Share via

Aan de slag met OneLake-beveiliging (preview)

Met OneLake-beveiliging kunt u op rollen gebaseerd toegangsbeheer (RBAC) toepassen op uw gegevens die zijn opgeslagen in OneLake. U kunt beveiligingsrollen definiëren die toegang verlenen tot specifieke mappen in een Fabric-item en deze rollen vervolgens toewijzen aan gebruikers of groepen. Rollen kunnen ook beveiliging op rij- of kolomniveau bevatten om de toegang verder te beperken. De Beveiligingsmachtigingen van OneLake bepalen welke gegevens de gebruiker kan zien in alle ervaringen in Fabric.

Fabric-gebruikers met machtigingen voor schrijven en opnieuw delen (over het algemeen beheerders- en ledenwerkruimtegebruikers) kunnen aan de slag gaan door OneLake-beveiligingsrollen te maken om alleen toegang te verlenen tot specifieke mappen of tabellen in een Fabric-gegevensitem. Als u toegang wilt verlenen tot gegevens in een item, voegt u gebruikers toe aan een rol voor gegevenstoegang. Gebruikers die geen deel uitmaken van een rol voor gegevenstoegang zien geen gegevens in dat item.

Vereiste voorwaarden

Als u OneLake-beveiliging wilt configureren, moet u een beheerder of lid in de werkruimte zijn of machtigingen voor schrijven en opnieuw delen hebben. Rol maken en lidmaatschapstoewijzing worden van kracht zodra de rol is opgeslagen. Zorg er dus voor dat u toegang wilt verlenen voordat u iemand aan een rol toevoegt.

De volgende tabel bevat een overzicht van de gegevensitems die ondersteuning bieden voor OneLake-beveiliging:

Fabric-item Toestand Ondersteunde machtigingen
Lakehouse Preview Lezen, lezen/schrijven
Gespiegelde azure Databricks-catalogus Preview Lezen

Aanmelden

OneLake-beveiliging is momenteel in preview en als gevolg hiervan is standaard uitgeschakeld. De preview-functie wordt per item geconfigureerd. Met het besturingselement voor aanmelden kan één item de preview uitproberen zonder dit in te schakelen op andere Fabric-items.

De preview-functie kan niet eenmaal worden uitgeschakeld.

  1. Navigeer naar een lakehouse en selecteer OneLake-beveiliging beheren (preview).a0>
  2. Bekijk het bevestigingsdialoogvenster. De preview-versie van gegevenstoegangsrollen is niet compatibel met de preview van externe gegevensdeling. Als u akkoord gaat met de wijziging, selecteert u Doorgaan.

Om een soepele opt-in-ervaring te garanderen, blijven alle gebruikers met leesmachtigingen voor gegevens in het item leestoegang hebben via een standaardrol voor gegevenstoegang met de naam DefaultReader. Met gevirtualiseerde rollidmaatschappen worden alle gebruikers met de benodigde machtigingen voor het weergeven van gegevens in lakehouse (de machtiging ReadAll) opgenomen als leden van deze standaardrol. Als u de toegang tot deze gebruikers wilt beperken, verwijdert u de rol DefaultReader of verwijdert u de machtiging ReadAll voor de toegang tot gebruikers.

Belangrijk

Zorg ervoor dat alle gebruikers die zijn opgenomen in een gegevenstoegangsrol, worden verwijderd uit de rol DefaultReader. Anders behouden ze volledige toegang tot de gegevens.

Welke typen gegevens kunnen worden beveiligd?

Gebruik OneLake-beveiligingsrollen om Leestoegang van OneLake te beheren tot tabellen of mappen in een item. Toegang tot tabellen kan verder worden beperkt met beveiliging op rij- en/of kolomniveau. Elke beveiligingsset is van toepassing op toegang vanuit alle engines in Fabric. Zie het model voor gegevenstoegangsbeheer voor meer informatie.

Voor specifieke itemtypen kan leestoegang ook worden geconfigureerd. Met deze machtiging kunnen gebruikers gegevens in een Lakehouse bewerken op opgegeven tabellen of mappen zonder dat ze toegang hebben tot het maken of beheren van Fabric-items. Met ReadWrite-toegang kunnen gebruikers schrijfbewerkingen uitvoeren via Spark-notebooks, de OneLake-verkenner of OneLake-API's. Schrijfbewerkingen via de Lakehouse UX voor kijkers worden niet ondersteund.

Een rol maken

Gebruik de volgende stappen om een OneLake-beveiligingsrol te maken.

  1. Open het Fabric-item waar u de beveiliging wilt definiëren.

  2. Selecteer OneLake-beveiliging beheren (preview) in het itemmenu.

  3. Selecteer Nieuw in het deelvenster OneLake-beveiliging (preview).

  4. Geef een naam op voor de nieuwe rol die voldoet aan de volgende richtlijnen:

    • De rolnaam mag alleen alfanumerieke tekens bevatten.
    • De rolnaam moet beginnen met een letter.
    • Namen zijn niet hoofdlettergevoelig en moeten uniek zijn.
    • De maximale naamlengte is 128 tekens.

  5. Selecteer Verlenen als het type rol.

  6. Kies de machtigingen die u wilt verlenen. Lezen is minimaal geselecteerd en u kunt desgewenst ReadWrite kiezen.

  7. Als u deze rol wilt toepassen op alle tabellen en bestanden in dit lakehouse, selecteert u de wisselknop Alle gegevens .

    Deze selectie biedt ook toegang tot mappen die in de toekomst worden toegevoegd.

  8. Als u wilt dat deze rol alleen van toepassing is op een geselecteerde groep tabellen en mappen, selecteert u de wisselknop Geselecteerde gegevens . Gebruik vervolgens de volgende stappen om de goedgekeurde gegevens voor deze rol te definiëren.

    1. Selecteer Browse Lakehouse of het equivalent voor het item waarmee u werkt.

      Schermopname van de optie 'browse lakehouse' om gegevens te selecteren.

    2. Vouw de mappen Tabellen en Bestanden uit om gegevens in uw Lakehouse weer te geven.

    3. Schakel de selectievakjes in naast de tabellen en bestanden waarop u de rol wilt toepassen.

    4. Selecteer Gegevens toevoegen om de geselecteerde items aan uw rol toe te voegen.

  9. Gebruik het tekstvak Leden toevoegen aan uw rol om handmatig de namen of e-mailadressen in te voeren van gebruikers die u wilt opnemen in de rol. Of selecteer Geavanceerde configuratie en volg de richtlijnen in Virtuele leden toewijzen.

    Leden handmatig toevoegen:

    1. Voer de naam of het e-mailadres van een gebruiker in.
    2. Selecteer de juiste naam in de voorgestelde lijst.
    3. Selecteer het vinkje om uw selectie te bevestigen of het X-pictogram om de selectie te wissen.

  10. Bekijk de samenvattingen van de preview-rol .

    1. Als u het voorbeeld van de gegevens wilt bewerken, selecteert u Bladeren in Lakehouse en werkt u de geselecteerde tabellen en mappen bij.
    2. Als u een gebruiker uit de voorbeeldweergave van leden wilt verwijderen, selecteert u naast de naam meer opties (...) en verwijdert u deze uit de rol.

  11. Selecteer Rol maken en wacht totdat de rol is gepubliceerd.

Een rol bewerken

Gebruik de volgende stappen om een bestaande OneLake-beveiligingsrol te bewerken.

  1. Open het item waarin u de beveiliging wilt definiëren.

  2. Selecteer OneLake-beveiliging beheren (preview) in het itemmenu.

  3. Selecteer in het deelvenster OneLake-beveiliging (preview) de rol die u wilt bewerken.

    Met deze actie wordt de pagina met rolgegevens geopend, waaronder twee tabbladen: Gegevens in rol en Leden in rol.

  4. Controleer de informatie op het tabblad Gegevens op rol :

    Op dit tabblad worden alle gegevens weergegeven waartoe de leden van de rol toegang hebben.

    De rolnaam geeft aan welke rol u bekijkt. Als u de rolnaam wilt bewerken, selecteert u de vervolgkeuzelijst Bewerken in de rechterbovenhoek, selecteert u Rolnaam bijwerken, voert u een nieuwe naam in en bevestigt u het vinkje. U kunt uw wijzigingen negeren door de X te selecteren.

    Het item Machtigingen bovenaan geeft aan welke machtigingen de rol momenteel verleent. Als u de rolmachtigingen wilt wijzigen, selecteert u de vervolgkeuzelijst Bewerken in de rechterbovenhoek, selecteert u Rolmachtigingen bewerken, bewerkt u de geselecteerde machtigingen met de vervolgkeuzelijst en bevestigt u het vinkje. U kunt uw wijzigingen negeren door de X te selecteren.

    In de kolom Gegevens ziet u de naam van de tabellen of mappen die deel uitmaken van de roltoegang. U kunt schema's uitvouwen en samenvouwen om de onderliggende items weer te geven. Beweeg de muisaanwijzer over een item om het volledige pad van de tabel of map weer te geven. Beweeg de muisaanwijzer over de ... om opties weer te geven voor het configureren van beveiliging op rijniveau of beveiliging op kolomniveau. De beveiligingshandleidingen voor beveiliging op rijniveau en kolomniveau bieden meer informatie over hoe dat werkt.

    De kolom Type geeft het type item aan dat is geselecteerd. De waarden zijn: Schema, Tabel of Map.

    De kolom Data Access geeft aan of er beperkingen op rij- of kolomniveau worden toegepast op het item. Een pictogram met een vergrendeling en horizontale lijnen geeft aan dat beveiliging op rijniveau wordt toegepast, terwijl een pictogram met een vergrendeling en verticale lijnen aangeeft dat beveiliging op kolomniveau wordt toegepast.

  5. Als u de gegevens in de rol wilt bewerken, selecteert u Gegevens toevoegen.

    Met deze actie wordt het dialoogvenster tabel- en mapselectie geopend.

  6. Schakel tabellen of mappen in of uit om deze toe te voegen aan of te verwijderen uit de rol.

  7. Selecteer Gegevens toevoegen om uw selecties te bevestigen.

  8. Selecteer het tabblad Leden op rol om de leden van de rol weer te geven.

    In de kolom Leden ziet u de profielfoto en de naam van het lid.

    De kolom Type geeft aan of het lid een gebruiker of groep is.

    De kolom Toegevoegd geeft aan of een gebruiker is toegevoegd via hun e-mail als lid van de rol of is opgenomen als onderdeel van een lakehouse-machtigingengroep. Zie Virtuele leden toewijzen voor meer informatie over het toevoegen van gebruikers met itemmachtigingen.

  9. Als u de leden van de rol wilt bewerken, selecteert u Leden toevoegen.

  10. Als u leden handmatig wilt toevoegen, voert u een naam of e-mailadres in het tekstvak Leden toevoegen aan uw rol in. Selecteer de juiste naam in de voorgestelde lijst. Selecteer vervolgens het vinkje om uw selectie te bevestigen of selecteer het X-pictogram om de selectie te wissen.

  11. Als u gebruikers uit de rol wilt verwijderen, selecteert u meer opties (...) naast de naam en selecteert u Verwijderen uit de rol.

Als u wijzigingen aanbrengt in het rollidmaatschap, wordt de rol onmiddellijk bijgewerkt. Een melding noteert het slagen of mislukken van wijzigingen.

Een rol verwijderen

Gebruik de volgende stappen om een OneLake-rol voor gegevenstoegang te verwijderen.

  1. Open het lakehouse waar u de beveiliging wilt definiëren.

  2. Selecteer OneLake-beveiliging beheren (preview) in het Lakehouse-menu.

  3. Schakel in het deelvenster OneLake-beveiliging (preview) het selectievakje in naast de rollen die u wilt verwijderen.

  4. Selecteer Verwijderen en wacht totdat de rollen zijn verwijderd.

Een lid of groep toewijzen

De beveiligingsrol OneLake ondersteunt twee methoden voor het toevoegen van gebruikers aan een rol. De belangrijkste methode is door gebruikers of groepen rechtstreeks toe te voegen aan een rol met behulp van het vak Personen of groepen toevoegen op de pagina Rol toewijzen . De tweede is door virtuele lidmaatschappen met machtigingsgroepen te maken met behulp van het besturingselement Geavanceerde configuratie .

Als u gebruikers rechtstreeks aan een rol toevoegt, worden de gebruikers toegevoegd als expliciete leden van de rol. Deze gebruikers worden weergegeven met hun naam en afbeelding die wordt weergegeven in de lijst Leden .

Met de virtuele leden kan het lidmaatschap van de rol dynamisch worden aangepast op basis van de machtigingen voor fabric-items van de gebruikers. Door Geavanceerde configuratie te selecteren en een machtiging te selecteren, voegt u een gebruiker toe in de infrastructuurwerkruimte met alle geselecteerde machtigingen als impliciet lid van de rol. Als u bijvoorbeeld ReadAll hebt gekozen, schrijft u vervolgens een gebruiker van de infrastructuurwerkruimte met leesrechten Voor het item en schrijfmachtigingen voor het item als lid van de rol. U kunt zien welke gebruikers worden toegevoegd door een machtigingsgroep door te kijken naar de kolom Toegevoegd op het tabblad Leden op rol . Deze leden kunnen niet handmatig rechtstreeks worden verwijderd. Als u een lid wilt verwijderen dat is toegevoegd via een machtigingsgroep, verwijdert u de machtigingsgroep uit de rol.

Ongeacht welk lidmaatschapstype u gebruikt, bieden OneLake-beveiligingsrollen ondersteuning voor het toevoegen van afzonderlijke gebruikers, Microsoft Entra-groepen en beveiligingsprinciplen.

Virtuele leden toewijzen

De machtigingen die kunnen worden gebruikt voor virtuele leden zijn:

  • Lezen
  • Write
  • Opnieuw delen
  • Execute
  • ReadAll

Gebruik de volgende stappen om gebruikers met machtigingsgroepen toe te wijzen:

  1. Selecteer de naam van de rol waaraan u leden wilt toewijzen.

  2. Selecteer op de pagina met rolgegevens het tabblad Leden op rol .

  3. Selecteer Leden toevoegen.

  4. Selecteer Geavanceerde configuratie.

    Schermopname van het selecteren van 'geavanceerde configuratie' om leden toe te voegen met behulp van machtigingsgroepen.

  5. Schakel in het vak Machtigingsgroepen het selectievakje in naast elke machtiging waarvoor u gebruikers wilt opnemen.

    Elke machtigingsgroep toont het aantal gebruikers dat in die groep is opgenomen.

    Het selecteren van meerdere machtigingsgroepen omvat gebruikers met alle geselecteerde vereiste machtigingen.

  6. Selecteer Toevoegen om de groepen op te nemen en de rol op te slaan.

Verwante inhoud

  • Last updated on