Oversikt over OneLake-sikkerhet
OneLake er en hierarkisk datainnsjø, for eksempel Azure Data Lake Storage (ADLS) Gen2 eller Windows-filsystemet. Med denne strukturen kan du angi sikkerhet på ulike nivåer i hierarkiet for å styre tilgangen. Noen nivåer i hierarkiet er gitt spesiell behandling som de korrelerer med Fabric konsepter.
Arbeidsområde: et samarbeidsmiljø for oppretting og administrasjon av elementer.
Element: et sett med funksjoner samlet i én enkelt komponent. Et dataelement er en undertype av elementet som gjør at data kan lagres i det ved hjelp av OneLake.
Mapper: mapper i et element som brukes til å lagre og behandle data.
Elementer finnes alltid i arbeidsområder og arbeidsområder direkte under OneLake-navneområdet. Du kan visualisere denne strukturen på følgende måte:
Arbeidsområdetillatelser
Arbeidsområdetillatelser gir mulighet til å definere tilgang til alle elementer i arbeidsområdet. Det finnes fire forskjellige arbeidsområderoller, som hver gir forskjellige typer tilgang.
| Role | Kan du legge til administratorer? | Kan du legge til medlemmer? | Kan du skrive data og opprette elementer? | Kan du lese data? |
|---|---|---|---|---|
| Admin | Ja | Ja | Ja | Ja |
| Medlem | Nei | Ja | Ja | Ja |
| Bidragsyter | Nei | No | Ja | Ja |
| Visningsprogram | Nei | No | No | Ja |
Merk
Du kan vise Lager-elementet med skrivebeskyttede roller, men du kan bare skrive til lagre ved hjelp av SQL-spørringer.
Du kan forenkle administrasjon av fabric arbeidsområderoller ved å tilordne dem til sikkerhetsgrupper. Med denne metoden kan du kontrollere tilgangen ved å legge til eller fjerne medlemmer fra sikkerhetsgruppen.
Elementtillatelser
Med delingsfunksjonen kan du gi en bruker direkte tilgang til et element. Brukeren kan bare se elementet i arbeidsområdet og er ikke medlem av noen arbeidsområderoller. Elementtillatelser gir tilgang til å koble til elementet og hvilke elementendepunkter brukeren har tilgang til.
| Tillatelse | Vil du se elementmetadataene? | Vil du se data i SQL? | Vil du se data i OneLake? |
|---|---|---|---|
| Lest | Ja | No | No |
| ReadData | Nei | Ja | Nei |
| ReadAll | Nei | No | Ja* |
*Gjelder ikke for elementer der OneLake-datatilgangsroller (forhåndsvisning) er aktivert. Hvis forhåndsvisningen er aktivert, vil ReadAll bare gi tilgang hvis DefaultReader-rollen er i bruk. Hvis denne rollen redigeres eller slettes, gis i stedet tilgang basert på hvilke datatilgangsroller brukeren er en del av.
En annen måte å konfigurere tillatelser på er via siden Behandle tillatelser for et element. Ved hjelp av denne siden kan du legge til eller fjerne individuelle elementtillatelser for brukere eller grupper. De nøyaktige tilgjengelige tillatelsene bestemmes av elementtypen.
Databehandlingstillatelser
Datatilgang kan også gis gjennom SQL-databehandlingsmotoren i Microsoft Fabric. Tilgangen som gis via SQL gjelder bare for brukere som får tilgang til data via SQL, men du kan bruke denne sikkerheten til å gi mer selektiv tilgang til bestemte brukere. I gjeldende tilstand støtter SQL begrensning av tilgang til bestemte tabeller og skjemaer, i tillegg til sikkerhet på rad- og kolonnenivå.
Brukere som får tilgang til data via SQL, kan se andre resultater enn å få tilgang til data direkte i OneLake, avhengig av hvilke databehandlingstillatelser som brukes. Hvis du vil forhindre dette, må du kontrollere at en brukers elementtillatelser er konfigurert til bare å gi dem tilgang til enten SQL-endepunktet (ved hjelp av ReadData) eller OneLake (ved hjelp av Forhåndsvisning av ReadAll- eller datatilgangsroller).
I eksemplet nedenfor får en bruker skrivebeskyttet tilgang til et lakehouse gjennom elementdeling. Brukeren får SELECT-tillatelse på en tabell gjennom SQL Analytics-endepunktet. Når denne brukeren prøver å lese data gjennom OneLake-API-ene, blir de nektet tilgang fordi de ikke har tilstrekkelige tillatelser. Brukeren kan lese gjennom SQL SELECT-setninger.
OneLake Data-tilgangsroller (forhåndsvisning)
OneLake-datatilgangsroller er en ny funksjon som gjør det mulig å bruke rollebasert tilgangskontroll (RBAC) på dataene som er lagret i OneLake. Du kan definere sikkerhetsroller som gir lesetilgang til bestemte mapper i et Stoff-element, og tilordne dem til brukere eller grupper. Tilgangstillatelsene bestemmer hvilke mapper brukere ser når de får tilgang til lake-visningen av dataene gjennom lakehouse UX, notatblokker eller OneLake API-er.
Stoffbrukere i rollene Administrator, Medlem eller Bidragsyter kan komme i gang ved å opprette OneLake-datatilgangsroller for å gi tilgang til bare bestemte mapper i et lakehouse. Hvis du vil gi tilgang til data i et lakehouse, kan du legge til brukere i en datatilgangsrolle. Brukere som ikke er en del av en datatilgangsrolle, ser ingen data i lakehouse.
Mer informasjon om å opprette datatilgangsroller i Kom i gang med datatilgangsroller.
Mer informasjon om sikkerhetsmodellen for tilgangsroller Datatilgangskontrollmodell.
Snarveissikkerhet
Snarveier i Microsoft Fabric tillater forenklet databehandling, men har noen sikkerhetshensyn å merke seg. Hvis du vil ha informasjon om hvordan du administrerer snarveissikkerhet, kan du se dette dokumentet.
For OneLake-datatilgangsroller (forhåndsvisning) får snarveier spesiell behandling avhengig av snarveistypen. Tilgangen til en OneLake-snarvei styres alltid av tilgangsrollene på målet for snarveien. Dette betyr at for en snarvei fra LakehouseA til LakehouseB, vil sikkerheten til LakehouseB tre i kraft. Datatilgangsroller i LakehouseA kan ikke gi eller redigere sikkerheten til snarveien til LakehouseB.
For eksterne snarveier til Amazon S3 eller ADLS Gen2 konfigureres sikkerheten gjennom datatilgangsroller i selve lakehouse. En snarvei fra LakehouseA til en S3-samling kan ha datatilgangsroller konfigurert i LakehouseA. Det er viktig å være oppmerksom på at bare rotnivået for snarveien kan ha sikkerhet. Hvis du tilordner tilgang til undermapper av snarveien, vil det føre til feil ved oppretting av rolle.
Mer informasjon om sikkerhetsmodellen for snarveier i Datatilgangskontrollmodell
Relatert innhold
Tilbakemeldinger
Kommer snart: Gjennom 2024 faser vi ut GitHub Issues som tilbakemeldingsmekanisme for innhold, og erstatter det med et nytt system for tilbakemeldinger. Hvis du vil ha mer informasjon, kan du se: https://aka.ms/ContentUserFeedback.
Send inn og vis tilbakemelding for