Kontrola dostępu oparta na rolach (RBAC)
Kontrola RBAC w usłudze OneLake używa przypisań ról do stosowania uprawnień do jej członków. Role można przypisywać do poszczególnych osób lub do grup zabezpieczeń, grup platformy Microsoft 365 i list dystrybucyjnych. Każdy członek w grupie użytkowników otrzymuje przypisaną rolę.
Jeśli ktoś znajduje się w co najmniej dwóch grupach zabezpieczeń lub grupie platformy Microsoft 365, uzyska najwyższy poziom uprawnień udostępnianych przez role. Jeśli zagnieżdżasz grupy użytkowników i przypisujesz rolę do grupy, wszyscy zawarte użytkownicy mają uprawnienia.
Kontrola dostępu oparta na rolach w usłudze OneLake umożliwia użytkownikom definiowanie ról dostępu do danych tylko dla elementów usługi Lakehouse.
Kontrola dostępu na podstawie ról usługi OneLake ogranicza dostęp do danych dla użytkowników z przeglądarką obszarów roboczych lub dostępem do odczytu do usługi Lakehouse. Nie dotyczy administratorów obszaru roboczego, członków ani współautorów. W związku z tym kontrola dostępu oparta na rolach usługi OneLake obsługuje tylko poziom odczytu uprawnień.
Jak utworzyć role RBAC
Role RBAC usługi OneLake można definiować i zarządzać nimi za pomocą ustawień dostępu do danych usługi Lakehouse.
Dowiedz się więcej w artykule Wprowadzenie do ról dostępu do danych.
Domyślna rola RBAC w usłudze Lakehouse
Gdy użytkownik utworzy nowy magazyn lakehouse, usługa OneLake generuje domyślną rolę RBAC o nazwie Default Readers. Rola umożliwia wszystkim użytkownikom z uprawnieniem ReadAll odczytywanie wszystkich folderów w elemencie Item.
Oto domyślna definicja roli:
| Element sieci szkieletowej | Nazwa roli | Uprawnienie | Dołączone foldery | Przypisani członkowie |
|---|---|---|---|---|
| Lakehouse | DefaultReader |
ReadAll | Wszystkie foldery w obszarze Tables/ i Files/ |
Wszyscy użytkownicy z uprawnieniem ReadAll |
Uwaga
Aby ograniczyć dostęp do określonych użytkowników lub określonych folderów, musisz zmodyfikować rolę domyślną lub usunąć ją i utworzyć nową rolę niestandardową.
Dziedziczenie w kontroli dostępu opartej na rolach usługi OneLake
W przypadku dowolnego folderu uprawnienia RBAC usługi OneLake zawsze dziedziczą całą hierarchię plików i podfolderów folderu.
Na przykład biorąc pod uwagę następującą hierarchię lakehouse w usłudze OneLake.
Tables/
──── (empty folder)
Files/
────folder1
│ │ file11.txt
│ │
│ └───subfolder11
│ │ file1111.txt
| │
│ └───subfolder111
| │ file1111.txt
│
└───folder2
│ file21.txt
W przypadku danej hierarchii uprawnienia RBAC usługi OneLake dla Role1 i Role2 dziedziczą w następujący sposób:
| Rola | Pozwolenie | Folder zdefiniowany w uprawnieniach | Foldery i pliki dziedziczące uprawnienie |
| Rola1 | Czytać | folder1 |
|
| Rola2 | Czytać | folder2 |
|
Przechodzenie i wyświetlanie listy w kontroli dostępu opartej na rolach w usłudze OneLake
Kontrola RBAC w usłudze OneLake zapewnia automatyczne przechodzenie elementów nadrzędnych w celu zapewnienia łatwego odnajdywania danych. Przyznanie użytkownikowi uprawnienia odczyt do podfolderu11 przyznaje użytkownikowi możliwość wyświetlania listy i przechodzenia do folderu katalogu nadrzędnego1. Ta funkcja jest podobna do uprawnień folderu systemu Windows, w przypadku których udzielenie dostępu do podfolderu zapewnia odnajdywanie i przechodzenie dla katalogów nadrzędnych. Lista i przechodzenie przyznane elementom nadrzędnym nie rozciąga się na inne elementy poza bezpośrednimi elementami nadrzędnymi, zapewniając bezpieczeństwo innych folderów.
Na przykład biorąc pod uwagę następującą hierarchię lakehouse w usłudze OneLake.
Tables/
──── (empty folder)
Files/
────folder1
│ │ file11.txt
│ │
│ └───subfolder11
│ │ file111.txt
| │
│ └───subfolder111
| │ file1111.txt
│
└───folder2
│ file21.txt
W przypadku danej hierarchii uprawnienia RBAC usługi OneLake dla roli "Role1" zapewniają następujący dostęp. Należy pamiętać, że dostęp do file11.txt nie jest widoczny, ponieważ nie jest elementem nadrzędnym podfolderu11. Podobnie w przypadku roli Role2 file111.txt nie jest widoczna.
| Rola | Pozwolenie | Folder zdefiniowany w uprawnieniach | Foldery i pliki dziedziczące uprawnienie |
| Rola1 | Czytać | podfolder11 |
|
| Rola2 | Czytać | podfolder111 |
|
W przypadku skrótów zachowanie listy jest nieco inne. Skróty do zewnętrznych źródeł danych zachowują się tak samo jak foldery, jednak skróty do innych lokalizacji OneLake mają wyspecjalizowane zachowanie. Dostęp do skrótu OneLake jest określany przez uprawnienia docelowe skrótu. Podczas wyświetlania skrótów nie jest wykonywane żadne wywołanie w celu sprawdzenia dostępu docelowego. W związku z tym podczas wyświetlania listy katalogów zostaną zwrócone wszystkie skróty wewnętrzne niezależnie od dostępu użytkownika do obiektu docelowego. Gdy użytkownik spróbuje otworzyć skrót, sprawdzanie dostępu oceni, a użytkownik będzie widzieć tylko dane, do których mają wymagane uprawnienia. Aby uzyskać więcej informacji na temat skrótów, zobacz sekcję zabezpieczeń skrótów.
W poniższych przykładach użyto następującej hierarchii folderów.
Files/
────folder1
│
└───shortcut2
|
└───shortcut3
| Rola | Pozwolenie | Folder zdefiniowany w uprawnieniach | Wynik wyświetlania listy plików |
| Rola1 | Czytać | folder1 |
|
| Rola2 | N/A | N/A |
|
Jak uprawnienia RBAC usługi OneLake są oceniane przy użyciu uprawnień sieci szkieletowej
Uprawnienia obszaru roboczego i elementu umożliwiają przyznanie dostępu "gruboziarnistego" do danych w elemencie OneLake dla danego elementu. Uprawnienia RBAC usługi OneLake umożliwiają ograniczenie dostępu do danych w usłudze OneLake tylko do określonych folderów.
Uprawnienia kontroli dostępu opartej na rolach usługi OneLake i obszaru roboczego
Uprawnienia obszaru roboczego są pierwszą granicą zabezpieczeń dla danych w usłudze OneLake. Każdy obszar roboczy reprezentuje jedną domenę lub obszar projektu, w którym zespoły mogą współpracować nad danymi. Zabezpieczenia można zarządzać w obszarze roboczym za pomocą ról obszaru roboczego usługi Fabric. Dowiedz się więcej o kontroli dostępu opartej na rolach sieci szkieletowej (RBAC): role obszaru roboczego
Role obszaru roboczego w usłudze Fabric przyznają następujące uprawnienia w usłudze OneLake.
| Uprawnienie | Administrator | Członek | Współautor | Osoba przeglądająca |
|---|---|---|---|---|
| Wyświetlanie plików w usłudze OneLake | Zawsze* Tak | Zawsze* Tak | Zawsze* Tak | Domyślnie nie. Użyj kontroli dostępu na podstawie ról usługi OneLake, aby udzielić dostępu. |
| Zapisywanie plików w usłudze OneLake | Zawsze* Tak | Zawsze* Tak | Zawsze* Tak | Nie. |
Uwaga
*Ponieważ role administratora obszaru roboczego, członka i współautora automatycznie przyznają uprawnienia do zapisu w usłudze OneLake, zastępuje wszystkie uprawnienia odczytu kontroli dostępu opartej na rolach w usłudze OneLake.
| Rola obszaru roboczego | Czy usługa OneLake stosuje uprawnienia do odczytu kontroli dostępu opartej na rolach? |
|---|---|
| Administrator, Współautor, Członek | Nie, oneLake Security zignoruje wszystkie uprawnienia odczytu RBC OneLake |
| Przeglądający | Tak, jeśli jest zdefiniowana, zostaną zastosowane uprawnienia do odczytu kontroli dostępu opartej na rolach w usłudze OneLake |
Uprawnienia kontroli dostępu opartej na rolach usługi OneLake i usługi Lakehouse
W obszarze roboczym elementy sieci szkieletowej mogą mieć uprawnienia skonfigurowane oddzielnie od ról obszaru roboczego. Uprawnienia można skonfigurować za pomocą udostępniania elementu lub zarządzania uprawnieniami elementu. Następujące uprawnienia określają możliwość wykonywania akcji na danych w usłudze OneLake przez użytkownika.
Uprawnienia usługi Lakehouse
| Uprawnienie lakehouse | Czy można wyświetlać pliki w usłudze OneLake? | Czy można zapisywać pliki w usłudze OneLake? | Czy można odczytywać dane za pośrednictwem punktu końcowego analizy SQL? |
|---|---|---|---|
| Przeczytaj | Nie domyślnie użyj kontroli dostępu opartej na rolach w usłudze OneLake, aby udzielić dostępu. | Nie | Nie. |
| ReadAll | Tak domyślnie. Użyj kontroli dostępu opartej na rolach usługi OneLake, aby ograniczyć dostęp. | Nie | Nie. |
| Write | Tak | Tak | Tak |
| Execute, Reshare, ViewOutput, ViewLogs | N/A - nie można udzielić na własną rękę | N/A - nie można udzielić na własną rękę | N/A - nie można udzielić na własną rękę |
Uprawnienia dostępu opartej na rolach usługi OneLake i punktu końcowego usługi SQL Analytics usługi Lakehouse
Punkt końcowy analizy SQL to magazyn, który jest generowany automatycznie z usługi Lakehouse w usłudze Microsoft Fabric. Klient może przejść z widoku "Lake" usługi Lakehouse (która obsługuje inżynierię danych i platformę Apache Spark) do widoku "SQL" tego samego usługi Lakehouse. Dowiedz się więcej o punkcie końcowym analizy SQL w dokumentacji usługi Data Warehouse: punkt końcowy analizy SQL.
| Uprawnienie punktu końcowego usługi SQL Analytics | Użytkownicy mogą wyświetlać pliki za pośrednictwem punktu końcowego usługi OneLake? | Użytkownicy mogą zapisywać pliki za pośrednictwem punktu końcowego OneLake? | Użytkownicy mogą odczytywać dane za pośrednictwem punktu końcowego analizy SQL? |
|---|---|---|---|
| Przeczytaj | Nie domyślnie użyj kontroli dostępu opartej na rolach w usłudze OneLake, aby udzielić dostępu. | Nie. | Nie domyślnie, ale można skonfigurować z uprawnieniami szczegółowymi SQL |
| ReadData | Domyślnie nie. Użyj kontroli dostępu opartej na rolach usługi OneLake, aby udzielić dostępu. | Nie. | Tak |
| Write | Tak | Tak | Tak |
Uprawnienia modelu semantycznego usługi OneLake RBAC i Default Lakehouse
W usłudze Microsoft Fabric, gdy użytkownik tworzy magazyn typu lakehouse, system aprowizuje również skojarzony domyślny model semantyczny. Domyślny model semantyczny zawiera metryki dotyczące danych typu lakehouse. Model semantyczny umożliwia usłudze Power BI ładowanie danych na potrzeby raportowania.
| Domyślne uprawnienie do modelu semantycznego | Czy można wyświetlać pliki w usłudze OneLake? | Czy można zapisywać pliki w usłudze OneLake? | Czy można wyświetlić schemat w modelu semantycznym? | Czy można odczytywać dane w modelu semantycznym? |
|---|---|---|---|---|
| Przeczytaj | Nie domyślnie użyj kontroli dostępu opartej na rolach w usłudze OneLake, aby udzielić dostępu. | Nie | Nie. | Tak domyślnie. Zabezpieczenia na poziomie obiektu usługi Power BI i zabezpieczenia na poziomie wiersza usługi Power BI mogą być ograniczone |
| Kompilacja | Tak domyślnie. Użyj kontroli dostępu opartej na rolach usługi OneLake, aby ograniczyć dostęp. | Tak | Tak | Tak |
| Write | Tak | Tak | Tak | Tak |
| Udostępnianie dalej | N/A - nie można udzielić na własną rękę | N/A - nie można udzielić na własną rękę | N/A - nie można udzielić na własną rękę | N/A - nie można udzielić na własną rękę |
Udostępnianie usługi Lakehouse i uprawnienia kontroli dostępu opartej na rolach w usłudze OneLake
Gdy użytkownik udostępnia usługę Lakehouse, udziela innym użytkownikom lub grupie użytkowników dostępu do usługi Lakehouse bez udzielania dostępu do obszaru roboczego i pozostałych elementów. Udostępnioną usługę Lakehouse można znaleźć za pośrednictwem centrum danych lub sekcji Udostępnione mi w usłudze Microsoft Fabrics.
Gdy ktoś udostępnia usługę Lakehouse, może również udzielić dostępu do punktu końcowego analizy SQL i skojarzonego domyślnego modelu semantycznego.
| Opcja udostępniania | Czy można wyświetlać pliki w usłudze OneLake? | Czy można zapisywać pliki w usłudze OneLake? | Czy można odczytywać dane za pośrednictwem punktu końcowego analizy SQL? | Czy można wyświetlać i tworzyć modele semantyczne? |
|---|---|---|---|---|
| Nie wybrano żadnych dodatkowych uprawnień | Nie domyślnie użyj kontroli dostępu opartej na rolach w usłudze OneLake, aby udzielić dostępu. | Nie | Nie. | Nie. |
| Odczytywanie wszystkich platformy Apache Spark | Tak domyślnie. Użyj kontroli dostępu opartej na rolach usługi OneLake, aby ograniczyć dostęp. | Nie | Nie. | Nie. |
| Odczytywanie wszystkich danych punktu końcowego SQL | Nie domyślnie użyj kontroli dostępu opartej na rolach w usłudze OneLake, aby udzielić dostępu. | Nie. | Tak | Nie. |
| Tworzenie raportów dotyczących domyślnego zestawu danych | Tak domyślnie. Użyj kontroli dostępu opartej na rolach usługi OneLake, aby ograniczyć dostęp. | Nie | Nie. | Tak |
Dowiedz się więcej o modelu uprawnień do udostępniania danych:
Skróty
Kontrola dostępu oparta na rolach w usłudze OneLake w skrótach wewnętrznych
W przypadku dowolnego folderu w usłudze Lakehouse uprawnienia kontroli dostępu opartej na rolach zawsze dziedziczą wszystkie skróty wewnętrzne, w których ten folder jest zdefiniowany jako docelowy.
Gdy użytkownik uzyskuje dostęp do danych za pomocą skrótu do innej lokalizacji OneLake, tożsamość wywołującego użytkownika jest używana do autoryzowania dostępu do danych w ścieżce docelowej skrótu*. W związku z tym ten użytkownik musi mieć uprawnienia RBAC usługi OneLake w lokalizacji docelowej, aby odczytać dane.
Ważne
Podczas uzyskiwania dostępu do skrótów za pośrednictwem modeli semantycznych usługi Power BI lub języka T-SQL tożsamość wywołującego użytkownika nie jest przekazywana do elementu docelowego skrótu. Tożsamość właściciela elementu wywołującego jest przekazywana, delegując dostęp do użytkownika wywołującego.
Definiowanie uprawnień RBAC dla skrótu wewnętrznego jest niedozwolone i musi być zdefiniowane w folderze docelowym znajdującym się w elemencie docelowym. Ponieważ definiowanie uprawnień RBAC jest ograniczone tylko do elementów usługi Lakehouse, usługa OneLake włącza uprawnienia RBAC tylko dla skrótów przeznaczonych dla folderów docelowych w elementach lakehouse.
W następnej tabeli określono, czy odpowiedni scenariusz skrótu jest obsługiwany do definiowania uprawnień RBAC usługi OneLake.
| Scenariusz skrótów wewnętrznych | Obsługiwane uprawnienia RBAC usługi OneLake? | Komentarze |
|---|---|---|
| Skrót w lakehouse1 wskazujący folder2 znajdujący się w tym samym jeziorze. | Obsługiwane. | Aby ograniczyć dostęp do danych w skrótach, zdefiniuj funkcję RBAC usługi OneLake dla folderu2. |
| Skrót w lakehouse1 wskazujący folder2 znajdujący się w innym lakehouse2 | Obsługiwane. | Aby ograniczyć dostęp do danych w skrótach, zdefiniuj RBAC usługi OneLake dla folderu2 w usłudze lakehouse2. |
| Skrót w lakehouse wskazujący tabelę znajdującą się w magazynie danych | Nieobsługiwane. | Usługa OneLake nie obsługuje definiowania uprawnień RBAC w magazynach danych. Zamiast tego dostęp jest określany na podstawie uprawnienia ReadAll. |
| Skrót w lakehouse wskazujący tabelę znajdującą się w bazie danych KQL | Nieobsługiwane. | Usługa OneLake nie obsługuje definiowania uprawnień RBAC w bazach danych KQL. Zamiast tego dostęp jest określany na podstawie uprawnienia ReadAll. |
Kontrola RBAC w usłudze OneLake w skrótach zewnętrznych (ADLS, S3, Dataverse)
Usługa OneLake obsługuje definiowanie uprawnień RBAC dla skrótów, takich jak skróty ADLS, S3 i Dataverse. W takim przypadku model RBAC jest stosowany w oparciu o model autoryzacji delegowanej włączony dla tego typu skrótu.
Załóżmy, że użytkownik user1 tworzy skrót S3 w usłudze Lakehouse wskazujący folder w zasobniku usługi AWS S3. Następnie użytkownik user2 próbuje uzyskać dostęp do danych w tym skrótzie.
| Czy połączenie S3 autoryzuje dostęp dla delegowanego użytkownika1? | Czy kontrola dostępu oparta na rolach usługi OneLake autoryzuje dostęp do żądanego użytkownika2? | Wynik: Czy użytkownik2 może uzyskiwać dostęp do danych w skrótach S3? |
|---|---|---|
| Tak | Tak | Tak |
| Nie. | Nie. | Nie. |
| Nie. | Tak | Nie |
| Tak | Nie. | Nie. |
Uprawnienia RBAC muszą być zdefiniowane dla całego zakresu skrótu (cały folder docelowy), ale dziedziczą rekursywnie do wszystkich jego podfolderów i plików.
Dowiedz się więcej o skrótach S3, ADLS i Dataverse w skrótach OneLake.
Limity kontroli dostępu opartej na rolach w usłudze OneLake
Poniższa tabela zawiera ograniczenia ról dostępu do danych w usłudze OneLake.
| Scenariusz | Limit |
|---|---|
| Maksymalna liczba ról RBAC usługi OneLake na element sieci szkieletowej | Co najwyżej 250 ról dla każdego elementu lakehouse. |
| Maksymalna liczba członków na rolę RBAC usługi OneLake | Co najwyżej 500 użytkowników i grup użytkowników na rolę. |
| Maksymalna liczba uprawnień na rolę RBAC usługi OneLake | Co najwyżej 500 uprawnień na rolę |
Opóźnienia w kontroli dostępu opartej na rolach w usłudze OneLake
- Jeśli zmienisz definicję roli RBAC w usłudze OneLake, zastosowanie zaktualizowanych definicji zajmuje około 5 minut.
- Jeśli zmienisz grupę użytkowników w roli RBAC usługi OneLake, zastosowanie uprawnień roli do zaktualizowanej grupy użytkowników zajmuje około godziny.