Začíname s rolami prístupu k údajom OneLake (ukážka)
Prehľad
Roly prístupu k údajom OneLake pre priečinky je nová funkcia, ktorá umožňuje použiť riadenie prístupu na základe rolí (RBAC) na údaje uložené v službe OneLake. Môžete definovať roly zabezpečenia, ktoré udelia prístup na čítanie ku konkrétnym priečinkom v rámci položky služby Fabric, a priraďovať ich používateľom alebo skupinám. Prístupové povolenia určujú, aké priečinky používatelia vidia pri prístupe k zobrazeniu údajov v jazere, a to buď cez používateľské rozhranie lakehouse, notebooky alebo rozhrania API OneLake.
Používatelia služby Fabric v rolách Správca, Člen alebo Prispievateľ môžu začať vytvorením rolí prístupu k údajom OneLake, aby sa udelil prístup len ku konkrétnym priečinkom v úložnom dome lakehouse. Ak chcete udeliť prístup k údajom v úzovni Lakehouse, pridajte používateľov k role prístupu k údajom. Používateľom, ktorí nie sú súčasťou roly prístupu k údajom, sa v danom úzovskom jazere nezobrazujú žiadne údaje.
Poznámka
Zabezpečenie roly prístupu k údajom sa vzťahuje len na používateľov, ktorí pristupujú priamo k službe OneLake. Položky tkaniny, ako sú koncové body analýzy SQL, sémantické modely a sklady, majú vlastné modely zabezpečenia a prístup k OneLake prostredníctvom delegovanej identity. To znamená, že používatelia môžu vidieť rôzne položky v každom vyťažení, ak majú prístup k viacerým položkám.
Ako sa rozhodnúť
Všetky priestory jazera v službe Fabric majú predvolene vypnutú funkciu prístupu k údajom vo verzii Preview. Funkcia verzie Preview sa konfiguruje podľa jednotlivých úzov. Opt-in ovládanie umožňuje, aby jeden lakehouse vyskúšať ukážku bez toho, aby ju na všetkých ostatných lakehouses alebo Fabric položky.
Ak chcete povoliť verziu Preview, musíte byť správcom, členom alebo prispievateľom v pracovnom priestore. Prejdite do domovského jazera a výberom tlačidla Spravovať prístup k údajom OneLake (Preview) na páse s nástrojmi otvorte potvrdzovacie dialógové okno. Ukážka rolí prístupu k údajom nie je kompatibilná s ukážkou zdieľania externých údajov. Ak ste v poriadku so zmenou, vyberte položku Pokračovať. Otvorí sa rozhranie spravovania rolí a funkcia je teraz povolená.
Funkciu verzie Preview nie je možné po povolení vypnúť.
Aby sa zaistilo plynulé používanie explicitného súhlasu, všetci používatelia s povolením na čítanie údajov v úložiske Lakehouse majú naďalej prístup na čítanie. Migrácia prístupu sa vykonáva vytvorením predvolenej roly prístupu k údajom s názvom DefaultReader. Keď použijete virtualizované členstvá rolí , všetci používatelia s potrebnými povoleniami na zobrazenie údajov v prostredí lakehouse (povolenie ReadAll) sú zahrnutí ako členovia tejto predvolenej roly. Ak chcete začať obmedzovať prístup k týmto používateľom, uistite sa, že rola DefaultReader je odstránená alebo aby sa povolenie ReadAll odstránilo z prístupných používateľov.
Dôležité
Uistite sa, že všetci používatelia, ktorí sú zahrnutí v role prístupu k údajom, nie sú tiež súčasťou roly DefaultReader. V opačnom prípade si zachovajú úplný prístup k údajom.
Aké typy údajov možno zabezpečiť?
Roly prístupu k údajom OneLake možno použiť na správu prístupu OneLake na čítanie k priečinkom v úložnom dome Lakehouse. Prístup na čítanie je možné udeliť do akéhokoľvek priečinka v lakehouse, a žiadny prístup k priečinku je predvolený stav. Zabezpečenie nastavené podľa rolí prístupu k údajom sa vzťahuje výhradne na prístup voči špecifickým rozhraniam API OneLake alebo OneLake. Ďalšie informácie nájdete v modeli riadenia prístupu k údajom .
Požiadavky
Ak chcete nakonfigurovať zabezpečenie pre lakehouse, musíte byť správcom, členom alebo prispievateľom pre pracovný priestor. Vytvorenie roly a priradenie členstva sa prejavia hneď, ako sa rola uloží, takže sa uistite, že chcete udeliť prístup skôr, ako niekoho pridáte do roly.
Roly prístupu k údajom OneLake sú podporované len pre položky lakehouse.
Vytvorenie roly
- Otvorte budovu jazera, v ktorej chcete definovať zabezpečenie.
- Na pravej strane pása s nástrojmi lakehouse vyberte spravovať prístup k údajom OneLake (preview).
- V ľavej hornej časti tably Spravovať prístup k údajom OneLake vyberte položku Nová rola a zadajte požadovaný názov roly. Názov roly má určité obmedzenia:
- Názov roly môže obsahovať iba alfanumerické znaky.
- Názov roly musí začínať písmenom.
- V názvoch sa nerozlišujú malé a veľké písmená a musia byť jedinečné.
- Maximálna dĺžka názvu je 128 znakov.
- Ak chcete, aby sa táto rola vzťahovala na všetky priečinky v tomto lakehouse, vyberte prepínač Všetky priečinky.
- Tento výber zahŕňa všetky priečinky, ktoré budú pridané v budúcnosti.
- Ak chcete mať túto rolu len pre vybraté priečinky , vyberte položku Vybraté priečinky.
- Začiarknite políčka vedľa priečinkov, na ktoré sa má rola vzťahovať.
- Roly udeľujú prístup k priečinkom. Ak chcete povoliť používateľovi prístup k priečinku, začiarknite políčko vedľa neho. Ak sa používateľovi priečinok nezobrazuje, nezačiarknite políčko.
- Výberom položky Uložiť v ľavom dolnom rohu vytvorte svoju rolu.
- Vľavo hore vyberte položku Priradiť rolu , čím otvoríte tablu členstvo rolí.
- Pridajte ľudí, skupiny alebo e-mailové adresy do ovládacieho prvku Pridať ľudí alebo skupiny . Ďalšie informácie nájdete v téme Priradenie člena alebo skupiny.
- Výberom položky Pridať premiestnite svoj výber do zoznamu Priradení používatelia . Výberom položky Pridať sa váš výber neukladá.
- Vyberte položku Uložiť a čakať na oznámenie, že roly sa úspešne publikujú.
- Výberom symbolu X v pravom hornom rohu ukončíte tablu.
Úprava roly
- Otvorte budovu jazera, v ktorej chcete definovať zabezpečenie.
- Na pravej strane pásu s nástrojmi lakehouse vyberte položku Spravovať prístup k údajom oneLake (preview).
- Na table Spravovať prístup k údajom OneLake ukážte myšou na rolu, ktorú chcete upraviť, a vyberte ju.
- Keď začiarknete políčka vedľa jednotlivých priečinkov, môžete zmeniť, ku ktorým priečinkom sa získava prístup, začiarknutím políčok vedľa nich alebo ich zrušením.
- Ak chcete zmeniť ľudí, vyberte položku Priradiť rolu. Ďalšie informácie nájdete v téme Priradenie člena alebo skupiny.
- Ak chcete pridať ďalších ľudí, zadajte mená do poľa Pridať ľudí alebo skupiny a vyberte položku Pridať.
- Ak chcete ľudí odstrániť, vyberte ich meno v časti Priradení používatelia a vyberte položku Odstrániť.
- Vyberte položku Uložiť a čakať na oznámenie, že roly sa úspešne publikujú.
- Výberom symbolu X v pravom hornom rohu ukončíte tablu.
Odstránenie roly
- Otvorte budovu jazera, v ktorej chcete definovať zabezpečenie.
- Na pravej strane pásu s nástrojmi lakehouse vyberte položku Spravovať prístup k údajom oneLake (preview).
- Na table Spravovať prístup k údajom OneLake začiarknite políčko vedľa rolí, ktoré chcete odstrániť.
- Vyberte položku Odstrániť a počkajte, kým sa zobrazí oznámenie, že roly sa úspešne odstránia.
- Výberom symbolu X v pravom hornom rohu ukončíte tablu.
Priradenie člena alebo skupiny
Roly prístupu k údajom OneLake podporujú dve rôzne metódy pridávania používateľov do roly. Hlavnou metódou je pridanie používateľov alebo skupín priamo do roly pomocou poľa Pridať ľudí alebo skupiny na stránke Priradenie roly. Druhý používa virtuálne členstvá s ovládacím prvkom Pridať používateľov na základe ovládacieho prvku povolení Lakehouse.
Pridanie používateľov priamo do roly pomocou poľa Pridať ľudí alebo skupiny pridá používateľov ako explicitných členov roly. Títo používatelia sa zobrazia so svojím menom a obrázkom v zozname Priradení ľudia a skupiny .
Virtuálni členovia umožňujú dynamickú úpravu členstva v role na základe povolení používateľov pre položku služby Fabric. Výberom poľa Pridať používateľov na základe povolení lakehouse a výberom povolenia pridáte každého používateľa v pracovnom priestore služby Fabric, ktorý má všetky vybraté povolenia ako implicitného člena danej roly. Ak by ste napríklad vybrali funkciu ReadAll, možnosť Písať , každý používateľ pracovného priestoru služby Fabric, ktorý má povolenia ReadAll and Write pre položku, by bol zahrnutý ako člen roly. Ak chcete zistiť, ktorí používatelia sa pridávajú ako virtuálni členovia, vyhľadajte hodnotu "Povolenia Lakehouse" v stĺpci Priradené podľa v zozname Priradení používatelia . Títo členovia nemôžu byť manuálne odstránení a musia mať príslušné povolenie služby Fabric odobraté, aby ich bolo možné nepriradiť.
Bez ohľadu na typ členstva roly prístupu k údajom podporujú pridávanie jednotlivých používateľov, skupín Microsoft Entra a subjektov zabezpečenia.
Priradenie členov
Na stránku priradenia členov sa dostanete dvoma spôsobmi:
Metóda 1
- Vyberte názov roly, ku ktorému chcete priradiť členov.
- V hornej časti stránky s podrobnosťami o role vyberte položku Priradiť rolu.
Metóda 2
- V zozname rolí začiarknite políčko vedľa roly, ku ktorému chcete priradiť členov.
- Vyberte Priradiť.
Priame priradenie používateľov
Na stránke Priradenie roly môžete pridávať členov alebo skupiny zadaním ich mena alebo e-mailovej adresy do poľa Pridať ľudí alebo skupiny. Vyberte výsledok, ktorý chcete zahrnúť daného používateľa. Tento krok môžete opakovať pre ľubovoľný počet používateľov. Ak ste vybrali nesprávnych používateľov, môžete vybrať symbol X vedľa ich záznamu a odstrániť ich z poľa. Ak chcete odstrániť všetky položky, vyberte položku Vymazať . Po dokončení vyberte položku Pridať , čím presuniete vybratých používateľov do zoznamu prístupov. Ich pridanie do zoznamu sa zatiaľ neukladá. Je to ukážka zoznamu členov rolí po pridaní týchto používateľov a novopridaní používatelia budú mať vedľa svojho mena indikátor.
Ak chcete zmeny prístupu publikovať, vyberte položku Uložiť v dolnej časti tably.
Priradenie virtuálnych členov
Ak chcete pridať virtuálnych členov, použite pole Pridať používateľov na základe povolení pre Lakehouse. Výberom poľa otvorte nástroj na výber rozbaľovacieho zoznamu a vyberte povolenia služby Fabric na virtualizáciu. Používatelia sa virtualizujú, ak majú všetky začiarknuté povolenia.
Povolenia, ktoré možno použiť na virtualizáciu, sú:
- Čítanie
- Zapisovať
- Opakované zdieľanie
- Spustiť
- ČítaťVšetky
Po výbere povolení vyberte položku Pridať a aktualizujte zmeny v zozname Priradení používatelia . Používatelia majú text vedľa svojho mena, ktorý označuje, že boli priradené povoleniami pre lakehouse. Títo používatelia nemôžu byť z priradenia roly manuálne odstránení. Namiesto toho odstráňte príslušné povolenia z ovládacieho prvku Pridať používateľov na základe ovládacieho prvku povolení Lakehouse alebo odstráňte povolenie Fabric.
Známe problémy
Funkcia externého zdieľania údajov vo verzii Preview nie je kompatibilná s ukážkou rolí prístupu k údajom. Keď povolíte ukážku rolí prístupu k údajom v úzovni Lakehouse, všetky existujúce externé zdieľanie údajov môžu prestať fungovať.