Начало работы с ролями доступа к данным OneLake (предварительная версия)

  • Статья

Обзор

Роли доступа к данным OneLake для папок — это новая функция, которая позволяет применять управление доступом на основе ролей (RBAC) к данным, хранящимся в OneLake. Вы можете определить роли безопасности, предоставляющие доступ для чтения к определенным папкам в элементе Fabric, и назначать их пользователям или группам. Разрешения доступа определяют, какие папки пользователи видят при доступе к представлению озера данных через интерфейс UX Lakehouse, записные книжки или API OneLake.

Пользователи Структуры в ролях Администратор, члена или участника могут приступить к работе, создав роли доступа к данным OneLake, чтобы предоставить доступ только определенным папкам в lakehouse. Чтобы предоставить доступ к данным в lakehouse, добавьте пользователей в роль доступа к данным. Пользователи, которые не являются частью роли доступа к данным, не видят данных в этом лейкхаусе.

Примечание.

Безопасность роли доступа к данным применяется только для пользователей, обращаюющихся к OneLake напрямую. Элементы Структуры, такие как конечная точка SQL, семантические модели и хранилища, имеют собственные модели безопасности и доступ к OneLake через делегированное удостоверение. Это означает, что пользователи могут видеть различные элементы в каждом интерфейсе, если они получают доступ к нескольким элементам.

Как принять участие

Все lakehouses в Fabric имеют предварительную версию ролей доступа к данным, отключенную по умолчанию. Предварительная версия компонента настраивается на основе каждого озера. Элемент управления "Согласие" позволяет одному лейкхаусу попробовать предварительную версию, не включив его на другие элементы lakehouse или Fabric.

Чтобы включить предварительную версию, необходимо быть Администратор, участником или участником в рабочей области. Перейдите к lakehouse и нажмите кнопку "Управление доступом к данным OneLake(предварительная версия") на ленте, чтобы открыть диалоговое окно подтверждения. Предварительная версия ролей доступа к данным несовместима с предварительной версией внешнего общего доступа к данным. Если вы в порядке с изменением, нажмите кнопку "Продолжить". Откроется интерфейс управления ролями и включена функция.

После включения функции предварительной версии нельзя отключить.

Чтобы обеспечить плавное согласие на чтение, все пользователи с разрешением на чтение данных в Lakehouse продолжают иметь доступ на чтение. Перенос доступа осуществляется путем создания роли доступа к данным по умолчанию с именем DefaultReader. Используя виртуализированные членства в роли всех пользователей, у которых были необходимые разрешения для просмотра данных в Lakehouse (разрешение ReadAll) включены в качестве членов этой роли по умолчанию. Чтобы начать ограничение доступа к этим пользователям, убедитесь, что роль DefaultReader удалена или разрешение ReadAll удалено из доступа пользователей.

Внимание

Убедитесь, что все пользователи, включенные в роль доступа к данным, также не являются частью роли DefaultReader. В противном случае они будут поддерживать полный доступ к данным.

Какие типы данных можно защитить?

Роли доступа к данным OneLake можно использовать для управления доступом на чтение OneLake к папкам в lakehouse. Доступ на чтение можно предоставить любой папке в lakehouse, и доступ к папке не является состоянием по умолчанию. Безопасность, заданная ролями доступа к данным, применяется исключительно к доступу к определенным API OneLake или OneLake. Дополнительные сведения см. в модели управления доступом к данным.

Необходимые компоненты

Чтобы настроить безопасность для lakehouse, необходимо быть Администратор, участником или участником рабочей области. Создание ролей и назначение членства вступают в силу сразу после сохранения роли, поэтому перед добавлением кого-либо в роль необходимо предоставить доступ.

Роли доступа к данным OneLake поддерживаются только для элементов Lakehouse.

Создание роли

  1. Откройте lakehouse, где требуется определить безопасность.
  2. В правой части ленты Lakehouse выберите "Управление доступом к данным OneLake" (предварительная версия).
  3. В левой верхней части области доступа к данным Manage OneLake выберите "Создать роль" и введите нужное имя роли. Имя роли имеет определенные ограничения:
    1. Имя роли может содержать только буквенно-цифровые символы.
    2. Имя роли должно начинаться с буквы.
    3. Имена являются нечувствительными к регистру и должны быть уникальными.
    4. Максимальная длина имени — 128 символов.
  4. Выберите переключатель "Все папки", если вы хотите применить эту роль ко всем папкам в этом lakehouse.
    1. Этот выбор включает в себя все папки, добавленные в будущем.
  5. Выберите выбранные папки, если вы хотите применить эту роль только к выбранным папкам .
    1. Установите флажки рядом с папками, к которым будет применяться роль.
    2. Роли предоставляют доступ к папкам. Чтобы разрешить пользователю доступ к папке, проверка поле рядом с ним. Если пользователь не должен видеть папку, не проверка поле.
    3. В левом нижнем углу нажмите кнопку "Сохранить ", чтобы создать свою роль.
  6. В левом верхнем углу выберите "Назначить роль", чтобы открыть область членства в роли .
  7. Добавьте людей, группы или адреса электронной почты в элемент управления "Добавить людей или группы ". Дополнительные сведения см. в разделе "Назначение члена или группы".
  8. Нажмите кнопку "Добавить ", чтобы переместить выбор в список назначенных пользователей и групп . Нажатие кнопки "Добавить" пока не сохраняет выбранный вариант.
  9. Нажмите кнопку "Сохранить " и дождитесь успешной публикации ролей.
  10. Выберите X в правом верхнем углу, чтобы выйти из области.

Изменение роли

  1. Откройте lakehouse, где требуется определить безопасность.
  2. В правой части ленты Lakehouse выберите "Управление доступом к данным OneLake" (предварительная версия).
  3. На панели доступа к данным Manage OneLake наведите указатель мыши на роль, которую вы хотите изменить, и выберите ее.
  4. Вы можете изменить, к каким папкам предоставляется доступ, выбрав или отменив выбор проверка boxes рядом с каждой папкой.
  5. Чтобы изменить пользователей, выберите "Назначить роль". Дополнительные сведения см. в разделе "Назначение члена или группы".
  6. Чтобы добавить других пользователей, введите имена в поле "Добавить людей или группы " и нажмите кнопку "Добавить".
  7. Чтобы удалить людей, выберите свое имя в разделе "Назначенные люди и группы " и нажмите кнопку "Удалить".
  8. Нажмите кнопку "Сохранить " и дождитесь успешной публикации ролей.
  9. Выберите X в правом верхнем углу, чтобы выйти из области.

Удаление роли

  1. Откройте lakehouse, где требуется определить безопасность.
  2. В правой части ленты Lakehouse выберите "Управление доступом к данным OneLake" (предварительная версия).
  3. На панели доступа к данным Manage OneLake проверка поле рядом с ролями, которые требуется удалить.
  4. Выберите " Удалить " и дождитесь успешного удаления ролей.
  5. Выберите X в правом верхнем углу, чтобы выйти из области.

Назначение члена или группы

Роли доступа к данным OneLake поддерживают два различных метода добавления пользователей в роль. Основной метод заключается в добавлении пользователей или групп непосредственно в роль с помощью поля "Добавление людей или групп " на странице "Назначение роли". Второй — использование виртуальных членств с автоматическим добавлением пользователей со всеми этими разрешениями .

Добавление пользователей непосредственно в роль с помощью поля добавления людей или группы добавляет пользователей в качестве явных членов роли. Эти пользователи отображаются только с именем и рисунком, отображаемым в списке назначенных пользователей и групп .

Виртуальные члены позволяют динамически настраивать членство роли на основе разрешений элемента Fabric пользователей. Выбрав автоматическое добавление пользователей со всеми этими разрешениями и выбрав разрешение, вы добавляете любого пользователя в рабочую область Fabric, у которого есть все выбранные разрешения в качестве неявного члена роли. Например, если вы выбрали ReadAll, write, то любой пользователь рабочей области Fabric с разрешениями ReadAll AND Write в Lakehouse будет включен в качестве члена роли. Вы можете увидеть, какие пользователи добавляются в качестве виртуальных участников, найдите текст "Назначенные разрешения рабочей области" под их именем в списке назначенных пользователей и групп . Эти члены не могут быть удалены вручную и должны быть отозваны соответствующие разрешения Fabric, чтобы быть неназначены.

Независимо от типа членства роли доступа к данным поддерживают добавление отдельных пользователей, групп Microsoft Entra и субъектов безопасности.

Назначение элементов

Чтобы добраться до страницы назначения участников, существует два способа:

Метод 1

  1. Выберите имя роли, которой вы хотите назначить участников.
  2. В верхней части страницы сведений о роли выберите "Назначить роль".

Метод 2.

  1. В списке ролей выберите проверка box рядом с ролью, которой вы хотите назначить участников.
  2. Выберите Назначить.

Назначение пользователей напрямую

На странице "Назначение роли" можно добавить участников или группы, введя их имя или адрес электронной почты в поле "Добавление людей или групп". Выберите результат, который вы хотите выбрать этого пользователя. Этот шаг можно повторить для столько пользователей, сколько вы хотите. Если вы выбрали неправильных пользователей, вы можете выбрать X рядом с записью, чтобы удалить их из поля, или удалитьвсе записи. После завершения нажмите кнопку "Добавить ", чтобы переместить выбранных пользователей в список доступа. Добавление их в список еще не сохраняется. Это предварительная версия списка членства в роли после добавления этих пользователей.

Чтобы опубликовать изменения доступа, нажмите кнопку "Сохранить " в нижней части области.

Назначение виртуальных членов

Чтобы добавить виртуальные члены, используйте поле автоматического добавления пользователей со всеми этими разрешениями . Выберите поле, чтобы открыть раскрывающийся список, чтобы выбрать разрешения Fabric для виртуализации. Пользователи виртуализированы, если у них есть все проверка разрешения.

Разрешения, которые можно использовать для виртуализации:

  • Чтение
  • Запись
  • Reshare
  • Выполнить
  • ReadAll
  • ViewOutput
  • ViewLogs

После выбора разрешения все виртуализированные члены отображаются в списке назначенных людей и групп . У пользователей есть текст рядом с именем, указывающим, что они были назначены разрешениями рабочей области. Эти пользователи не могут быть удалены вручную из назначения роли. Вместо этого удалите соответствующие разрешения из элемента управления виртуализации или удалите разрешение Fabric.

Известные проблемы

Функция предварительного просмотра внешнего доступа к данным (ссылка) несовместима с предварительной версией ролей доступа к данным. Если включить предварительный просмотр ролей доступа к данным в lakehouse, все существующие внешние общие папки данных могут перестать работать.

Связанный контент