Del via

Kom i gang med OneLake-datatilgangsroller (forhåndsvisning)

  • Artikkel

Oversikt

OneLake-datatilgangsroller for mapper er en ny funksjon som gjør det mulig å bruke rollebasert tilgangskontroll (RBAC) på dataene som er lagret i OneLake. Du kan definere sikkerhetsroller som gir lesetilgang til bestemte mapper i et Stoff-element, og tilordne dem til brukere eller grupper. Tilgangstillatelsene bestemmer hvilke mapper brukerne ser når de får tilgang til lake-visningen av dataene, enten gjennom lakehouse UX, notatblokker eller OneLake API-er.

Stoffbrukere i rollene Administrator, Medlem eller Bidragsyter kan komme i gang ved å opprette OneLake-datatilgangsroller for å gi tilgang til bare bestemte mapper i et lakehouse. Hvis du vil gi tilgang til data i et lakehouse, kan du legge til brukere i en datatilgangsrolle. Brukere som ikke er en del av en datatilgangsrolle, ser ingen data i lakehouse.

Merk

Sikkerhet for datatilgangsrolle gjelder BARE for brukere som får direkte tilgang til OneLake. Stoffelementer som SQL Analytics-endepunkter, semantiske modeller og lagre har sine egne sikkerhetsmodeller og får tilgang til OneLake gjennom en delegert identitet. Dette betyr at brukere kan se forskjellige elementer i hver arbeidsbelastning hvis de får tilgang til flere elementer.

Slik melder du deg på

Alle lakehouses i Fabric har forhåndsvisningsfunksjonen for datatilgangsroller deaktivert som standard. Forhåndsvisningsfunksjonen er konfigurert per lakehouse. Opt-in-kontrollen gjør det mulig for et enkelt lakehouse å prøve forhåndsvisningen uten å aktivere den på andre lakehouses eller Fabric elementer.

Hvis du vil aktivere forhåndsvisningen, må du være administrator, medlem eller bidragsyter i arbeidsområdet. Gå til et lakehouse, og velg Behandle OneLake-datatilgang (forhåndsvisning) på båndet for å åpne bekreftelsesdialogboksen. Forhåndsvisningen av datatilgangsroller er ikke kompatibel med forhåndsvisningen av ekstern datadeling. Hvis du er ok med endringen, velger du Fortsett. Behandle roller UX åpnes, og funksjonen er nå aktivert.

Forhåndsvisningsfunksjonen kan ikke deaktiveres når den er aktivert.

For å sikre en problemfri opt-in opplevelse, har alle brukere med lesetillatelse til data i lakehouse fortsatt lesetilgang. Overføring av tilgang utføres gjennom oppretting av en standard datatilgangsrolle kalt «DefaultReader». Ved hjelp av virtualiserte rollemedlemskap er alle brukere som hadde de nødvendige tillatelsene til å vise data i lakehouse (ReadAll-tillatelsen) inkludert som medlemmer av denne standardrollen. Hvis du vil begynne å begrense tilgangen til disse brukerne, må du kontrollere at DefaultReader-rollen slettes eller at ReadAll-tillatelsen fjernes fra brukerne som får tilgang.

Viktig

Kontroller at alle brukere som er inkludert i en datatilgangsrolle, ikke også er en del av DefaultReader-rollen. Ellers vil de opprettholde full tilgang til dataene.

Hvilke typer data kan sikres?

OneLake-datatilgangsroller kan brukes til å administrere OneLake-lesetilgang til mapper i et lakehouse. Lesetilgang kan gis til en mappe i et lakehouse, og ingen tilgang til en mappe er standardtilstanden. Sikkerhetssettet med datatilgangsroller gjelder utelukkende for tilgang mot OneLake- eller OneLake-spesifikke API-er. Hvis du vil ha mer informasjon, kan du se datatilgangskontrollmodellen.

Forutsetning

Hvis du vil konfigurere sikkerhet for et lakehouse, må du være administrator, medlem eller bidragsyter for arbeidsområdet. Rolleopprettelse og medlemskapstilordning trer i kraft så snart rollen er lagret, så pass på at du vil gi tilgang før du legger til noen i en rolle.

OneLake-datatilgangsroller støttes bare for lakehouse-elementer.

Opprette en rolle

  1. Åpne lakehouse der du vil definere sikkerhet.
  2. Velg Behandle OneLake-datatilgang (forhåndsvisning) på høyre side av lakehouse-båndet.
  3. Velg Ny rolle øverst til venstre i ruten Behandle OneLake-datatilgang, og skriv inn rollenavnet du vil bruke. Rollenavnet har visse begrensninger:
    1. Rollenavnet kan bare inneholde alfanumeriske tegn.
    2. Rollenavnet må starte med en bokstav.
    3. Navn skiller ikke mellom store og små bokstaver og må være unike.
    4. Maksimal navnelengde er 128 tegn.
  4. Velg veksleknappen Alle mapper hvis du vil at denne rollen skal gjelde for alle mappene i dette lakehouse-huset.
    1. Dette valget inneholder alle mapper som legges til i fremtiden.
  5. Velg de valgte mappene hvis du bare vil at denne rollen skal gjelde for valgte mapper.
    1. Merk av i boksene ved siden av mappene du vil at rollen skal gjelde for.
    2. Roller gir tilgang til mapper. Hvis du vil gi en bruker tilgang til en mappe, merker du av i boksen ved siden av den. Hvis en bruker ikke skal se en mappe, må du ikke merke av i boksen.
    3. Velg Lagre nederst til venstre for å opprette rollen.
  6. Velg Tilordne rolle øverst til venstre for å åpne rollemedlemskapsruten.
  7. Legg til personer, grupper eller e-postadresser i kontrollen Legg til personer eller grupper . Hvis du vil ha mer informasjon, kan du se Tilordne et medlem eller en gruppe.
  8. Velg Legg til for å flytte valget til tilordnede brukere-listen . Hvis du velger Legg til , lagres ikke utvalget ennå.
  9. Velg Lagre og vent på varselet om at rollene er publisert.
  10. Velg X øverst til høyre for å avslutte ruten.

Redigere en rolle

  1. Åpne lakehouse der du vil definere sikkerhet.
  2. Velg Behandle OneLake-datatilgang (forhåndsvisning)høyre side av lakehouse-båndet.
  3. Hold pekeren over rollen du vil redigere, i ruten Behandle OneLake-datatilgang , og velg den.
  4. Du kan endre hvilke mapper som gis tilgang til, ved å merke av for eller fjerne merkingen ved siden av hver mappe.
  5. Hvis du vil endre personene, velger du Tilordne rolle. Hvis du vil ha mer informasjon, kan du se Tilordne et medlem eller en gruppe.
  6. Hvis du vil legge til flere personer, skriver du inn navn i boksen Legg til personer eller grupper og velger Legg til.
  7. Hvis du vil fjerne personer, velger du navnet under Tilordnede brukere og velger Fjern.
  8. Velg Lagre og vent på varselet om at rollene er publisert.
  9. Velg X øverst til høyre for å avslutte ruten.

Slette en rolle

  1. Åpne lakehouse der du vil definere sikkerhet.
  2. Velg Behandle OneLake-datatilgang (forhåndsvisning)høyre side av lakehouse-båndet.
  3. Merk av i boksen ved siden av rollene du vil slette, i ruten Behandle OneLake-datatilgang .
  4. Velg Slett , og vent på varselet om at rollene er slettet.
  5. Velg X øverst til høyre for å avslutte ruten.

Tilordne et medlem eller en gruppe

OneLake-datatilgangsroller støtter to ulike metoder for å legge til brukere i en rolle. Hovedmetoden er ved å legge til brukere eller grupper direkte i en rolle ved hjelp av boksen Legg til personer eller grupper på rollesiden Tilordne. Den andre er å bruke virtuelle medlemskap med Legg til brukere basert på Lakehouse-tillatelseskontroll .

Hvis du legger til brukere direkte i en rolle med boksen Legg til personer eller gruppe , legges brukerne til som eksplisitte medlemmer av rollen. Disse brukerne vises med navnet og bildet som vises i listen over tilordnede personer og grupper .

De virtuelle medlemmene tillater at medlemskapet i rollen justeres dynamisk basert på fabric-elementtillatelsene til brukerne. Ved å velge boksen Legg til brukere basert på Lakehouse-tillatelser og velge en tillatelse, legger du til en bruker i Fabric-arbeidsområdet som har alle de valgte tillatelsene som implisitt medlem av rollen. Hvis du for eksempel valgte ReadAll, skriver du en bruker av Fabric-arbeidsområdet som har ReadAll AND Write-tillatelser til elementet, inkluderes som medlem av rollen. Du kan se hvilke brukere som legges til som virtuelle medlemmer ved å se etter verdien «Lakehouse-tillatelser» under kolonnen Tilordnet av i listen tilordnede brukere . Disse medlemmene kan ikke fjernes manuelt og må få sin tilsvarende Fabric-tillatelse tilbakekalt for å kunne oppheves.

Uavhengig av hvilken medlemskapstype, støtter datatilgangsroller å legge til individuelle brukere, Microsoft Entra-grupper og sikkerhetskontohavere.

Tilordne medlemmer

Hvis du vil gå til siden tilordne medlemmer, finnes det to måter:

Metode 1

  1. Velg navnet på rollen du vil tilordne medlemmer til.
  2. Velg Tilordne rolle øverst på siden for rolledetaljer.

Metode 2

  1. Merk av for rollen du vil tilordne medlemmer til, fra rollelisten.
  2. Velg Tilordne.

Tilordne brukere direkte

Fra rollesiden Tilordne kan du legge til medlemmer eller grupper ved å skrive inn navnet eller e-postadressen deres i boksen Legg til personer eller grupper. Velg resultatet du vil inkludere denne brukeren. Du kan gjenta dette trinnet for så mange brukere du vil. Hvis du valgte feil brukere, kan du velge X ved siden av oppføringen for å fjerne dem fra boksen, eller velge Fjern for å fjerne alle oppføringene. Når du er ferdig, velger du Legg til for å flytte de valgte brukerne til tilgangslisten. Hvis du legger dem til i listen, lagres de ikke ennå. Det er en forhåndsvisning av rollemedlemskapslisten når disse brukerne er lagt til, og brukere som nylig er lagt til, har en indikator ved siden av navnet.

Hvis du vil publisere tilgangsendringene, velger du Lagre nederst i ruten.

Tilordne virtuelle medlemmer

Hvis du vil legge til virtuelle medlemmer, bruker du boksen Legg til brukere basert på Lakehouse-tillatelser . Velg boksen for å åpne rullegardinvelgeren for å velge Stoff-tillatelsene du vil virtualisere. Brukere virtualiseres hvis de har alle de merkede tillatelsene.

Tillatelsene som kan brukes til virtualisering er:

  • Lest
  • Skrive
  • Dele på nytt
  • Utfør
  • ReadAll

Når du har valgt tillatelsene, velger du Legg til for å oppdatere tilordnede brukere-listen med endringene. Brukerne har tekst ved siden av navnet sitt som indikerer at de ble tilordnet av lakehouse-tillatelsene. Disse brukerne kan ikke fjernes manuelt fra rolletilordningen. Fjern i stedet de tilsvarende tillatelsene fra Tillatelseskontrollen Legg til brukere basert på Lakehouse-tillatelser , eller fjern fabric-tillatelsen.

Kjente problemer

Forhåndsvisningsfunksjonen for ekstern datadeling er ikke kompatibel med forhåndsvisningen av datatilgangsrollene. Når du aktiverer forhåndsvisning av datatilgangsroller på et lakehouse, kan eventuelle eksisterende eksterne dataressurser slutte å fungere.

Relatert innhold