Notatka
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Zabezpieczenia usługi OneLake umożliwiają stosowanie kontroli dostępu opartej na rolach (RBAC) do danych przechowywanych w usłudze OneLake. Możesz zdefiniować role zabezpieczeń, które udzielają dostępu do określonych folderów w elemencie sieci szkieletowej, a następnie przypisywać te role do użytkowników lub grup. Role mogą również zawierać zabezpieczenia na poziomie wiersza lub kolumny w celu dalszego ograniczenia dostępu. Uprawnienia zabezpieczeń usługi OneLake określają, jakie dane użytkownik może zobaczyć we wszystkich środowiskach w usłudze Fabric.
Użytkownicy sieci szkieletowej z uprawnieniami do zapisu i udostępniania dalej (zazwyczaj użytkownicy obszaru roboczego Administratora i członka) mogą rozpocząć pracę, tworząc role zabezpieczeń usługi OneLake w celu udzielenia dostępu tylko do określonych folderów lub tabel w elemencie danych sieci szkieletowej. Aby udzielić dostępu do danych w elemencie, dodaj użytkowników do roli dostępu do danych. Użytkownicy, którzy nie są częścią roli dostępu do danych, nie widzą żadnych danych w tym elemencie.
Jakie typy danych można zabezpieczyć?
Użyj ról zabezpieczeń OneLake, aby zarządzać dostępem do odczytu w OneLake dla dowolnych tabel lub folderów w obsługiwanym elemencie danych. Dostęp do tabel można dodatkowo ograniczyć przy użyciu zabezpieczeń na poziomie wiersza i/lub kolumny. Każdy zestaw zabezpieczeń ma zastosowanie do dostępu ze wszystkich silników w Fabric. Aby uzyskać więcej informacji, zobacz model kontroli dostępu do danych.
W przypadku określonych typów elementów można również skonfigurować dostęp ReadWrite. To uprawnienie umożliwia użytkownikom edytowanie danych w Lakehouse w określonych tabelach lub folderach bez umożliwienia im tworzenia ani zarządzania elementami Fabric. Dostęp do odczytu i zapisu umożliwia użytkownikom wykonywanie operacji zapisu za pomocą notesów platformy Spark, eksploratora plików OneLake lub interfejsów API usługi OneLake. Operacje zapisu przez interfejs użytkownika Lakehouse dla użytkowników przeglądających nie są obsługiwane.
Następujące elementy danych obsługują zabezpieczenia usługi OneLake:
| Element sieci szkieletowej | Obsługiwane uprawnienia |
|---|---|
| Lakehouse | Odczyt, OdczytZapis |
| Katalog lustrzany usługi Azure Databricks | Przeczytaj |
| Dublowane bazy danych | Przeczytaj |
Ustawienia domyślne
Podczas tworzenia nowego elementu jest on dostarczany z zestawem ról domyślnych. Role domyślne zapewniają, że uprzywilejowani użytkownicy mogą wyświetlać dane w nowo utworzonym elemencie i wchodzić z nimi w interakcje. Różne elementy mają różne role domyślne w zależności od przypadków użycia tego elementu, ale większość zawiera rolę DefaultReader . Korzystając z członkostwa w rolach zwirtualizowanych, wszyscy użytkownicy, którzy mają niezbędne uprawnienia do wyświetlania danych w elemencie (na przykład uprawnienie ReadAll), są dołączani jako członkowie tej roli domyślnej. Aby ograniczyć dostęp do tych użytkowników, usuń rolę DefaultReader lub usuń uprawnienie ReadAll z użytkowników, którzy uzyskują dostęp.
Nowo utworzone elementy, które mają odpowiedni punkt końcowy analizy SQL , są domyślnie uruchamiane w trybie tożsamości użytkownika . Administratorzy i członkowie mogą w dowolnym momencie zmienić tryb w ustawieniach punktu końcowego.
Ważne
Po dodaniu użytkownika do roli dostępu do danych upewnij się, że usunięto je z roli DefaultReader. W przeciwnym razie zachowują pełny dostęp do danych.
Włączanie zabezpieczeń usługi OneLake dla punktu końcowego analizy SQL
Aby można było używać zabezpieczeń usługi OneLake z punktem końcowym analizy SQL, należy skonfigurować go tak, aby korzystał z trybu dostępu tożsamości użytkownika.
Note
Wystarczy, że raz na dany punkt końcowy SQL Analytics przełączysz się na tryb dostępu do tożsamości użytkownika. Punkty końcowe, które nie są przełączane do trybu tożsamości użytkownika, nadal używają tożsamości delegowanej do oceny uprawnień.
Przejdź do punktu końcowego analizy SQL.
W środowisku punktu końcowego analizy SQL wybierz kartę Zabezpieczenia .
Wybierz pozycję Wyświetl tryb dostępu do danych (wersja zapoznawcza)>Ustawienia trybu dostępu do danych.
Wybierz pozycję Użyj zabezpieczeń usługi OneLake dla tabel (tryb dostępu tożsamości użytkownika), a następnie wybierz pozycję Zastosuj.
Wybierz pozycję Kontynuuj , aby potwierdzić wybór.
Teraz punkt końcowy analizy SQL jest gotowy do użycia z zabezpieczeniami usługi OneLake.