Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этом документе содержится подробное руководство по работе модели управления доступом к безопасности OneLake. В ней содержатся сведения о структуре ролей, их применении к данным и интеграции с другими структурами в Microsoft Fabric.
Роли безопасности OneLake
Безопасность OneLake использует модель управления доступом на основе ролей (RBAC) для управления доступом к данным в OneLake. Каждая роль состоит из нескольких ключевых компонентов.
- Тип: Указывает, предоставляет ли роль доступ (GRANT) или удаляет доступ (DENY). Поддерживаются только роли типа GRANT.
- Разрешение: Конкретное действие или действия, которые предоставляются или отклоняются.
- Размах: Объекты OneLake, имеющие разрешение. Объекты — это таблицы, папки или схемы.
- Члены: Любое удостоверение Microsoft Entra, назначенное роли, например пользователи, группы или удостоверения, не являющиеся пользователями. Роль предоставляется всем членам группы Microsoft Entra.
Назначив участника роли, этот пользователь затем подвергается связанным разрешениям для области этой роли. Так как безопасность OneLake использует модель запрета по умолчанию, все пользователи начинают без доступа к данным, если роль безопасности OneLake не предоставляется явным образом.
Разрешения и поддерживаемые элементы
Роли безопасности OneLake поддерживают следующее разрешение:
- Читать: Предоставляет пользователю возможность считывать данные из таблицы и просматривать связанные с ней метаданные таблицы и столбца. В условиях SQL это разрешение эквивалентно VIEW_DEFINITION и SELECT. Дополнительные сведения см. в разделе "Безопасность метаданных".
- ReadWrite: Предоставляет пользователю возможность читать и записывать данные из таблицы или папки и просматривать связанные с ней метаданные таблицы и столбца. В терминах SQL это разрешение эквивалентно ALTER, DROP, UPDATE и INSERT. Дополнительные сведения см. в разделе "Разрешение ReadWrite".
Безопасность OneLake позволяет пользователям определять роли доступа к данным только для следующих элементов Fabric.
| Предмет из ткани | Состояние | Поддерживаемые разрешения |
|---|---|---|
| Объединенное хранилище данных | Public Preview | Чтение, ReadWrite |
| Зеркальный каталог Azure Databricks | Public Preview | Читать |
Разрешения на безопасность и рабочую область OneLake
Разрешения рабочей области — это первая граница безопасности для данных в OneLake. Каждая рабочая область представляет отдельный домен или область проекта, в которой команды могут совместно работать с данными. Вы управляете безопасностью в рабочей области с помощью ролей рабочей области Fabric. Дополнительные сведения об управлении доступом на основе ролей Fabric (RBAC): роли рабочей области
Роли рабочей области Fabric предоставляют разрешения, которые применяются ко всем элементам в рабочей области. В следующей таблице описаны основные разрешения, разрешенные ролями рабочей области.
| Разрешение | Администратор | Член | Участник | Зритель |
|---|---|---|---|---|
| Просмотр файлов в OneLake | Всегда* Да | Всегда* Да | Всегда* Да | Нет по умолчанию. Используйте безопасность OneLake для предоставления доступа. |
| Запись файлов в OneLake | Всегда* Да | Всегда* Да | Всегда* Да | Нет |
| Может изменять роли безопасности OneLake | Всегда* Да | Всегда* Да | Нет | Нет |
*Поскольку роли администратора рабочей области, участника и вкладчика автоматически предоставляют права записи в OneLake, они переопределяют любые разрешения на чтение в системе безопасности OneLake.
Роли рабочей области управляют доступом к данным плоскости управления, что означает взаимодействие с созданием артефактов и разрешений Fabric и управление ими. Кроме того, роли рабочей области также предоставляют уровни доступа по умолчанию к элементам данных с помощью ролей безопасности OneLake по умолчанию. (Обратите внимание, что роли по умолчанию применяются только к средствам просмотра, так как администратор, член и участник имеют повышенный доступ через разрешение на запись) Роль по умолчанию — это обычная роль безопасности OneLake, которая создается автоматически с каждым новым элементом. Он предоставляет пользователям разрешения определенной рабочей области или элемента по умолчанию для доступа к данным в этом элементе. Например, элементы Lakehouse имеют роль DefaultReader, которая позволяет пользователям с разрешением ReadAll просматривать данные в Lakehouse. Это гарантирует, что пользователи, обращающиеся к только что созданному элементу, имеют базовый уровень доступа. Все роли по умолчанию используют функцию виртуализации элементов, чтобы члены роли были любым пользователем в этой рабочей области с необходимым разрешением. Например, все пользователи с разрешением ReadAll в Lakehouse. В следующей таблице показаны стандартные роли по умолчанию. Элементы могут иметь специализированные роли по умолчанию, которые применяются только к этому типу элемента.
| Предмет из ткани | Имя роли | Разрешение | Включенные папки | Назначенные члены |
|---|---|---|---|---|
| Объединенное хранилище данных | DefaultReader |
Читать | Все папки в Tables/ и Files/ |
Все пользователи с разрешением "Чтение всех данных" |
| Объединенное хранилище данных | DefaultReadWriter |
Читать | Все папки | Все пользователи с разрешением на запись |
Примечание.
Чтобы ограничить доступ к определенным пользователям или определенным папкам, измените роль по умолчанию или удалите ее и создайте пользовательскую роль.
Разрешения на безопасность и элементы OneLake
В рабочей области элементы Fabric могут иметь разрешения, настроенные отдельно от ролей рабочей области. Разрешения можно настроить с помощью общего доступа к элементу или управления разрешениями элемента. Следующие разрешения определяют возможность пользователя выполнять действия с данными в OneLake. Дополнительные сведения о совместном использовании элементов см. в разделе "Как работает совместное использование Lakehouse"
| Разрешение | Можно ли просматривать файлы в OneLake? | Может ли записывать файлы в OneLake? | Может ли считывать данные через конечную точку аналитики SQL? |
|---|---|---|---|
| Читать | Нет по умолчанию. Используйте безопасность OneLake для предоставления доступа. | Нет | Нет |
| ПрочитатьВсе | Да с помощью роли DefaultReader. Используйте безопасность OneLake для ограничения доступа. | Нет | Нет* |
| Писать | Да | Да | Да |
| Выполнить, Поделиться повторно, Посмотреть результат, Посмотреть логи | N/A - не может быть предоставлено самостоятельно | N/A - не может быть предоставлено самостоятельно | N/A - не может быть предоставлено самостоятельно |
*Зависит от режима конечной точки аналитики SQL.
Создание ролей
Вы можете определять роли безопасности OneLake и управлять ими с помощью параметров доступа к данным Lakehouse.
См. подробности в разделе Как начать работу с ролями доступа к данным.
Доступ к данным подсистемы и пользователя
Доступ к OneLake осуществляется одним из двух способов:
- С помощью подсистемы запросов Fabric или
- Через доступ пользователей (запросы из подсистем, отличных от Fabric, считаются доступом пользователей)
Безопасность OneLake гарантирует, что данные всегда защищены. Так как некоторые функции безопасности OneLake, такие как безопасность на уровне строк и столбцов, не поддерживаются операциями уровня хранения, не все типы доступа к защищенным данным на уровне строк или столбцов могут быть разрешены. Это гарантирует, что пользователи не могут видеть строки или столбцы, которым они не разрешены. Подсистемы Microsoft Fabric могут применять фильтрацию на уровне строк и столбцов к запросам данных. Это означает, что когда пользователь запрашивает данные в lakehouse или другом элементе с помощью oneLake security RLS или CLS на нем, результаты, которые пользователь видит, удалят скрытые строки и столбцы. Для доступа пользователей к данным в OneLake с помощью RLS или CLS на нем запрос блокируется, если пользователь, запрашивающий доступ, не может видеть все строки или столбцы в этой таблице.
В таблице ниже описано, какие подсистемы Microsoft Fabric поддерживают фильтрацию RLS и CLS.
| Двигатель | Фильтрация RLS/CLS | Статус |
|---|---|---|
| Объединенное хранилище данных | Да | Общедоступная предварительная версия |
| Записные книжки Spark | Да | Общедоступная предварительная версия |
| Конечная точка SQL Analytics в режиме идентификации пользователя | Да | Общедоступная предварительная версия |
| Семантические модели с помощью DirectLake в режиме OneLake | Да | Общедоступная предварительная версия |
| Eventhouse | Нет | Запланировано |
| Внешние таблицы хранилища данных | Нет | Запланировано |
Сведения о модели управления доступом OneLake
В этом разделе содержатся сведения о том, как роли безопасности OneLake предоставляют доступ к определенным областям, как работает этот доступ, а также способы разрешения доступа между несколькими ролями и типами доступа.
Безопасность на уровне таблицы
Все таблицы OneLake представлены папками в озере, но не все папки в озере являются таблицами с точки зрения системы безопасности OneLake и обработчиков запросов в Fabric. Чтобы считаться допустимой таблицей, необходимо выполнить следующие условия:
- Папка существует в таблицах или каталоге элемента.
- Папка содержит папку _delta_log с соответствующими JSON-файлами для метаданных таблицы.
- Папка не содержит дочерних ярлыков.
Любым таблицам, которые не соответствуют этим критериям, доступ будет запрещён, если на них настроены параметры безопасности на уровне таблицы.
Безопасность метаданных
Доступ на чтение oneLake к данным предоставляет полный доступ к данным и метаданным в таблице. Для пользователей без доступа к таблице данные никогда не предоставляются и, как правило, метаданные не отображаются. Это также относится к безопасности на уровне столбца и возможности пользователя видеть или не видеть столбец в этой таблице. Однако безопасность OneLake не гарантирует, что метаданные таблицы не будут доступны, в частности в следующих случаях:
- Запросы конечной точки SQL. Конечная точка SQL Analytics использует то же поведение безопасности метаданных, что и SQL Server. Это означает, что если у пользователя нет доступа к таблице или столбцу, сообщение об ошибке для этого запроса явно указывает имена таблиц или столбцов, к которым у пользователя нет доступа.
- Семантические модели: предоставление пользователю разрешения на сборку семантической модели позволяет им просматривать имена таблиц, включенные в модель, независимо от того, имеет ли пользователь доступ к ним или нет. Кроме того, визуальные элементы отчета, содержащие скрытые столбцы, отображают имя столбца в сообщении об ошибке.
Наследование разрешений
Для любой данной папки разрешения безопасности OneLake всегда наследуются всей иерархии файлов и вложенных папок.
Например, рассмотрим следующую иерархию озерного дома в системе OneLake:
Tables/
──── (empty folder)
Files/
────folder1
│ │ file11.txt
│ │
│ └───subfolder11
│ │ file1111.txt
| │
│ └───subfolder111
| │ file1111.txt
│
└───folder2
│ file21.txt
Вы создаете две роли для этого лейкхауса.
Role1 предоставляет разрешение на чтение в папку1 и Role2 предоставляет разрешение на чтение в папку2.
Для данной иерархии разрешения безопасности OneLake для Role1 и Role2 наследуются следующим образом:
Role1: Читать папку1
│ │ file11.txt │ │ │ └───subfolder11 │ │ file1111.txt | │ │ └───subfolder111 | │ file1111.txtRole2: Читать папку2
│ file21.txt
Обход и перечисление в системе безопасности OneLake
Система безопасности OneLake автоматически производит обход родительских элементов, что упрощает нахождение данных. Предоставление пользователю разрешений на чтение папки subfolder11 предоставляет пользователю возможность перечислять содержимое и перемещаться по родительской папке folder1. Эта функциональность аналогична разрешениям папки Windows, где предоставление прав доступа к вложенной папке обеспечивает возможность просмотра и перемещение по родительским каталогам. Список и доступ, предоставленные родительскому элементу, не распространяются на другие элементы за пределами непосредственных родителей, обеспечивая безопасность других папок.
Например, как пример, рассмотрим следующую иерархию lakehouse в OneLake.
Tables/
──── (empty folder)
Files/
────folder1
│ │ file11.txt
│ │
│ └───subfolder11
│ │ file111.txt
| │
│ └───subfolder111
| │ file1111.txt
│
└───folder2
│ file21.txt
Для данной иерархии разрешения безопасности OneLake для Role1 предоставляют следующий доступ. Доступ к file11.txt не виден, так как это не родительский элемент для subfolder11. Аналогичным образом для Role2 file111.txt не отображается.
Роль1: чтение подкаталога11
Files/ ────folder1 │ │ │ └───subfolder11 │ │ file111.txt | │ │ └───subfolder111 | │ file1111.txtRole2: чтение вложенной папки111
Files/ ────folder1 │ │ │ └───subfolder11 | │ │ └───subfolder111 | │ file1111.txt
Поведение списков для сочетаний клавиш несколько отличается. Ярлыки для внешних источников данных ведут себя так же, как и папки, однако ярлыки к другим расположениям OneLake имеют специализированное поведение. Целевые разрешения ярлыка определяют доступ к ярлыку OneLake. При составлении списка ярлыков вызовы для проверки доступа к цели не выполняются. В результате при перечислении каталога возвращаются все внутренние сочетания клавиш независимо от доступа пользователя к целевому объекту. Когда пользователь пытается открыть ярлык, выполняется проверка доступа, и пользователь видит только те данные, на которые у него есть необходимые разрешения. Дополнительные сведения о сочетаниях клавиш см. в разделе безопасности сочетаний клавиш.
Рассмотрим следующую иерархию папок, содержащую ярлыки.
Files/
────folder1
│
└───shortcut2
|
└───shortcut3
Role1: Читать папку1
Files/ ────folder1 │ └───shortcut2 | └───shortcut3Role2: нет определенных разрешений
Files/ │ └───shortcut2 | └───shortcut3
Безопасность на уровне строк
Безопасность OneLake позволяет пользователям указывать безопасность на уровне строк, записывая предикаты SQL, чтобы ограничить отображаемые пользователем данные. RLS работает, показывая строки, в которых предикат оценивается как true. Дополнительные сведения см. в разделе безопасности на уровне строк.
Безопасность на уровне строк оценивает строковые данные как нечувствительные регистры, используя следующие параметры сортировки для сортировки и сравнения: Latin1_General_100_CI_AS_KS_WS_SC_UTF8
При использовании безопасности на уровне строк убедитесь, что инструкции RLS чисты и понятны. Используйте целые столбцы для сортировки и сортировки больше или меньше операций. Избегайте эквивалентности строк, если вы не знаете формат входных данных, особенно в отношении символов юникода или конфиденциальности акцентов.
Безопасность на уровне столбца
Безопасность OneLake поддерживает ограничение доступа к столбцам путем удаления (скрытия) доступа пользователя к столбцу. Скрытый столбец рассматривается как не имеющий разрешений, назначенных ему, что приводит к политике по умолчанию без доступа. Скрытые столбцы не будут видны пользователям, и запросы к данным, содержащим скрытые столбцы, не возвращают данные для этого столбца. Как отмечалось в безопасности метаданных , существует определенный случай, когда метаданные столбца могут по-прежнему отображаться в некоторых сообщениях об ошибках.
Безопасность на уровне столбца также следует более строгому поведению в конечной точке SQL, используя семантику запрета. Запрет столбца в конечной точке SQL гарантирует, что весь доступ к столбцу заблокирован, даже если несколько ролей объединяются для предоставления доступа к нему. В результате CLS в конечной точке SQL работает с использованием пересечения между всеми ролями, которые пользователь является частью вместо поведения объединения для всех других типов разрешений. Дополнительные сведения о сочетании ролей см. в разделе "Оценка нескольких ролей безопасности OneLake".
Разрешение на чтение и запись
Разрешение ReadWrite предоставляет пользователям только для чтения возможность выполнять операции записи в определенные элементы. Разрешение ReadWrite применимо только для зрителей или пользователей с разрешением на чтение элемента. Назначение доступа уровня ReadWrite администратору, участнику или вкладчику не имеет значения, так как эти роли уже имеют это разрешение по умолчанию.
Доступ readWrite позволяет пользователям выполнять операции записи с помощью записных книжек Spark, проводника OneLake или API OneLake. Операции записи через пользовательский интерфейс Lakehouse для пользователей не поддерживаются.
Разрешение ReadWrite работает следующим образом:
- Разрешение ReadWrite включает все привилегии, предоставленные разрешением на чтение.
- Пользователи с разрешениями ReadWrite для объекта могут выполнять операции записи в этом объекте включительно. То есть любые операции также можно выполнять на самом объекте.
- ReadWrite позволяет выполнять следующие действия:
- Создание новой папки или таблицы
- Удаление папки или таблицы
- Переименование папки или таблицы
- Отправка или изменение файла
- Создайте ярлык
- Удалить ярлык
- Переименование ярлыка
- Роли безопасности OneLake с правами на чтение и запись не могут содержать ограничения RLS или CLS.
- Поскольку Fabric поддерживает запись данных только через один движок, пользователи с разрешением ReadWrite на объект могут записывать данные только через OneLake. Однако операции чтения будут применяться последовательно во всех обработчиках запросов.
Ярлыки
Общие сведения о сочетаниях клавиш
Безопасность OneLake интегрируется с ярлыками в OneLake, чтобы обеспечить безопасность данных внутри и за пределами OneLake. Существует два основных режима проверки подлинности для сочетаний клавиш:
- Сквозные сочетания клавиш (единый вход): учетные данные запрашивающего пользователя оцениваются в контекстном целевом объекте, чтобы определить, какие данные разрешено просматривать.
- Делегированные сочетания клавиш: ярлык использует фиксированные учетные данные для доступа к целевому объекту, а запрашивающий пользователь оценивается в соответствии с безопасностью OneLake перед проверкой доступа делегированных учетных данных к источнику.
Кроме того, при создании ярлыков в OneLake оцениваются разрешения на безопасность OneLake. Ознакомьтесь с разрешениями ярлыка в документе безопасности ярлыка.
Безопасность OneLake в сочетаниях клавиш сквозного руководства
Настройка безопасности для папки OneLake всегда распространяется через любые внутренние ярлыки, чтобы ограничить доступ к исходному пути ярлыка. Когда пользователь обращается к данным через ярлык в другое местоположение OneLake, удостоверение вызывающего пользователя используется для авторизации доступа к данным по целевому пути этого ярлыка. В результате у этого пользователя должны быть права доступа OneLake в целевом расположении, чтобы иметь возможность читать данные.
Внимание
При доступе к ярлыкам через семантические модели Power BI с использованием DirectLake над SQL или движки T-SQL в режиме делегированного удостоверения, идентификатор вызывающего пользователя не передается целевому ярлыку. Вместо этого передается удостоверение личности владельца вызывающего элемента, делегируя доступ вызывающему пользователю. Чтобы устранить эту проблему, используйте семантические модели Power BI в DirectLake в режиме OneLake или T-SQL в режиме удостоверения пользователя.
Определение разрешений безопасности OneLake для внутренней ссылки не допускается и должно быть выполнено в целевой папке, расположенной в целевом элементе. Целевой элемент должен быть типом элемента, поддерживающим роли безопасности OneLake. Если целевой элемент не поддерживает безопасность OneLake, доступ пользователя оценивается на основе наличия разрешения Fabric ReadAll на целевом элементе. Пользователям не требуется разрешение на чтение Структуры для элемента, чтобы получить доступ к нему с помощью ярлыка.
Безопасность OneLake в делегированных сочетаниях клавиш
OneLake поддерживает определение разрешений для ярлыков, таких как ярлыки ADLS, S3 и Dataverse. В этом случае разрешения применяются в дополнение к делегированной модели авторизации, включенной для этого типа ярлыка.
Предположим, пользователь1 создает ярлык S3 в озерном доме, указывающий на папку в контейнере AWS S3. Затем пользователь2 пытается получить доступ к данным в этом ярлыке.
| Авторизует ли соединение S3 доступ для делегированного пользователя 1? | Авторизует ли служба безопасности OneLake доступ для запрашивающего пользователя 2? | Результат. Может ли пользователь2 получить доступ к данным в сочетании клавиш S3? |
|---|---|---|
| Да | Да | Да |
| Нет | Нет | Нет |
| Нет | Да | Нет |
| Да | Нет | Нет |
Разрешения безопасности OneLake можно определить для всей области ярлыка или для выбранных вложенных папок. Разрешения, установленные для папки, наследуются рекурсивно всеми вложенными папками, даже если вложенная папка расположена в ярлыке. Набор безопасности для внешнего ярлыка можно ограничить для предоставления доступа ко всему ярлыку или любому подпату внутри ярлыка. Другой внутренний ярлык, указывающий на внешний ярлык, по-прежнему требует от пользователя доступа к исходному внешнему ярлыку.
В отличие от других типов доступа в системе безопасности OneLake, пользователю, доступ к внешнему ярлыку, требуется разрешение Fabric Read для элемента данных, в котором находится внешний ярлык. Это необходимо для безопасной настройки подключения к внешней системе.
Дополнительные сведения о ярлыках S3, ADLS и Dataverse см. в ярлыках OneLake.
Оценка нескольких ролей безопасности OneLake
Пользователи могут быть членами нескольких разных ролей безопасности OneLake, каждый из которых предоставляет собственный доступ к данным. Сочетание этих ролей вместе называется "эффективной ролью" и является тем, что пользователь увидит при доступе к данным в OneLake. Роли объединяются в безопасности OneLake с помощью union или наименее ограничивающей модели. Это означает, что если Role1 предоставляет доступ к TableA и Role2 предоставляет доступ к TableB, пользователь сможет видеть как TableA, так и TableB.
Роли безопасности OneLake также содержат безопасность на уровне строк и столбцов, которая ограничивает доступ к строкам и столбцам таблицы. Каждая политика RLS и CLS существует в роли и ограничивает доступ к данным для всех пользователей в этой одной роли. Например, если Role1 предоставляет доступ к Table1, но имеет RLS в Table1 и отображает только некоторые столбцы Table1, то эффективная роль для Role1 будет подмножеством RLS и CLS table1. Это можно выразить как (R1ols n R1cls n R1rls), где n является ПЕРЕСЕЧЕНИем каждого компонента в роли.
При работе с несколькими ролями RLS и CLS объединяются с семантикой UNION в соответствующих таблицах. CLS — это прямой набор UNION таблиц, видимых в каждой роли. RLS объединяется между предикатами с помощью оператора OR. Например, WHERE city = 'Redmond' OR city = 'New York'.
Чтобы оценить несколько ролей с RLS или CLS, каждая роль сначала разрешается на основе доступа, заданного самой ролью. Это означает, что оценка пересечения всех объектов, строк и уровней столбцов. Затем каждая вычисляемая роль объединяется со всеми остальными ролями, которые пользователь входит в операцию UNION. Выходные данные — это эффективная роль для этого пользователя. Это можно выразить следующим образом:
( (R1ols n R1cls n R1rls) u (R2ols n R2cls n R2rls) )
Наконец, каждый ярлык в lakehouse создает набор выводимых ролей, которые используются для распространения разрешений целевого объекта ярлыка на запрашиваемый элемент. Выводимые роли работают так же, как и неиндеферированные роли, за исключением того, что они разрешаются сначала на целевом объекте ярлыка, прежде чем сочетаться с ролями в ярлыке lakehouse. Это гарантирует, что любое наследование разрешений в ярлыке lakehouse нарушено и выводимые роли оцениваются правильно. Затем можно выразить полную логику сочетания следующим образом:
( (R1ols n R1cls n R1rls) u (R2ols n R2cls n R2rls) ) n ( (R1'ols n R1'cls n R1'rls) u (R2'ols n R2'cls n R2'rls)) )
Где R1' и R2 являются выводимых ролей и R1 и R2 являются ярлыками ролей lakehouse.
Внимание
Если две роли объединяются таким образом, что столбцы и строки не выровнены в запросах, доступ блокируется, чтобы гарантировать, что не произойдет утечки данных для конечного пользователя.
Ограничения безопасности OneLake
При назначении роли безопасности OneLake гостевому пользователю B2B необходимо настроить параметры внешней совместной работы для B2B в Microsoft Entra External ID. Для параметра гостевого пользователя необходимо задать значение гостевые пользователи имеют тот же доступ, что и участники (самый широкий доступ).
Безопасность OneLake не поддерживает сочетания клавиш между регионами. Любые попытки доступа к данным в разных регионах емкости приводят к ошибкам 404.
Если вы добавляете список рассылки в роль в службе безопасности OneLake, конечная точка SQL не может разрешить членов списка для обеспечения доступа. Результатом является то, что пользователи не считаются членами роли при доступе к SQL-узлу. DirectLake в семантических моделях SQL также подвержены этому ограничению.
Чтобы запросить данные из записной книжки Spark с помощью Spark SQL, пользователь должен иметь по крайней мере доступ к средству просмотра в рабочей области, которую они запрашивают.
Запросы в смешанном режиме не поддерживаются. Одиночные запросы, которые обращаются к данным с поддержкой безопасности OneLake и без поддержки безопасности OneLake, завершаются ошибкой запроса.
Записные книжки Spark требуют, чтобы среда была версии 3.5 или выше и использовалась среда выполнения Fabric 1.3.
Безопасность OneLake не работает с защитой приватного канала.
Предварительная версия внешнего доступа к данным не совместима с предварительной версией ролей доступа к данным. Если включить предварительный просмотр ролей доступа к данным в lakehouse, все существующие внешние общие папки данных могут перестать работать.
Безопасность OneLake не работает с Azure Data Share или Purview Data Share. Дополнительные сведения см. в статье Azure Data Share.
В следующей таблице приведены ограничения ролей доступа к данным OneLake.
Сценарий Лимит Максимальное количество ролей безопасности OneLake для элемента системы Fabric 250 ролей на Lakehouse Максимальное число членов для каждой роли безопасности OneLake 500 пользователей или групп пользователей для каждой роли Максимальное количество разрешений за одну роль безопасности в OneLake 500 разрешений на роль
Задержки в безопасности OneLake
- Чтобы применить изменения определений ролей, потребуется около 5 минут.
- Изменение группы пользователей в роли безопасности OneLake занимает около часа, чтобы OneLake применил разрешения роли к обновленной группе.
- Некоторые подсистемы Fabric имеют собственный уровень кэширования, поэтому может потребоваться дополнительный час для обновления доступа во всех системах.