Overzicht van OneLake-beveiliging
OneLake is een hiërarchische data lake, zoals Azure Data Lake Storage (ADLS) Gen2 of het Windows-bestandssysteem. Met deze structuur kunt u beveiliging instellen op verschillende niveaus in de hiërarchie om de toegang te beheren. Sommige niveaus in de hiërarchie krijgen een speciale behandeling omdat ze correleren met infrastructuurconcepten.
Werkruimte: een samenwerkingsomgeving voor het maken en beheren van items.
Item: een set mogelijkheden die zijn gebundeld in één onderdeel. Een gegevensitem is een subtype van het item waarmee gegevens erin kunnen worden opgeslagen met OneLake.
Mappen: mappen binnen een item dat wordt gebruikt voor het opslaan en beheren van gegevens.
Items leven altijd in werkruimten en werkruimten altijd rechtstreeks onder de OneLake-naamruimte. U kunt deze structuur als volgt visualiseren:
Werkruimtemachtigingen
Met werkruimtemachtigingen kunt u toegang tot alle items in die werkruimte definiëren. Er zijn vier verschillende werkruimterollen, die elk verschillende typen toegang verlenen.
| Role | Kunnen beheerders worden toegevoegd? | Kunnen leden worden toegevoegd? | Kunt u gegevens schrijven en items maken? | Kunt u gegevens lezen? |
|---|---|---|---|---|
| Beheerder | Ja | Ja | Ja | Ja |
| Lid | Nr. | Ja | Ja | Ja |
| Inzender | Nee | No | Ja | Ja |
| Kijker | Nee | No | No | Ja |
Notitie
U kunt het magazijnitem weergeven met lees-/schrijfrollen, maar u kunt alleen schrijven naar magazijnen met behulp van SQL-query's.
U kunt het beheer van Infrastructuurwerkruimterollen vereenvoudigen door ze toe te wijzen aan beveiligingsgroepen. Met deze methode kunt u de toegang beheren door leden toe te voegen aan of te verwijderen uit de beveiligingsgroep.
Itemmachtigingen
Met de functie voor delen kunt u een gebruiker rechtstreeks toegang geven tot een item. De gebruiker kan dat item alleen in de werkruimte zien en is geen lid van werkruimterollen. Itemmachtigingen verlenen toegang om verbinding te maken met dat item en tot welke itemeindpunten de gebruiker toegang heeft.
| Machtiging | Zie de metagegevens van het item? | Gegevens bekijken in SQL? | Gegevens bekijken in OneLake? |
|---|---|---|---|
| Read | Ja | No | Nr. |
| ReadData | Nr. | Ja | Nr. |
| ReadAll | Nee | Nr. | Ja* |
*Niet van toepassing op items waarvoor Functies voor Gegevenstoegang van OneLake (preview) zijn ingeschakeld. Als de preview is ingeschakeld, verleent ReadAll alleen toegang als de rol DefaultReader wordt gebruikt. Als deze rol wordt bewerkt of verwijderd, wordt in plaats daarvan toegang verleend op basis van de gegevenstoegangsrollen waarvan de gebruiker deel uitmaakt.
Een andere manier om machtigingen te configureren, is via de pagina Machtigingen beheren van een item. Op deze pagina kunt u afzonderlijke itemmachtigingen toevoegen of verwijderen voor gebruikers of groepen. De exacte beschikbare machtigingen worden bepaald door het itemtype.
Rekenmachtigingen
Gegevenstoegang kan ook worden gegeven via de SQL-rekenengine in Microsoft Fabric. De toegang die via SQL wordt verleend, is alleen van toepassing op gebruikers die toegang hebben tot gegevens via SQL, maar u kunt deze beveiliging gebruiken om bepaalde gebruikers selectiever toegang te geven. In de huidige status biedt SQL ondersteuning voor het beperken van de toegang tot specifieke tabellen en schema's, evenals beveiliging op rij- en kolomniveau.
Gebruikers die gegevens openen via SQL, zien mogelijk andere resultaten dan het rechtstreeks openen van gegevens in OneLake, afhankelijk van de toegepaste rekenmachtigingen. Om dit te voorkomen, moet u ervoor zorgen dat de itemmachtigingen van een gebruiker zodanig zijn geconfigureerd dat ze alleen toegang krijgen tot het SQL-eindpunt (met behulp van ReadData) of OneLake (met behulp van ReadAll of preview van gegevenstoegangsrollen).
In het volgende voorbeeld krijgt een gebruiker alleen-lezentoegang tot een lakehouse via het delen van items. De gebruiker krijgt SELECT-machtigingen voor een tabel via het SQL Analytics-eindpunt. Wanneer die gebruiker gegevens probeert te lezen via de OneLake-API's, wordt de toegang geweigerd omdat ze niet over voldoende machtigingen beschikken. De gebruiker kan SQL SELECT-instructies lezen.
Rollen voor Toegang tot OneLake-gegevens (preview)
OneLake-rollen voor gegevenstoegang is een nieuwe functie waarmee u op rollen gebaseerd toegangsbeheer (RBAC) kunt toepassen op uw gegevens die zijn opgeslagen in OneLake. U kunt beveiligingsrollen definiëren die leestoegang verlenen tot specifieke mappen in een Fabric-item en deze toewijzen aan gebruikers of groepen. De toegangsmachtigingen bepalen welke mappen gebruikers zien bij het openen van de lake-weergave van de gegevens via de Lakehouse UX, notebooks of OneLake-API's.
Fabric-gebruikers in de rollen Beheer, Lid of Inzender kunnen aan de slag met het maken van OneLake-gegevenstoegangsrollen om alleen toegang te verlenen tot specifieke mappen in een lakehouse. Als u toegang wilt verlenen tot gegevens in een lakehouse, voegt u gebruikers toe aan een rol voor gegevenstoegang. Gebruikers die geen deel uitmaken van een rol voor gegevenstoegang, zien geen gegevens in dat lakehouse.
Meer informatie over het maken van gegevenstoegangsrollen in Aan de slag met Data Access-rollen.
Meer informatie over het beveiligingsmodel voor toegangsrollen Data Access Control Model.
Snelkoppelingsbeveiliging
Met snelkoppelingen in Microsoft Fabric kunt u eenvoudiger gegevensbeheer uitvoeren, maar moet u rekening houden met enkele beveiligingsoverwegingen. Zie dit document voor informatie over het beheren van snelkoppelingsbeveiliging.
Voor OneLake-functies voor gegevenstoegang (preview) krijgen snelkoppelingen een speciale behandeling, afhankelijk van het type snelkoppeling. De toegang tot een OneLake-snelkoppeling wordt altijd bepaald door de toegangsrollen op het doel van de snelkoppeling. Dit betekent dat voor een snelkoppeling van LakehouseA naar LakehouseB de beveiliging van LakehouseB van kracht wordt. Gegevenstoegangsrollen in LakehouseA kunnen de beveiliging van de snelkoppeling naar LakehouseB niet verlenen of bewerken.
Voor externe snelkoppelingen naar Amazon S3 of ADLS Gen2 wordt de beveiliging geconfigureerd via gegevenstoegangsrollen in het lakehouse zelf. Een snelkoppeling van LakehouseA naar een S3-bucket kan gegevenstoegangsrollen hebben geconfigureerd in LakehouseA. Het is belangrijk om te weten dat alleen het hoofdniveau van de snelkoppeling beveiliging kan hebben toegepast. Het toewijzen van toegang tot submappen van de snelkoppeling leidt tot fouten bij het maken van rollen.
Meer informatie over het beveiligingsmodel voor snelkoppelingen in het Gegevenstoegangsbeheermodel
Gerelateerde inhoud
Feedback
Binnenkort beschikbaar: In de loop van 2024 zullen we GitHub-problemen geleidelijk uitfaseren als het feedbackmechanisme voor inhoud en deze vervangen door een nieuw feedbacksysteem. Zie voor meer informatie: https://aka.ms/ContentUserFeedback.
Feedback verzenden en weergeven voor