Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Безопасность на уровне столбцов (CLS) — это функция безопасности OneLake (предварительная версия), которая позволяет иметь доступ к выбранным столбцам в таблице вместо полного доступа к таблице. CLS позволяет указать подмножество таблиц, к которым пользователи могут получить доступ. Все столбцы, удаленные из списка, не видны пользователям.
Предпосылки
- Элемент в OneLake с включенной безопасностью OneLake. Дополнительные сведения см. в статье "Начало работы с ролями доступа к данным OneLake".
- Переключите конечную точку аналитики SQL в lakehouse на режим идентификации пользователя с помощью вкладки "Безопасность ".
- Для создания семантических моделей выполните действия по созданию модели DirectLake.
- Полный список ограничений см. в разделе известных ограничений.
Обеспечение безопасности на уровне столбцов
Среда CLS безопасности OneLake применяется одним из следующих двух способов:
- Отфильтрованные таблицы в ядрах Fabric: Запросы к обработчикам Fabric, таким как записные книжки Spark, приводят к тому, что пользователь видит только столбцы, которые они могут видеть в правилах CLS.
- Заблокирован доступ к таблицам: Таблицы с правилами CLS, применяемыми к ним, не могут быть прочитаны за пределами поддерживаемых обработчиков Fabric.
Для отфильтрованных таблиц действуют следующие действия.
- Правила CLS не ограничивают доступ к пользователям с ролями администратора, участника и участника.
- Если правило CLS имеет несоответствие с таблицей, на которой оно определено, то запрос завершается ошибкой и столбцы не возвращаются. Например, если CLS определен для столбца, который не является частью таблицы.
- Запросы таблиц CLS завершаются ошибкой, если пользователь является частью двух разных ролей, а одна из ролей имеет безопасность на уровне строк (RLS).
- Правила CLS могут применяться только для объектов таблиц Delta Parquet.
- Правила CLS, применяемые к объектам таблицы, не относящихся к разностным таблицам, блокируют доступ ко всей таблице для членов роли.
- Если пользователь запускает
select *запрос в таблице, где у них есть доступ только к некоторым столбцам, правила CLS работают по-разному в зависимости от подсистемы Fabric.- Записные книжки Spark: запрос завершается успешно и отображает только допустимые столбцы.
- Конечная точка аналитики SQL: доступ к столбцам заблокирован для столбцов, к которые пользователь не может получить доступ.
- Семантические модели. Доступ к столбцам заблокирован для столбцов, к которые пользователь не может получить доступ.
Определение правил безопасности на уровне столбцов
Безопасность на уровне столбца можно определить как часть роли безопасности OneLake для любой таблицы Delta-parquet в разделе "Таблицы " элемента. CLS всегда указана для таблицы и может быть либо включена, либо отключена. По умолчанию CLS отключен и пользователи имеют доступ ко всем столбцам. Пользователи могут включить CLS и удалить столбцы из списка для отзыва доступа.
Это важно
Удаление доступа к столбцу не запрещает доступ к такому столбцу, если другая роль предоставляет ему доступ.
Чтобы определить безопасность на уровне столбцов, выполните следующие действия.
Перейдите к элементу данных и выберите "Управление безопасностью OneLake" (предварительная версия).
Выберите существующую роль, для которой требуется определить безопасность таблицы или папки, или нажмите кнопку "Создать ", чтобы создать новую роль.
На странице сведений о роли выберите дополнительные параметры (...) рядом с таблицей, для которой требуется определить clS, а затем выберите "Безопасность столбца" (предварительная версия).
По умолчанию CLS для таблицы отключен. Нажмите кнопку "Включить CLS" или создайте новое правило , чтобы включить его.
Пользовательский интерфейс заполняет список столбцов для этой таблицы, которую пользователи могут видеть. По умолчанию отображаются все столбцы.
Чтобы ограничить доступ к столбцу, установите флажок рядом с именем столбца, а затем нажмите кнопку "Удалить". По крайней мере один столбец должен оставаться в списке разрешенных столбцов.
Нажмите кнопку "Сохранить", чтобы обновить роль.
Если вы хотите добавить удаленный столбец, нажмите кнопку "Создать правило". Это действие добавляет новую запись правила CLS в конец списка. Затем используйте раскрывающийся список, чтобы выбрать столбец, который требуется включить в доступ.
После завершения изменений нажмите кнопку "Сохранить".
Включение безопасности OneLake для конечной точки аналитики SQL
Прежде чем использовать безопасность OneLake с конечной точкой аналитики SQL, необходимо включить режим удостоверения пользователя. Только что созданные конечные точки аналитики SQL по умолчанию будут использоваться в режиме идентификации пользователя, поэтому эти действия должны выполняться для существующих конечных точек аналитики SQL.
Примечание.
Переключиться в режим идентификации пользователя необходимо только один раз для каждого аналитического узла SQL. Конечные точки, которые не перейдут в режим идентификации пользователя, будут продолжать использовать делегированное удостоверение для оценки разрешений.
Перейдите к конечной точке аналитики SQL.
В конечной точке аналитики SQL перейдите на вкладку "Безопасность " в верхнем меню.
Выберите удостоверение пользователя в режиме доступа OneLake.
В командной строке нажмите кнопку "Да", используйте удостоверение пользователя.
Теперь конечная точка аналитики SQL готова к использованию с безопасностью OneLake.
Объединение безопасности на уровне строк и на уровне столбцов
Безопасность на уровне строк и на уровне столбцов можно использовать вместе для ограничения доступа пользователей к таблице. Однако обе политики должны применяться через единую роль безопасности OneLake. В этом сценарии доступ к данным ограничен в соответствии с правилами, заданными в одной роли.
Безопасность OneLake не поддерживает сочетание двух или нескольких ролей, в которых один содержит правила RLS, а другой — правила CLS. Пользователи, пытающиеся получить доступ к таблицам, которые являются частью неподдерживаемой комбинации ролей, получают ошибки запроса.