Zabezpieczenia skrótów oneLake
Skróty oneLake służą jako wskaźniki do danych znajdujących się na różnych kontach magazynu, zarówno w usłudze OneLake, jak i w systemach zewnętrznych, takich jak Azure Data Lake Storage (ADLS). W tym artykule przedstawiono uprawnienia wymagane do tworzenia skrótów i uzyskiwania do nich dostępu do danych.
Aby zapewnić przejrzystość składników skrótu, ten dokument używa następujących terminów:
- Ścieżka docelowa: lokalizacja wskazująca skrót.
- Ścieżka skrótu: lokalizacja, w której pojawia się skrót.
Tworzenie i usuwanie skrótów
Aby utworzyć skrót, użytkownik musi mieć uprawnienia do zapisu w elemencie sieci szkieletowej, w którym jest tworzony skrót. Ponadto użytkownik musi mieć dostęp do odczytu do danych wskazywanych przez skrót. Skróty do źródeł zewnętrznych mogą wymagać pewnych uprawnień w systemie zewnętrznym. Artykuł Co to są skróty? zawiera pełną listę typów skrótów i wymaganych uprawnień.
| Zdolność | Uprawnienie do ścieżki skrótu | Uprawnienie do ścieżki docelowej |
|---|---|---|
| Tworzenie skrótu | Write | ReadAll1 |
| Usuwanie skrótu | Write | Nie dotyczy |
1 Jeśli role dostępu do danych usługi OneLake są włączone, użytkownik musi być w roli, która udziela dostępu do ścieżki docelowej.
Uzyskiwanie dostępu do skrótów
Kombinacja uprawnień w ścieżce skrótu i ścieżka docelowa rządzi uprawnieniami skrótów. Gdy użytkownik uzyskuje dostęp do skrótu, stosowane jest najbardziej restrykcyjne uprawnienie do dwóch lokalizacji. W związku z tym użytkownik, który ma uprawnienia do odczytu/zapisu w usłudze Lakehouse, ale tylko uprawnienia do odczytu w ścieżce docelowej nie mogą zapisywać w ścieżce docelowej. Podobnie użytkownik, który ma tylko uprawnienia do odczytu w usłudze Lakehouse, ale odczyt/zapis w ścieżce docelowej również nie może zapisywać w ścieżce docelowej.
W poniższej tabeli przedstawiono uprawnienia związane ze skrótami dla każdej akcji skrótu.
| Zdolność | Uprawnienie do ścieżki skrótu | Uprawnienie do ścieżki docelowej |
|---|---|---|
| Odczytywanie zawartości pliku/folderu skrótu | ReadAll1 | ReadAll1 |
| Zapisywanie w lokalizacji docelowej skrótu | Write | Write |
| Odczytywanie danych ze skrótów w sekcji tabeli magazynu lakehouse za pośrednictwem punktu końcowego TDS | Przeczytaj | ReadAll2 |
1 Jeśli role dostępu do danych usługi OneLake są włączone, użytkownik musi być w roli, która udziela dostępu do danych.
Ważne
2 W przypadku uzyskiwania dostępu do skrótów za pośrednictwem modeli semantycznych usługi Power BI lub języka T-SQL tożsamość wywołującego użytkownika nie jest przekazywana do ścieżki docelowej skrótu. Tożsamość właściciela elementu wywołującego jest przekazywana, delegując dostęp do użytkownika wywołującego.
Role dostępu do danych w usłudze OneLake
Role dostępu do danych w usłudze OneLake to nowa funkcja, która umożliwia stosowanie kontroli dostępu opartej na rolach (RBAC) do danych przechowywanych w usłudze OneLake. Role zabezpieczeń, które udzielają dostępu do odczytu do określonych folderów w elemencie sieci szkieletowej, i przypisywać je do użytkowników lub grup. Uprawnienia dostępu określają, które foldery użytkownicy widzą podczas uzyskiwania dostępu do widoku typu lake danych za pośrednictwem środowiska użytkownika usługi Lakehouse, notesów lub interfejsów API usługi OneLake. W przypadku elementów z włączoną funkcją w wersji zapoznawczej role dostępu do danych usługi OneLake określają również dostęp użytkownika do skrótu.
Użytkownicy w rolach Administrator, Członek i Współautor mają pełny dostęp do odczytu danych ze skrótu niezależnie od zdefiniowanych ról dostępu do danych OneLake. Jednak nadal potrzebują dostępu zarówno w ścieżce skrótu, jak i ścieżce docelowej, jak wspomniano w rolach obszaru roboczego.
Użytkownicy w roli Osoba przeglądająca lub z udostępnionym im magazynem lakehouse mają bezpośredni dostęp ograniczony w zależności od tego, czy użytkownik ma dostęp za pośrednictwem roli dostępu do danych Usługi OneLake. Aby uzyskać więcej informacji na temat modelu kontroli dostępu za pomocą skrótów, zobacz Model kontroli dostępu do danych w usłudze OneLake.