Wprowadzenie do ról dostępu do danych w usłudze OneLake (wersja zapoznawcza)

Omówienie

Role dostępu do danych usługi OneLake dla folderów to nowa funkcja, która umożliwia stosowanie kontroli dostępu opartej na rolach (RBAC) do danych przechowywanych w usłudze OneLake. Role zabezpieczeń, które udzielają dostępu do odczytu do określonych folderów w elemencie sieci szkieletowej, i przypisywać je do użytkowników lub grup. Uprawnienia dostępu określają, które foldery użytkownicy widzą podczas uzyskiwania dostępu do widoku typu lake danych za pośrednictwem środowiska użytkownika usługi Lakehouse, notesów lub interfejsów API usługi OneLake.

Użytkownicy sieci szkieletowej w rolach Administracja, Członek lub Współautor mogą rozpocząć pracę, tworząc role dostępu do danych usługi OneLake w celu udzielenia dostępu tylko do określonych folderów w usłudze Lakehouse. Aby udzielić dostępu do danych w usłudze Lakehouse, dodaj użytkowników do roli dostępu do danych. Użytkownicy, którzy nie są częścią roli dostępu do danych, nie widzą żadnych danych w tym lakehouse.

Uwaga

Zabezpieczenia roli dostępu do danych dotyczą tylko użytkowników, którzy uzyskują bezpośredni dostęp do usługi OneLake. Elementy sieci szkieletowej, takie jak punkt końcowy SQL, modele semantyczne i magazyny, mają własne modele zabezpieczeń i uzyskują dostęp do usługi OneLake za pośrednictwem tożsamości delegowanej. Oznacza to, że użytkownicy mogą wyświetlać różne elementy w każdym obciążeniu, jeśli mają dostęp do wielu elementów.

Jak wyrazić zgodę

Wszystkie magazyny typu lakehouse w usłudze Fabric mają domyślnie wyłączoną funkcję dostępu do danych w wersji zapoznawczej. Funkcja w wersji zapoznawczej jest konfigurowana dla poszczególnych urządzeń typu lakehouse. Kontrola zgody umożliwia pojedynczemu lakehouse wypróbowanie wersji zapoznawczej bez włączania jej w innych obiektach typu lakehouse lub fabric.

Aby włączyć wersję zapoznawcza, musisz być Administracja, członkiem lub współautorem w obszarze roboczym. Przejdź do usługi Lakehouse i wybierz przycisk Zarządzaj dostępem do danych usługi OneLake (wersja zapoznawcza) na wstążce, aby otworzyć okno dialogowe potwierdzenia. Wersja zapoznawcza ról dostępu do danych nie jest zgodna z podglądem udostępniania danych zewnętrznych. Jeśli jesteś w porządku ze zmianą, wybierz pozycję Kontynuuj. Zostanie otwarty interfejs użytkownika zarządzania rolami, a funkcja jest teraz włączona.

Nie można wyłączyć funkcji w wersji zapoznawczej po włączeniu.

Aby zapewnić bezproblemowe korzystanie z funkcji opt-in, wszyscy użytkownicy z uprawnieniami do odczytu do danych w lakehouse nadal mają dostęp do odczytu. Migracja dostępu odbywa się za pośrednictwem tworzenia domyślnej roli dostępu do danych o nazwie "DefaultReader". Korzystanie z zwirtualizowanych członkostwa w rolach wszystkich użytkowników, którzy mieli niezbędne uprawnienia do wyświetlania danych w usłudze Lakehouse (uprawnienie ReadAll), są dołączani jako członkowie tej roli domyślnej. Aby rozpocząć ograniczanie dostępu do tych użytkowników, upewnij się, że rola DefaultReader została usunięta lub czy uprawnienie ReadAll zostało usunięte z dostępu użytkowników.

Ważne

Upewnij się, że wszyscy użytkownicy, którzy znajdują się w roli dostępu do danych, nie są również częścią roli DefaultReader. W przeciwnym razie zachowa pełny dostęp do danych.

Jakie typy danych można zabezpieczyć?

Role dostępu do danych usługi OneLake mogą służyć do zarządzania dostępem do odczytu usługi OneLake do folderów w usłudze Lakehouse. Dostęp do odczytu można uzyskać do dowolnego folderu w usłudze Lakehouse, a dostęp do folderu jest stanem domyślnym. Zabezpieczenia ustawione przez role dostępu do danych mają zastosowanie wyłącznie do dostępu do określonych interfejsów API usługi OneLake lub OneLake. Aby uzyskać więcej informacji, zobacz model kontroli dostępu do danych.

Wymagania wstępne

Aby skonfigurować zabezpieczenia dla usługi Lakehouse, musisz być Administracja, członkiem lub współautorem obszaru roboczego. Tworzenie roli i przypisywanie członkostwa zacznie obowiązywać natychmiast po zapisaniu roli, dlatego przed dodaniem kogoś do roli upewnij się, że chcesz udzielić dostępu.

Role dostępu do danych usługi OneLake są obsługiwane tylko w przypadku elementów usługi Lakehouse.

Tworzenie roli

1. Otwórz lakehouse, w którym chcesz zdefiniować zabezpieczenia.
2. Po prawej stronie wstążki lakehouse wybierz pozycję Zarządzaj dostępem do danych usługi OneLake (wersja zapoznawcza).
3. W lewym górnym rogu okienka Zarządzanie dostępem do danych OneLake wybierz pozycję Nowa rola i wpisz odpowiednią nazwę roli. Nazwa roli ma pewne ograniczenia:
   1. Nazwa roli może zawierać tylko znaki alfanumeryczne.
   2. Nazwa roli musi zaczynać się literą.
   3. Nazwy są bez uwzględniania wielkości liter i muszą być unikatowe.
   4. Maksymalna długość nazwy to 128 znaków.
4. Wybierz przełącznik Wszystkie foldery, jeśli chcesz, aby ta rola miała zastosowanie do wszystkich folderów w tym lakehouse.
   1. Ten wybór obejmuje wszystkie foldery, które są dodawane w przyszłości.
5. Wybierz foldery Wybrane, jeśli chcesz, aby ta rola miała zastosowanie tylko do wybranych folderów.
   1. Zaznacz pola obok folderów, do których ma zostać zastosowana rola.
   2. Role udzielają dostępu do folderów. Aby zezwolić użytkownikowi na dostęp do folderu, zaznacz pole wyboru obok niego. Jeśli użytkownik nie powinien widzieć folderu, nie zaznacz tego pola.
   3. W lewym dolnym rogu wybierz pozycję Zapisz , aby utworzyć rolę.
6. W lewym górnym rogu wybierz pozycję Przypisz rolę , aby otworzyć okienko członkostwa w roli.
7. Dodaj osoby, grupy lub adresy e-mail do kontrolki Dodaj osoby lub grupy . Aby uzyskać więcej informacji, zobacz Przypisywanie członka lub grupy.
8. Wybierz pozycję Dodaj , aby przenieść wybór do listy Przypisane osoby i grupy . Wybranie pozycji Dodaj nie spowoduje jeszcze zapisania zaznaczenia.
9. Wybierz pozycję Zapisz i poczekaj na powiadomienie o pomyślnym opublikowaniu ról.
10. Wybierz znak X w prawym górnym rogu, aby zamknąć okienko.

Edytowanie roli

1. Otwórz lakehouse, w którym chcesz zdefiniować zabezpieczenia.
2. Po prawej stronie wstążki lakehouse wybierz pozycję Zarządzaj dostępem do danych usługi OneLake (wersja zapoznawcza).
3. W okienku Zarządzanie dostępem do danych usługi OneLake umieść kursor nad rolą, którą chcesz edytować i wybierz.
4. Możesz zmienić foldery, do których uzyskuje się dostęp, wybierając lub usuwając zaznaczenie pól wyboru obok każdego folderu.
5. Aby zmienić osoby, wybierz pozycję Przypisz rolę. Aby uzyskać więcej informacji, zobacz Przypisywanie członka lub grupy.
6. Aby dodać więcej osób, wpisz nazwy w polu Dodaj osoby lub grupy i wybierz pozycję Dodaj.
7. Aby usunąć osoby, wybierz ich nazwę w obszarze Przypisane osoby i grupy , a następnie wybierz pozycję Usuń.
8. Wybierz pozycję Zapisz i poczekaj na powiadomienie o pomyślnym opublikowaniu ról.
9. Wybierz znak X w prawym górnym rogu, aby zamknąć okienko.

Usuwanie roli

1. Otwórz lakehouse, w którym chcesz zdefiniować zabezpieczenia.
2. Po prawej stronie wstążki lakehouse wybierz pozycję Zarządzaj dostępem do danych usługi OneLake (wersja zapoznawcza).
3. W okienku Zarządzanie dostępem do danych usługi OneLake zaznacz pole wyboru obok ról, które chcesz usunąć.
4. Wybierz pozycję Usuń i poczekaj na powiadomienie o pomyślnym usunięciu ról.
5. Wybierz znak X w prawym górnym rogu, aby zamknąć okienko.

Przypisywanie członka lub grupy

Role dostępu do danych usługi OneLake obsługują dwie różne metody dodawania użytkowników do roli. Metoda główna polega na dodawaniu użytkowników lub grup bezpośrednio do roli przy użyciu pola Dodaj osoby lub grupę na stronie Przypisywanie roli. Drugi polega na używaniu członkostw wirtualnych z automatycznie dodaj użytkowników ze wszystkimi tymi uprawnieniami kontroli.

Dodanie użytkowników bezpośrednio do roli za pomocą pola Dodaj osoby lub grupę dodaje użytkowników jako jawnych członków roli. Ci użytkownicy są wyświetlani z nazwą i zdjęciem widocznym na liście Przypisane osoby i grupy .

Wirtualne elementy członkowskie umożliwiają dynamiczne dostosowywanie członkostwa roli na podstawie uprawnień elementu sieci szkieletowej użytkowników. Wybierając pozycję Automatycznie dodaj użytkowników ze wszystkimi tymi uprawnieniami i wybierając uprawnienie, dodasz dowolnego użytkownika w obszarze roboczym Sieć szkieletowa, który ma wszystkie wybrane uprawnienia jako niejawny członek roli. Jeśli na przykład wybrano pozycję ReadAll, Zapisz , każdy użytkownik obszaru roboczego Sieć szkieletowa, który ma uprawnienia ReadAll AND Write do usługi Lakehouse, zostanie uwzględniony jako członek roli. Możesz zobaczyć, którzy użytkownicy są dodawani jako członkowie wirtualni, wyszukując tekst "Przypisane według uprawnień obszaru roboczego" na liście Przypisane osoby i grupy . Tych członków nie można usunąć ręcznie i muszą mieć odpowiednie uprawnienia sieci szkieletowej odwołane w celu nieprzypisanego.

Niezależnie od typu członkostwa role dostępu do danych obsługują dodawanie poszczególnych użytkowników, grup Entra firmy Microsoft i podmiotów zabezpieczeń.

Przypisywanie członków

Aby uzyskać dostęp do strony przypisywania członków, istnieją dwa sposoby:

Metoda 1

1. Wybierz nazwę roli, do której chcesz przypisać członków.
2. W górnej części strony szczegółów roli wybierz pozycję Przypisz rolę.

Metoda 2

1. Z listy ról zaznacz pole wyboru obok roli, do której chcesz przypisać członków.
2. Zaznacz Przypisz.

Przypisywanie użytkowników bezpośrednio

Na stronie Przypisywanie roli możesz dodawać członków lub grupy, wpisując ich nazwę lub adres e-mail w polu Dodawanie osób lub grup. Wybierz wynik, który chcesz wybrać tego użytkownika. Ten krok można powtórzyć dla jak największej liczby użytkowników. W przypadku wybrania nieprawidłowych użytkowników możesz wybrać znak X obok wpisu, aby usunąć je z pola, lub wybrać pozycję Wyczyść , aby usunąć wszystkie wpisy. Po zakończeniu wybierz pozycję Dodaj , aby przenieść wybranych użytkowników do listy dostępu. Dodanie ich do listy nie spowoduje jeszcze zapisania. Jest to wersja zapoznawcza listy członkostwa w rolach po dodaniu tych użytkowników.

Aby opublikować zmiany dostępu, wybierz pozycję Zapisz w dolnej części okienka.

Przypisywanie wirtualnych elementów członkowskich

Aby dodać członków wirtualnych, użyj pola Automatycznie dodaj użytkowników ze wszystkimi tymi uprawnieniami . Zaznacz pole, aby otworzyć selektor listy rozwijanej, aby wybrać uprawnienia sieci szkieletowej do wirtualizacji. Użytkownicy są zwirtualizowani, jeśli mają wszystkie zaznaczone uprawnienia.

Uprawnienia, które mogą być używane do wirtualizacji, to:

• Przeczytaj
• Napisz
• Udostępnianie dalej
• Wykonywanie
• ReadAll
• ViewOutput
• Dzienniki widoków

Po wybraniu uprawnienia wszystkie zwirtualizowane elementy członkowskie będą wyświetlane na liście Przypisane osoby i grupy . Użytkownicy mają tekst obok swojej nazwy wskazującej, że zostali przypisani przez uprawnienia obszaru roboczego. Tych użytkowników nie można usunąć ręcznie z przypisania roli. Zamiast tego usuń odpowiednie uprawnienia z kontrolki wirtualizacji lub usuń uprawnienie Sieć szkieletowa.

Znane problemy

Zewnętrzna funkcja udostępniania danych w wersji zapoznawczej (link) nie jest zgodna z podglądem ról dostępu do danych. Po włączeniu podglądu ról dostępu do danych w usłudze Lakehouse wszystkie istniejące zewnętrzne udziały danych mogą przestać działać.

Powiązana zawartość

• Omówienie zabezpieczeń sieci szkieletowej

• Omówienie zabezpieczeń sieci szkieletowej i usługi OneLake

• Model kontroli dostępu do danych