แชร์ผ่าน

การรักษาความปลอดภัยระดับคอลัมน์ใน OneLake (ตัวอย่าง)

การรักษาความปลอดภัยระดับคอลัมน์ (CLS) เป็นคุณลักษณะของการ รักษาความปลอดภัย OneLake (พรีวิว) ที่อนุญาตให้คุณเข้าถึงคอลัมน์ที่เลือกในตารางแทนที่จะเข้าถึงตารางแบบเต็ม CLS ช่วยให้คุณสามารถระบุชุดย่อยของตารางที่ผู้ใช้สามารถเข้าถึงได้ ผู้ใช้จะมองไม่เห็นคอลัมน์ใด ๆ ที่ถูกลบออกจากรายการ

ข้อกำหนดเบื้องต้น

  • รายการใน OneLake ที่เปิดการรักษาความปลอดภัย OneLake ไว้ สําหรับข้อมูลเพิ่มเติม ดู เริ่มต้นใช้งานบทบาทการเข้าถึงข้อมูล OneLake
  • สลับตําแหน่งข้อมูลการวิเคราะห์ SQL บนเลคเฮาส์เป็นโหมดข้อมูลประจําตัวของผู้ใช้ผ่านแท็บความปลอดภัย
  • สําหรับการสร้างแบบจําลองความหมาย ให้ใช้ขั้นตอนในการสร้างแบบจําลอง DirectLake
  • สําหรับรายการทั้งหมดของข้อจํากัด โปรดดู ที่ส่วน ข้อจํากัดที่ทราบ

บังคับใช้การรักษาความปลอดภัยระดับคอลัมน์

CLS ความปลอดภัยของ OneLake ได้รับการบังคับใช้ด้วยวิธีใดวิธีหนึ่งจากสองวิธีต่อไปนี้:

  • ตารางที่กรองในเอ็นจิ้น Fabric: การสอบถามไปยังกลไกจัดการ Fabric เช่น สมุดบันทึก Spark ส่งผลให้ผู้ใช้เห็นเฉพาะคอลัมน์ที่พวกเขาได้รับอนุญาตให้ดูตามกฎ CLS
  • บล็อกการเข้าถึงตาราง: ตารางที่มีกฎ CLS ที่ใช้กับตารางเหล่านั้นไม่สามารถอ่านภายนอกกลไกจัดการ Fabric ที่รองรับได้

สําหรับตารางที่กรองแล้ว จะมีลักษณะการทํางานต่อไปนี้:

  • กฎ CLS ไม่ได้จํากัดการเข้าถึงสําหรับผู้ใช้ที่มีบทบาทผู้ดูแลระบบ สมาชิก และผู้สนับสนุน
  • หากกฎ CLS ไม่ตรงกันกับตารางที่กําหนดไว้ คิวรีจะล้มเหลวและไม่มีการแสดงคอลัมน์ ตัวอย่างเช่น ถ้ามีการกําหนด CLS สําหรับคอลัมน์ที่ไม่ได้เป็นส่วนหนึ่งของตาราง
  • คิวรีของตาราง CLS ล้มเหลวโดยมีข้อผิดพลาดถ้าผู้ใช้เป็นส่วนหนึ่งของบทบาทที่แตกต่างกันสองบทบาทและหนึ่งในบทบาทมีการรักษาความปลอดภัยระดับแถว (RLS)
  • กฎ CLS สามารถบังคับใช้กับวัตถุตาราง Delta parquet เท่านั้น
    • กฎ CLS ที่ใช้กับวัตถุตารางที่ไม่ใช่เดลต้าจะบล็อกการเข้าถึงทั้งตารางสําหรับสมาชิกของบทบาท
  • หากผู้ใช้เรียกใช้ select * แบบสอบถามบนตารางที่พวกเขามีสิทธิ์เข้าถึงเฉพาะบางคอลัมน์ กฎ CLS จะทํางานแตกต่างกันไปตามกลไก Fabric
    • สมุดบันทึก Spark: คิวรีสําเร็จและแสดงเฉพาะคอลัมน์ที่ได้รับอนุญาตเท่านั้น
    • จุดสิ้นสุดการวิเคราะห์ SQL: การเข้าถึงคอลัมน์ถูกบล็อกสําหรับคอลัมน์ที่ผู้ใช้ไม่สามารถเข้าถึงได้
    • แบบจําลองความหมาย: การเข้าถึงคอลัมน์ถูกบล็อกสําหรับคอลัมน์ที่ผู้ใช้ไม่สามารถเข้าถึงได้

กําหนดกฎการรักษาความปลอดภัยระดับคอลัมน์

คุณสามารถกําหนดการรักษาความปลอดภัยระดับคอลัมน์เป็นส่วนหนึ่งของ Security role ของ OneLake สําหรับตาราง Delta-parquet ใดๆ ในส่วน ตาราง ของรายการ มีการระบุ CLS สําหรับตารางเสมอและจะเปิดใช้งานหรือปิดใช้งาน ตามค่าเริ่มต้น CLS ถูกปิดใช้งาน และผู้ใช้มีสิทธิ์เข้าถึงคอลัมน์ทั้งหมด ผู้ใช้สามารถเปิดใช้งาน CLS และลบคอลัมน์ออกจากรายการเพื่อเพิกถอนการเข้าถึงได้

สำคัญ

การลบการเข้าถึงคอลัมน์จะไม่ปฏิเสธการเข้าถึงคอลัมน์นั้น หากบทบาทอื่นอนุญาตให้เข้าถึง

ใช้ขั้นตอนต่อไปนี้เพื่อกําหนดการรักษาความปลอดภัยระดับคอลัมน์:

  1. นําทางไปยังรายการข้อมูลของคุณ และเลือก จัดการความปลอดภัย OneLake (พรีวิว)

  2. เลือกบทบาทที่มีอยู่ที่คุณต้องการกําหนดความปลอดภัยของตารางหรือโฟลเดอร์ หรือเลือก ใหม่เพื่อสร้างบทบาทใหม่

  3. บนหน้ารายละเอียดบทบาท ให้เลือกตัวเลือกเพิ่มเติม (...) ถัดจากตารางที่คุณต้องการกําหนด CLS จากนั้นเลือก การรักษาความปลอดภัยของคอลัมน์ (ตัวอย่าง)

    สกรีนช็อตที่แสดงการเลือก 'ความปลอดภัยของคอลัมน์' เพื่อแก้ไขสิทธิ์ในตาราง

  4. ตามค่าเริ่มต้น CLS สําหรับตารางถูกปิดใช้งาน เลือก เปิดใช้งาน CLS หรือสร้าง กฎใหม่ เพื่อเปิดใช้งาน

    UI จะเติมข้อมูลด้วยรายการของคอลัมน์สําหรับตารางที่ผู้ใช้ได้รับอนุญาตให้ดู โดยค่าเริ่มต้นจะแสดงคอลัมน์ทั้งหมด

  5. เมื่อต้องการจํากัดการเข้าถึงคอลัมน์ เลือกกล่องกาเครื่องหมายถัดจากชื่อคอลัมน์ จากนั้นเลือก ลบ ต้องมีคอลัมน์อย่างน้อยหนึ่งคอลัมน์อยู่ในรายการของคอลัมน์ที่อนุญาต

  6. เลือก บันทึก เพื่ออัปเดตบทบาท

  7. หากคุณต้องการเพิ่มคอลัมน์ที่ถูกลบออก ให้เลือก กฎใหม่ การดําเนินการนี้จะเพิ่มรายการกฎ CLS ใหม่ไปยังจุดสิ้นสุดของรายการ จากนั้นใช้ดรอปดาวน์เพื่อเลือกคอลัมน์ที่คุณต้องการรวมไว้ในการเข้าถึง

  8. เมื่อคุณทําการเปลี่ยนแปลงเสร็จสิ้นแล้ว ให้เลือก บันทึก

เปิดใช้งานการรักษาความปลอดภัย OneLake สําหรับจุดสิ้นสุดการวิเคราะห์ SQL

ก่อนที่คุณสามารถใช้การรักษาความปลอดภัย OneLake กับจุดสิ้นสุดการวิเคราะห์ SQL คุณต้องเปิดใช้งานโหมดข้อมูลประจําตัวของผู้ใช้ ตําแหน่งข้อมูลการวิเคราะห์ SQL ที่สร้างขึ้นใหม่จะมีค่าเริ่มต้นเป็นโหมดข้อมูลประจําตัวของผู้ใช้ ดังนั้นจึงต้องปฏิบัติตามขั้นตอนเหล่านี้สําหรับจุดสิ้นสุดการวิเคราะห์ SQL ที่มีอยู่

หมายเหตุ

การสลับไปยังโหมด ข้อมูลประจําตัวของผู้ใช้ จะต้องทําเพียงครั้งเดียวต่อจุดสิ้นสุดการวิเคราะห์ SQL จุดสิ้นสุดที่ไม่ได้สลับเป็นโหมดข้อมูลประจําตัวของผู้ใช้จะยังคงใช้ข้อมูลประจําตัวที่ได้รับมอบหมายเพื่อประเมินสิทธิ์

  1. นําทางไปยังจุดสิ้นสุดการวิเคราะห์ SQL

  2. ในประสบการณ์การใช้งานจุดสิ้นสุดการวิเคราะห์ SQL ให้เลือกแท็บ ความปลอดภัย ในริบบอนด้านบน

  3. เลือก ข้อมูลประจําตัวของผู้ใช้ ภายใต้ โหมดการเข้าถึง OneLake

    สกรีนช็อตที่แสดงการเลือก 'ข้อมูลประจําตัวของผู้ใช้' เพื่อเปิดใช้งานการรักษาความปลอดภัย OneLake สําหรับจุดสิ้นสุดการวิเคราะห์ SQL

  4. ในพร้อมท์ เลือกใช่ใช้ข้อมูลประจําตัวของผู้ใช้

    สกรีนช็อตที่แสดงพร้อมท์ผู้ใช้ซึ่งต้องยอมรับเพื่อเปิดใช้งานการรักษาความปลอดภัย OneLake สําหรับการเข้าถึงแบบอ่านตาราง

ตอนนี้จุดสิ้นสุดการวิเคราะห์ SQL พร้อมใช้งานกับการรักษาความปลอดภัย OneLake แล้ว

รวมการรักษาความปลอดภัยระดับแถวและระดับคอลัมน์

การรักษาความปลอดภัยระดับแถวและระดับคอลัมน์สามารถใช้ร่วมกันเพื่อจํากัดการเข้าถึงตารางของผู้ใช้ อย่างไรก็ตาม ต้องมีการใช้นโยบายสองข้อโดยใช้บทบาทความปลอดภัย OneLake เดียว ในสถานการณ์นี้ การเข้าถึงข้อมูลจะถูกจํากัดตามกฎที่กําหนดไว้ในบทบาทเดียว

การรักษาความปลอดภัย OneLake ไม่สนับสนุนการรวมบทบาทสองบทบาทหรือมากกว่าโดยที่บทบาทหนึ่งมีกฎ RLS และอีกอันมีกฎ CLS ผู้ใช้ที่พยายามเข้าถึงตารางที่เป็นส่วนหนึ่งของชุดบทบาทที่ไม่สนับสนุนจะได้รับข้อผิดพลาดในการคิวรี

  • Last updated on