Начало работы с безопасностью OneLake (предварительная версия)

Безопасность OneLake позволяет применять управление доступом на основе ролей (RBAC) к данным, хранящимся в OneLake. Вы можете определить роли безопасности, предоставляющие доступ к определенным папкам в элементе Fabric, а затем назначать эти роли пользователям или группам. Роли также могут содержать безопасность на уровне строк или столбцов для дальнейшего ограничения доступа. Разрешения системы безопасности OneLake определяют, какие данные пользователи могут просматривать во всех интерфейсах Fabric.

Пользователи Fabric с разрешениями на запись и повторное предоставление общего доступа (как правило, администратор и пользователи рабочей области участников) могут приступить к созданию ролей безопасности OneLake для предоставления доступа только к определенным папкам или таблицам в элементе данных Fabric. Чтобы предоставить доступ к данным в элементе, добавьте пользователей в роль доступа к данным. Пользователи, которые не являются частью роли доступа к данным, не видят данных в этом элементе.

Предпосылки

Чтобы настроить безопасность OneLake, необходимо быть администратором или членом рабочей области или иметь разрешения на запись и повторное предоставление общего доступа. Создание ролей и назначение членства вступают в силу сразу после сохранения роли, поэтому перед добавлением кого-либо в роль необходимо предоставить доступ.

В следующей таблице описывается, какие элементы данных поддерживают безопасность OneLake:

Элемент Fabric	Состояние	Поддерживаемые разрешения
Lakehouse	Preview	Чтение, ReadWrite
Зеркальный каталог Azure Databricks	Preview	Читайте

Как принять участие

Безопасность OneLake в настоящее время находится в предварительной версии и в результате отключена по умолчанию. Предварительная версия компонента настраивается на основе каждого элемента. Элемент управления "Согласие" позволяет одному элементу попробовать предварительный просмотр, не включив его в другие элементы Fabric.

После включения функции предварительной версии нельзя отключить.

1. Перейдите к озеру и выберите "Управление безопасностью OneLake" (предварительная версия).
2. Просмотрите диалоговое окно подтверждения. Предварительная версия ролей доступа к данным несовместима с предварительной версией внешнего общего доступа к данным. Если вы в порядке с изменением, нажмите кнопку "Продолжить".

Чтобы обеспечить плавное согласие, все пользователи с разрешением на чтение данных в элементе продолжают иметь доступ на чтение с помощью роли доступа к данным по умолчанию с именем DefaultReader. При использовании членства в виртуализированных ролях все пользователи с необходимыми разрешениями для просмотра данных в Lakehouse (разрешение ReadAll) включаются в качестве членов этой роли по умолчанию. Чтобы начать ограничение доступа к этим пользователям, удалите роль DefaultReader или удалите разрешение ReadAll от пользователей, обращаюющихся к пользователям.

Это важно

Убедитесь, что все пользователи, включенные в роль доступа к данным, удаляются из роли DefaultReader. В противном случае они поддерживают полный доступ к данным.

Какие типы данных можно защитить?

Используйте роли безопасности OneLake для управления доступом на чтение OneLake к любым таблицам или папкам в элементе. Доступ к таблицам можно дополнительно ограничить с помощью безопасности на уровне строк или столбцов. Любой набор безопасности применяется ко всем обработчикам в Fabric. Дополнительные сведения см . в модели управления доступом к данным.

Для определенных типов элементов также можно настроить доступ ReadWrite. Это разрешение позволяет пользователям редактировать данные в "lakehouse" в указанных таблицах или папках без предоставления им доступа к созданию или управлению элементами Fabric. Доступ readWrite позволяет пользователям выполнять операции записи с помощью записных книжек Spark, проводника OneLake или API OneLake. Операции записи через пользовательский интерфейс Lakehouse для пользователей не поддерживаются.

Создание роли

Чтобы создать роль безопасности OneLake, выполните следующие действия.

1. Откройте элемент Fabric, в котором требуется определить безопасность.

2. Выберите "Управление безопасностью OneLake" (предварительная версия) в меню элемента.

3. На панели безопасности OneLake (предварительная версия) нажмите кнопку "Создать".

4. Укажите имя новой роли, которая соответствует следующим рекомендациям:

   • Имя роли может содержать только буквенно-цифровые символы.
   • Имя роли должно начинаться с буквы.
   • Имена являются нечувствительными к регистру и должны быть уникальными.
   • Максимальная длина имени — 128 символов.

5. Выберите Грант в качестве типа роли.

6. Выберите разрешения, которые вы хотите предоставить. Чтение выбрано как минимум, и вы можете при необходимости выбрать ReadWrite.

7. Если вы хотите применить эту роль ко всем таблицам и файлам в этом лейкхаусе, выберите переключатель "Все данные ".

   Этот выбор также предоставляет доступ к любым папкам, добавленным в будущем.

8. Если эта роль будет применяться только к выбранной группе таблиц и папок, выберите переключатель "Выбранные данные ". Затем выполните следующие действия, чтобы определить утвержденные данные для этой роли.

   1. Выберите Обзор Lakehouse или эквивалент для элемента, над которым вы работаете.

      

   2. Разверните каталоги таблиц и файлов , чтобы просмотреть данные в lakehouse.

   3. Установите флажки рядом с таблицами и файлами, к которым требуется применить роль.

   4. Нажмите кнопку "Добавить данные ", чтобы добавить выбранные элементы в роль.

9. Используйте текстовое поле "Добавить участников" в текстовое поле роли, чтобы вручную ввести имена или адреса электронной почты пользователей, которые вы хотите включить в роль. Или выберите расширенную конфигурацию и следуйте инструкциям в разделе "Назначение виртуальных участников".

   Чтобы добавить элементы вручную, выполните приведенные действия.

   1. Введите имя или адрес электронной почты пользователя.
   2. Выберите правильное имя из предлагаемого списка.
   3. Щелкните значок проверки, чтобы подтвердить выборку, или значок X , чтобы очистить выделение.

10. Просмотрите сводки ролей предварительной версии .

    1. Чтобы изменить предварительную версию данных, выберите "Обзор Lakehouse " и обновите выбранные таблицы и папки.
    2. Чтобы удалить пользователя из предварительной версии участников, выберите дополнительные параметры (...) рядом с именем, а затем удалите из роли.

11. Выберите "Создать роль " и подождите уведомления о том, что роль была успешно опубликована.

Изменение роли

Чтобы изменить существующую роль безопасности OneLake, выполните следующие действия.

1. Откройте элемент, в котором требуется определить безопасность.

2. Выберите "Управление безопасностью OneLake" (предварительная версия) в меню элемента.

3. На панели безопасности OneLake (предварительная версия) выберите роль, которую вы хотите изменить.

   Это действие открывает страницу сведений о роли, которая включает две вкладки: данные в роли и участников в роли.

4. Просмотрите сведения на вкладке "Данные" на вкладке ролей:

   На этой вкладке показаны все данные, к которым могут получить доступ члены роли.

   Имя роли указывает, какую роль вы просматриваете. Чтобы изменить имя роли, выберите раскрывающийся список "Изменить " в правом верхнем углу, выберите "Обновить имя роли", введите новое имя и подтвердите флажок. Изменения можно отменить, выбрав X.

   Элемент "Разрешения" вверху указывает, какие разрешения в настоящее время предоставляет роль. Чтобы изменить разрешения роли, выберите раскрывающийся список "Изменить " в правом верхнем углу, выберите "Изменить разрешения роли", измените выбранные разрешения с помощью раскрывающегося списка и подтвердите с помощью флажка. Изменения можно отменить, выбрав X.

   В столбце данных отображается имя таблиц или папок, входящих в доступ к роли. Вы можете развернуть и свернуть схемы, чтобы просмотреть элементы под ним. Наведите указатель мыши на запись, чтобы просмотреть полный путь к таблице или папке. Наведите указатель мыши на ... , чтобы просмотреть параметры настройки безопасности на уровне строк или уровня столбцов. Руководства по безопасности на уровне строк и уровня столбцов содержат дополнительные сведения о том, как это работает.

   Столбец Type указывает тип выбранного элемента. Значения: схема, таблица или папка.

   Столбец доступа к данным указывает, применяются ли ограничения на уровень строки или столбца к элементу. Значок с блокировкой и горизонтальными линиями указывает, что применяется безопасность на уровне строк, а значок с блокировкой и вертикальными линиями указывает, что безопасность на уровне столбца применяется.

5. Чтобы изменить данные, включенные в роль, нажмите кнопку "Добавить данные".

   Это действие открывает диалоговое окно выбора таблицы и папки.

6. Проверьте и снимите флажки таблиц или папок, чтобы добавить или удалить их из роли.

7. Нажмите кнопку "Добавить данные ", чтобы подтвердить выбранные параметры.

8. Перейдите на вкладку "Участники" для просмотра членов роли.

   В столбце "Члены" отображается изображение профиля и имя элемента.

   Столбец Type указывает, является ли элемент пользователем или группой.

   Добавленный столбец указывает, был ли пользователь добавлен с помощью электронной почты в качестве члена роли или включен в группу разрешений Lakehouse. Дополнительные сведения о добавлении пользователей с помощью разрешений на элемент см. в разделе "Назначение виртуальных членов".

9. Чтобы изменить элементы роли, нажмите кнопку "Добавить участников".

10. Чтобы добавить участников вручную, введите имя или электронную почту в текстовое поле "Добавление участников". Выберите правильное имя из предлагаемого списка. Затем щелкните значок флажка, чтобы подтвердить выбор, или щелкните значок X , чтобы очистить выделение.

11. Чтобы удалить пользователей из роли, выберите дополнительные параметры (...) рядом с именем и выберите "Удалить из роли".

Внесение изменений в членство в роли немедленно обновляет роль. Уведомление отмечает успешность или сбой любых изменений.

Удаление роли

Чтобы удалить роль доступа к данным OneLake, выполните следующие действия.

1. Откройте lakehouse, где требуется определить безопасность.

2. Выберите "Управление безопасностью OneLake" (предварительная версия) в меню Lakehouse.

3. На панели безопасности OneLake (предварительная версия) установите флажок рядом с ролями, которые требуется удалить.

4. Выберите "Удалить " и дождитесь успешного удаления ролей.

Назначение члена или группы

Роль безопасности OneLake поддерживает два метода добавления пользователей в роль. Основной метод заключается в добавлении пользователей или групп непосредственно в роль с помощью поля "Добавление людей или групп " на странице "Назначение роли ". Во-вторых, создав виртуальные членства с группами разрешений с помощью расширенного элемента управления конфигурации .

Добавление пользователей непосредственно в роль добавляет пользователей в качестве явных членов роли. Эти пользователи отображаются с именем и рисунком, отображаемым в списке участников .

Виртуальные члены позволяют динамически настраивать членство роли на основе разрешений элемента Fabric пользователей. Выбрав расширенную конфигурацию и выбрав разрешение, вы добавите любого пользователя в рабочую область Fabric, у которого есть все выбранные разрешения в качестве неявного члена роли. Например, если вы выбрали ReadAll, write, то любой пользователь рабочей области Fabric с разрешениями ReadAll и Записи для элемента будет включен в качестве члена роли. Вы можете увидеть, какие пользователи добавляются группой разрешений, просмотрев столбец "Добавлено" на вкладке "Участники" на вкладке ролей. Эти члены не могут быть удалены вручную напрямую. Чтобы удалить участника, добавленного через группу разрешений, удалите группу разрешений из роли.

Независимо от типа членства, роли безопасности OneLake поддерживают добавление отдельных пользователей, групп Microsoft Entra и субъектов безопасности.

Назначение виртуальных членов

Разрешения, которые можно использовать для виртуальных членов:

• Читайте
• Напишите
• Переслать
• Execute
• ЧитатьВсе

Чтобы назначить пользователей с группами разрешений, выполните следующие действия.

1. Выберите имя роли, которой вы хотите назначить участников.

2. На странице сведений о роли выберите "Участники" на вкладке "Роли ".

3. Выберите "Добавить участников".

4. Выберите расширенную конфигурацию.

   

5. В поле "Группы разрешений " установите флажок рядом с каждым разрешением, для которого требуется включить пользователей.

   Каждая группа разрешений показывает количество пользователей, включенных в эту группу.

   Выбор нескольких групп разрешений включает пользователей со всеми выбранными необходимыми разрешениями.

6. Нажмите кнопку "Добавить ", чтобы включить группы и сохранить роль.

Связанный контент

• Общие сведения о безопасности Fabric
• Обзор безопасности Fabric и OneLake
• Модель управления доступом к данным