특수한 동작이 있습니다. OneLake 바로 가기에 대한 액세스는 바로 가기의 대상 권한에 따라 결정됩니다. 바로 가기를 나열할 때 대상 액세스를 검사 호출하지 않습니다. 따라서 디렉터리를 나열할 때 대상에 대한 사용자의 액세스에 관계없이 모든 내부 바로 가기가 반환됩니다. 사용자가 바로 가기를 열려고 하면 액세스 검사 평가되고 사용자에게는 필요한 권한이 있는 데이터만 표시됩니다. 바로 가기에 대한 자세한 내용은 바로 가기 보안 섹션을 참조 하세요.
아래 예제에서는 다음 폴더 계층 구조를 사용합니다.
Files/
────folder1
│
└───shortcut2
|
└───shortcut3
| 역할 | 권한 | 사용 권한에 정의된 폴더 | 파일 목록의 결과 |
| Role1 | 읽기 | folder1 |
|
| Role2 | 해당(N/A) | 해당(N/A) |
|
패브릭 사용 권한으로 OneLake RBAC 권한을 평가하는 방법
작업 영역 및 항목 권한을 사용하면 지정된 항목에 대해 OneLake의 데이터에 "거친" 액세스 권한을 부여할 수 있습니다. OneLake RBAC 권한을 사용하면 OneLake의 데이터 액세스를 특정 폴더로만 제한할 수 있습니다.
OneLake RBAC 및 작업 영역 권한
작업 영역 권한은 OneLake 내의 데이터에 대한 첫 번째 보안 경계입니다. 각 작업 영역은 팀이 데이터에 대해 공동 작업할 수 있는 단일 작업기본 또는 프로젝트 영역을 나타냅니다. 패브릭 작업 영역 역할을 통해 작업 영역의 보안을 관리합니다. 패브릭 RBAC(역할 기반 액세스 제어): 작업 영역 역할에 대해 자세히 알아보기
패브릭의 작업 영역 역할은 OneLake에서 다음 권한을 부여합니다.
| 권한 | 관리자 | Member | 기여자 | 뷰어 |
|---|---|---|---|---|
| OneLake에서 파일 보기 | Always* 예 | Always* 예 | Always* 예 | 기본적으로 아니요. OneLake RBAC를 사용하여 액세스 권한을 부여합니다. |
| OneLake에서 파일 쓰기 | Always* 예 | Always* 예 | Always* 예 | 아니요 |
참고 항목
*작업 영역 관리 멤버 및 기여자 역할은 OneLake에 쓰기 권한을 자동으로 부여하므로 OneLake RBAC 읽기 권한을 재정의합니다.
| 작업 영역 역할 | OneLake가 RBAC 읽기 권한을 적용하나요? |
|---|---|
| 관리, 기여자, 구성원 | 아니요, OneLake 보안은 OneLake RBC 읽기 권한을 무시합니다. |
| 뷰어 | 예, 정의된 경우 OneLake RBAC 읽기 권한이 적용됩니다. |
OneLake RBAC 및 Lakehouse 권한
작업 영역 내에서 패브릭 항목은 작업 영역 역할과 별도로 구성된 권한을 가질 수 있습니다. 항목을 공유하거나 항목의 사용 권한을 관리하여 권한을 구성할 수 있습니다. 다음 권한은 OneLake에서 데이터에 대한 작업을 수행하는 사용자의 기능을 결정합니다.
Lakehouse 권한
| Lakehouse 사용 권한 | OneLake에서 파일을 볼 수 있나요? | OneLake에서 파일을 작성할 수 있나요? | SQL 분석 엔드포인트를 통해 데이터를 읽을 수 있나요? |
|---|---|---|---|
| 읽기 | 기본적으로 OneLake RBAC를 사용하여 액세스 권한을 부여하지 않습니다. | 아니요 | 아니요 |
| ReadAll | 기본적으로 예. OneLake RBAC를 사용하여 액세스를 제한합니다. | 아니요 | 아니요 |
| 쓰기 | 예 | 네 | 예 |
| Reshare, ViewOutput, ViewLogs | 해당 내용 - 자체적으로 부여할 수 없습니다. | 해당 내용 - 자체적으로 부여할 수 없습니다. | 해당 내용 - 자체적으로 부여할 수 없습니다. |
OneLake RBAC 및 Lakehouse SQL Analytics 엔드포인트 권한
SQL 분석 엔드포인트는 Microsoft Fabric의 Lakehouse에서 자동으로 생성되는 웨어하우스입니다. 고객은 레이크하우스의 "Lake" 보기(데이터 엔지니어링 및 Apache Spark 지원)에서 동일한 Lakehouse의 "SQL" 보기로 전환할 수 있습니다. Data Warehouse 설명서의 SQL 분석 엔드포인트에 대해 자세히 알아보세요. SQL 분석 엔드포인트.
| SQL Analytics 엔드포인트 권한 | 사용자는 OneLake 엔드포인트를 통해 파일을 볼 수 있나요? | 사용자는 OneLake 엔드포인트를 통해 파일을 작성할 수 있나요? | 사용자는 SQL 분석 엔드포인트를 통해 데이터를 읽을 수 있나요? |
|---|---|---|---|
| 읽기 | 기본적으로 OneLake RBAC를 사용하여 액세스 권한을 부여하지 않습니다. | 아니요 | 기본적으로는 아니지만 SQL 세분화된 사용 권한으로 구성할 수 있습니다. |
| ReadData | 기본적으로 아니요. OneLake RBAC를 사용하여 액세스 권한을 부여합니다. | 예 | 예 |
| 쓰기 | 예 | 네 | 예 |
OneLake RBAC 및 기본 레이크하우스 의미 체계 모델 권한
Microsoft Fabric에서 사용자가 레이크하우스를 만들 때 시스템은 연결된 기본 의미 체계 모델도 프로비전합니다. 기본 의미 체계 모델에는 lakehouse 데이터 위에 메트릭이 있습니다. 의미 체계 모델을 사용하면 Power BI에서 보고할 데이터를 로드할 수 있습니다.
| 기본 의미 체계 모델 사용 권한 | OneLake에서 파일을 볼 수 있나요? | OneLake에서 파일을 작성할 수 있나요? | 의미 체계 모델에서 스키마를 볼 수 있나요? | 의미 체계 모델에서 데이터를 읽을 수 있나요? |
|---|---|---|---|---|
| 읽기 | 기본적으로 OneLake RBAC를 사용하여 액세스 권한을 부여하지 않습니다. | 아니요 | 아니요 | 기본적으로 예. Power BI 개체 수준 보안 및 Power BI 행 수준 보안으로 제한할 수 있습니다. |
| 빌드 | 기본적으로 예. OneLake RBAC를 사용하여 액세스를 제한합니다. | 예 | 네 | 예 |
| 쓰기 | 예 | 네 | 네 | 예 |
| 다시 공유 | 해당 내용 - 자체적으로 부여할 수 없습니다. | 해당 내용 - 자체적으로 부여할 수 없습니다. | 해당 내용 - 자체적으로 부여할 수 없습니다. | 해당 내용 - 자체적으로 부여할 수 없습니다. |
Lakehouse 공유 및 OneLake RBAC 권한
사용자가 레이크하우스를 공유하는 경우 작업 영역 및 나머지 항목에 대한 액세스 권한을 부여하지 않고 다른 사용자 또는 사용자 그룹에 레이크하우스에 대한 액세스 권한을 부여합니다. 공유 레이크하우스는 데이터 허브 또는 Microsoft Fabrics의 공유된 공유 섹션을 통해 찾을 수 있습니다.
레이크하우스를 공유하는 경우 SQL 엔드포인트 및 연결된 기본 의미 체계 모델에 대한 액세스 권한을 부여할 수도 있습니다.
| 공유 옵션 | OneLake에서 파일을 볼 수 있나요? | OneLake에서 파일을 작성할 수 있나요? | SQL 분석 엔드포인트를 통해 데이터를 읽을 수 있나요? | 의미 체계 모델을 보고 빌드할 수 있나요? |
|---|---|---|---|---|
| 추가 사용 권한이 선택되지 않음 | 기본적으로 OneLake RBAC를 사용하여 액세스 권한을 부여하지 않습니다. | 아니요 | 없음 | 아니요 |
| 모든 Apache Spark 읽기 | 기본적으로 예. OneLake RBAC를 사용하여 액세스를 제한합니다. | 아니요 | 없음 | 아니요 |
| 모든 SQL 엔드포인트 데이터 읽기 | 기본적으로 OneLake RBAC를 사용하여 액세스 권한을 부여하지 않습니다. | 예 | 네 | 아니요 |
| 기본 데이터 세트에 대한 보고서 빌드 | 기본적으로 예. OneLake RBAC를 사용하여 액세스를 제한합니다. | 아니요 | 아니요 | 예 |
데이터 공유 권한 모델에 대해 자세히 알아보세요.
바로 가기
내부 바로 가기의 OneLake RBAC
레이크하우스의 폴더에 대해 RBAC 권한은 항상 이 폴더가 대상으로 정의된 모든 내부 바로 가기 에 상속됩니다.
사용자가 다른 OneLake 위치의 바로 가기를 통해 데이터에 액세스하는 경우 호출하는 사용자의 ID를 사용하여 바로 가기의 대상 경로에 있는 데이터에 대한 액세스 권한을 부여합니다*. 따라서 이 사용자는 데이터를 읽으려면 대상 위치에 OneLake RBAC 권한이 있어야 합니다.
Important
Power BI 의미 체계 모델 또는 T-SQL을 통해 바로 가기에 액세스할 때 호출하는 사용자의 ID는 바로 가기 대상으로 전달되지 않습니다. 대신 호출 항목 소유자의 ID가 전달되어 호출 사용자에 대한 액세스 권한을 위임합니다.
내부 바로 가기에 대한 RBAC 권한 정의는 허용되지 않으며 대상 항목에 있는 대상 폴더에 정의해야 합니다. RBAC 권한 정의는 레이크하우스 항목으로만 제한되므로 OneLake는 레이크하우스 항목의 폴더를 대상으로 하는 바로 가기에 대해서만 RBAC 권한을 사용하도록 설정합니다.
다음 표에서는 해당 바로 가기 시나리오가 OneLake RBAC 권한 정의에 지원되는지 여부를 지정합니다.
| 내부 바로 가기 시나리오 | OneLake RBAC 권한이 지원되는가요? | 설명 |
|---|---|---|
| 같은 레이크하우스에 있는 folder2를 가리키는 lakehouse1의 바로 가기입니다. | 지원 | 바로 가기에서 데이터에 대한 액세스를 제한하려면 folder2에 대한 OneLake RBAC를 정의합니다. |
| lakehouse1에서 다른 lakehouse2에 있는 folder2를 가리키는 바로 가기 | 지원 | 바로 가기에서 데이터에 대한 액세스를 제한하려면 lakehouse2에서 folder2에 대한 OneLake RBAC를 정의합니다. |
| 데이터 웨어하우스에 있는 테이블을 가리키는 레이크하우스의 바로 가기 | 지원되지 않습니다. | OneLake는 데이터 웨어하우스에서 RBAC 권한 정의를 지원하지 않습니다. 액세스는 대신 ReadAll 권한에 따라 결정됩니다. |
| KQL 데이터베이스에 있는 테이블을 가리키는 레이크하우스의 바로 가기 | 지원되지 않습니다. | OneLake는 KQL 데이터베이스에서 RBAC 권한 정의를 지원하지 않습니다. 액세스는 대신 ReadAll 권한에 따라 결정됩니다. |
외부 바로 가기의 OneLake RBAC(ADLS, S3, Dataverse)
OneLake는 ADLS, S3 및 Dataverse 바로 가기와 같은 바로 가기에 대한 RBAC 권한 정의를 지원합니다. 이 경우 RBAC 모델은 이 유형의 바로 가기에 대해 사용하도록 설정된 위임된 권한 부여 모델 위에 적용됩니다.
user1이 AWS S3 버킷의 폴더를 가리키는 레이크하우스에 S3 바로 가기를 만든다고 가정합니다. 그러면 user2가 이 바로 가기에서 데이터에 액세스하려고 합니다.
| S3 커넥트ion은 위임된 user1에 대한 액세스 권한을 부여하나요? | OneLake RBAC가 요청 중인 user2에 대한 액세스 권한을 부여하나요? | 결과: user2가 S3 바로 가기에서 데이터에 액세스할 수 있나요? |
|---|---|---|
| 예 | 네 | 네 |
| 없음 | 없음 | 없음 |
| 아니요 | 네 | 없음 |
| 네 | 없음 | 아니요 |
RBAC 권한은 바로 가기의 전체 범위(전체 대상 폴더)에 대해 정의되어야 하지만 모든 하위 폴더 및 파일에 재귀적으로 상속되어야 합니다.
OneLake 바로 가기에서 S3, ADLS 및 Dataverse 바로 가기에 대해 자세히 알아봅니다.
OneLake RBAC에 대한 제한
다음 표에서는 OneLake 데이터 액세스 역할의 제한 사항을 제공합니다.
| 시나리오 | 제한 |
|---|---|
| 패브릭 항목당 OneLake RBAC 역할의 최대 수 | 각 레이크 하우스 항목에 대한 최대 250 역할. |
| OneLake RBAC 역할당 최대 멤버 수 | 역할당 최대 500명의 사용자 및 사용자 그룹. |
| OneLake RBAC 역할당 최대 사용 권한 수 | 역할당 최대 500개의 권한 |
OneLake RBAC의 대기 시간
- OneLake RBAC 역할 정의를 변경하는 경우 OneLake가 업데이트된 정의를 적용하는 데 약 5분이 걸립니다.
- OneLake RBAC 역할에서 사용자 그룹을 변경하는 경우 OneLake가 업데이트된 사용자 그룹에 역할의 권한을 적용하는 데 약 1시간이 걸립니다.
피드백
출시 예정: 2024년 내내 콘텐츠에 대한 피드백 메커니즘으로 GitHub 문제를 단계적으로 폐지하고 이를 새로운 피드백 시스템으로 바꿀 예정입니다. 자세한 내용은 다음을 참조하세요. https://aka.ms/ContentUserFeedback
다음에 대한 사용자 의견 제출 및 보기