Share via

Kom igång med OneLake-dataåtkomstroller (förhandsversion)

  • Artikel

Översikt

OneLake-dataåtkomstroller för mappar är en ny funktion som gör att du kan tillämpa rollbaserad åtkomstkontroll (RBAC) på dina data som lagras i OneLake. Du kan definiera säkerhetsroller som ger läsbehörighet till specifika mappar i ett infrastrukturobjekt och tilldela dem till användare eller grupper. Åtkomstbehörigheterna avgör vilka mappar användarna ser när de kommer åt sjövyn för data, antingen via Lakehouse UX, notebook-filer eller OneLake-API:er.

Infrastrukturanvändare i administratörs-, medlems- eller deltagarrollerna kan komma igång genom att skapa OneLake-dataåtkomstroller för att endast ge åtkomst till specifika mappar i ett sjöhus. Om du vill ge åtkomst till data i ett lakehouse lägger du till användare i en dataåtkomstroll. Användare som inte ingår i en dataåtkomstroll ser inga data i lakehouse.

Kommentar

Dataåtkomstrollssäkerhet gäller ENDAST för användare som kommer åt OneLake direkt. Infrastrukturobjekt som SQL-slutpunkt, semantiska modeller och lager har egna säkerhetsmodeller och åtkomst till OneLake via en delegerad identitet. Det innebär att användarna kan se olika objekt i varje arbetsbelastning om de får åtkomst till flera objekt.

Så här anmäler du dig

Alla lakehouses i Fabric har funktionen för förhandsversion av dataåtkomstroller inaktiverad som standard. Förhandsgranskningsfunktionen konfigureras per lakehouse. Opt-in-kontrollen gör det möjligt för en enda lakehouse att prova förhandsversionen utan att aktivera den på andra lakehouses eller Fabric-objekt.

Om du vill aktivera förhandsversionen måste du vara administratör, medlem eller deltagare på arbetsytan. Gå till ett lakehouse och välj knappen Hantera OneLake-dataåtkomst (förhandsversion) i menyfliksområdet för att öppna bekräftelsedialogrutan. Förhandsversionen av dataåtkomstroller är inte kompatibel med förhandsversionen av extern datadelning. Om du är okej med ändringen väljer du Fortsätt. Användargränssnittet för hanteringsroller öppnas och funktionen är nu aktiverad.

Förhandsgranskningsfunktionen kan inte inaktiveras när den är aktiverad.

För att säkerställa en smidig opt-in-upplevelse fortsätter alla användare med läsbehörighet till data i lakehouse att ha läsåtkomst. Migrering av åtkomst görs genom skapandet av en standardroll för dataåtkomst med namnet "DefaultReader". Med virtualiserade rollmedlemskap inkluderas alla användare som hade nödvändiga behörigheter för att visa data i lakehouse (ReadAll-behörigheten) som medlemmar i den här standardrollen. Om du vill börja begränsa åtkomsten till dessa användare kontrollerar du att Rollen DefaultReader tas bort eller att ReadAll-behörigheten tas bort från de användare som har åtkomst.

Viktigt!

Kontrollera att alla användare som ingår i en dataåtkomstroll inte också ingår i DefaultReader-rollen. Annars kommer de att ha fullständig åtkomst till data.

Vilka typer av data kan skyddas?

OneLake-dataåtkomstroller kan användas för att hantera OneLake-läsåtkomst till mappar i ett lakehouse. Läsåtkomst kan ges till valfri mapp i ett lakehouse och ingen åtkomst till en mapp är standardtillståndet. Säkerhetsuppsättningen för dataåtkomstroller gäller endast för åtkomst mot OneLake- eller OneLake-specifika API:er. Mer information finns i dataåtkomstkontrollmodellen.

Förutsättningar

För att kunna konfigurera säkerheten för ett sjöhus måste du vara administratör, medlem eller deltagare för arbetsytan. Rollskapande och medlemskapstilldelning börjar gälla så snart rollen har sparats, så se till att du vill bevilja åtkomst innan du lägger till någon i en roll.

OneLake-dataåtkomstroller stöds endast för lakehouse-objekt.

Skapa en roll

  1. Öppna lakehouse där du vill definiera säkerhet.
  2. Välj på Hantera OneLake-dataåtkomst (förhandsversion) till höger i menyfliksområdet Lakehouse.
  3. Längst upp till vänster i fönstret Hantera OneLake-dataåtkomst väljer du Ny roll och anger önskat rollnamn. Rollnamnet har vissa begränsningar:
    1. Rollnamnet får bara innehålla alfanumeriska tecken.
    2. Rollnamnet måste börja med en bokstav.
    3. Namn är skiftlägesokänsliga och måste vara unika.
    4. Den maximala namnlängden är 128 tecken.
  4. Välj växlingsknappen Alla mappar om du vill att den här rollen ska gälla för alla mappar i det här sjöhuset.
    1. Det här valet innehåller alla mappar som läggs till i framtiden.
  5. Välj de markerade mapparna om du bara vill att den här rollen ska gälla för valda mappar.
    1. Markera rutorna bredvid de mappar som du vill att rollen ska gälla för.
    2. Roller ger åtkomst till mappar. Om du vill tillåta att en användare får åtkomst till en mapp markerar du kryssrutan bredvid den. Om en användare inte ska se en mapp markerar du inte kryssrutan.
    3. I det nedre vänstra hörnet väljer du Spara för att skapa din roll.
  6. Längst upp till vänster väljer du Tilldela roll för att öppna fönstret rollmedlemskap.
  7. Lägg till personer, grupper eller e-postadresser i kontrollen Lägg till personer eller grupper . Mer information finns i Tilldela en medlem eller grupp.
  8. Välj Lägg till för att flytta markeringen till listan Tilldelade personer och grupper . Om du väljer Lägg till sparas inte ditt val ännu.
  9. Välj Spara och vänta på meddelandet om att rollerna har publicerats.
  10. Välj X längst upp till höger för att avsluta fönstret.

Redigera en roll

  1. Öppna lakehouse där du vill definiera säkerhet.
  2. Välj på Hantera OneLake-dataåtkomst (förhandsversion) till höger i menyfliksområdet Lakehouse.
  3. Hovra över den roll som du vill redigera i fönstret Hantera OneLake-dataåtkomst och välj den.
  4. Du kan ändra vilka mappar som beviljas åtkomst till genom att markera eller avmarkera kryssrutorna bredvid varje mapp.
  5. Om du vill ändra personerna väljer du Tilldela roll. Mer information finns i Tilldela en medlem eller grupp.
  6. Om du vill lägga till fler personer skriver du namn i rutan Lägg till personer eller grupper och väljer Lägg till.
  7. Om du vill ta bort personer väljer du deras namn under Tilldelade personer och grupper och väljer Ta bort.
  8. Välj Spara och vänta på meddelandet om att rollerna har publicerats.
  9. Välj X längst upp till höger för att avsluta fönstret.

Ta bort en roll

  1. Öppna lakehouse där du vill definiera säkerhet.
  2. Välj på Hantera OneLake-dataåtkomst (förhandsversion) till höger i menyfliksområdet Lakehouse.
  3. I fönstret Hantera OneLake-dataåtkomst markerar du kryssrutan bredvid de roller som du vill ta bort.
  4. Välj Ta bort och vänta på meddelandet om att rollerna har tagits bort.
  5. Välj X längst upp till höger för att avsluta fönstret.

Tilldela en medlem eller grupp

OneLake-dataåtkomstroller har stöd för två olika metoder för att lägga till användare i en roll. Huvudmetoden är genom att lägga till användare eller grupper direkt i en roll med hjälp av rutan Lägg till personer eller grupp på sidan Tilldela roll. Den andra är att använda virtuella medlemskap med automatiskt lägga till användare med alla dessa behörigheter kontroll.

Om du lägger till användare direkt i en roll med rutan Lägg till personer eller grupp läggs användarna till som explicita medlemmar i rollen. Dessa användare visas med bara deras namn och bild som visas i listan Tilldelade personer och grupper .

De virtuella medlemmarna tillåter att medlemskapet i rollen justeras dynamiskt baserat på användarnas behörigheter för infrastrukturobjekt. Genom att välja Lägg till användare automatiskt med alla dessa behörigheter och välja en behörighet lägger du till alla användare på arbetsytan Infrastruktur som har alla valda behörigheter som implicit medlem i rollen. Om du till exempel väljer ReadAll, Write inkluderas alla användare av arbetsytan Infrastruktur som har läsbehörighet och skrivbehörighet till lakehouse som medlem i rollen. Du kan se vilka användare som läggs till som virtuella medlemmar genom att leta efter texten "Tilldelad av arbetsytebehörigheter" under deras namn i listan Tilldelade personer och grupper . Dessa medlemmar kan inte tas bort manuellt och måste återkalla motsvarande infrastrukturresursbehörighet för att kunna tas bort.

Oavsett vilken medlemskapstyp har dataåtkomstroller stöd för att lägga till enskilda användare, Microsoft Entra-grupper och säkerhetsobjekt.

Tilldela medlemmar

Det finns två sätt att komma till sidan Tilldela medlemmar:

Metod 1

  1. Välj namnet på den roll som du vill tilldela medlemmar till.
  2. Längst upp på sidan rollinformation väljer du Tilldela roll.

Metod 2

  1. I rolllistan markerar du kryssrutan bredvid den roll som du vill tilldela medlemmar till.
  2. Välj Tilldela.

Tilldela användare direkt

På sidan Tilldela roll kan du lägga till medlemmar eller grupper genom att skriva deras namn eller e-postadress i rutan Lägg till personer eller grupper . Välj det resultat som du vill välja den användaren. Du kan upprepa det här steget för så många användare du vill. Om du har valt fel användare kan du välja X bredvid deras post för att ta bort dem från rutan eller välja Rensa för att ta bort alla poster. När du är klar väljer du Lägg till för att flytta de valda användarna till åtkomstlistan. Att lägga till dem i listan sparas inte ännu. Det är en förhandsversion av listan över rollmedlemskap när dessa användare har lagts till.

Om du vill publicera åtkomständringarna väljer du Spara längst ned i fönstret.

Tilldela virtuella medlemmar

Om du vill lägga till virtuella medlemmar använder du rutan Lägg till användare automatiskt med alla dessa behörigheter . Välj rutan för att öppna listruteväljaren för att välja de infrastrukturresurser som ska virtualiseras. Användarna virtualiseras om de har alla kontrollerade behörigheter.

De behörigheter som kan användas för virtualisering är:

  • Lästa
  • Skriv
  • Dela om
  • Genomförande
  • ReadAll
  • ViewOutput
  • ViewLogs

När en behörighet har valts visas alla virtualiserade medlemmar i listan Tilldelade personer och grupper . Användarna har text bredvid sitt namn som anger att de har tilldelats av arbetsytans behörigheter. Dessa användare kan inte tas bort manuellt från rolltilldelningen. Ta i stället bort motsvarande behörigheter från virtualiseringskontrollen eller ta bort behörigheten Infrastrukturresurser.

Kända problem

Förhandsgranskningsfunktionen för extern datadelning (länk) är inte kompatibel med förhandsversionen av dataåtkomstroller. När du aktiverar förhandsversionen av dataåtkomstrollerna på en lakehouse kan alla befintliga externa dataresurser sluta fungera.

Relaterat innehåll