Share via


เริ่มต้นใช้งานด้วยบทบาทการเข้าถึงข้อมูล OneLake (ตัวอย่าง)

ภาพรวม

บทบาทการเข้าถึงข้อมูล OneLake สําหรับโฟลเดอร์เป็นคุณลักษณะใหม่ที่ช่วยให้คุณสามารถใช้การควบคุมการเข้าถึงตามบทบาท (RBAC) กับข้อมูลของคุณที่จัดเก็บไว้ใน OneLake ได้ คุณสามารถกําหนดบทบาทความปลอดภัยที่ให้สิทธิ์ในการอ่านสําหรับโฟลเดอร์ที่ระบุภายในรายการ Fabric และกําหนดให้กับผู้ใช้หรือกลุ่ม สิทธิ์การเข้าถึงจะกําหนดโฟลเดอร์ที่ผู้ใช้เห็นเมื่อเข้าถึงมุมมองข้อมูลแบบเลคผ่าน lakehouse UX สมุดบันทึก หรือ OneLake API

ผู้ใช้ Fabric ในบทบาทผู้ดูแลระบบ สมาชิก หรือผู้สนับสนุนสามารถเริ่มต้นโดยการสร้างบทบาทการเข้าถึงข้อมูล OneLake เพื่อให้สิทธิ์เข้าถึงเฉพาะโฟลเดอร์ที่เฉพาะเจาะจงในเลคเฮ้าส์ หากต้องการให้สิทธิ์การเข้าถึงข้อมูลในเลคเฮ้าส์ ให้เพิ่มผู้ใช้ลงในบทบาทการเข้าถึงข้อมูล ผู้ใช้ที่ไม่ได้เป็นส่วนหนึ่งของบทบาทการเข้าถึงข้อมูลจะไม่สามารถดูข้อมูลได้ในเลคเฮ้าส์นั้น

หมายเหตุ

ความปลอดภัยของบทบาทการเข้าถึงข้อมูลจะใช้กับผู้ใช้ที่เข้าถึง OneLake โดยตรงเท่านั้น รายการสิ่งของผ้า เช่น จุดสิ้นสุด SQL แบบจําลองความหมาย และคลังสินค้ามีแบบจําลองความปลอดภัยของตนเอง และเข้าถึง OneLake ผ่านข้อมูลประจําตัวที่ได้รับมอบหมาย ซึ่งหมายความว่าผู้ใช้สามารถดูรายการที่แตกต่างกันในแต่ละปริมาณงานได้หากได้รับสิทธิ์การเข้าถึงหลายรายการ

วิธีการเลือกใช้

เลคเฮ้าส์ทั้งหมดใน Fabric มีคุณลักษณะตัวอย่างบทบาทการเข้าถึงข้อมูลปิดใช้งานตามค่าเริ่มต้น คุณลักษณะตัวอย่างได้รับการกําหนดค่าตาม lakehouse แบบต่อเลคเฮ้าส์ การควบคุมการเลือกใช้จะช่วยให้เลคเฮ้าส์เดียวสามารถลองดูตัวอย่างโดยไม่ต้องเปิดใช้งานในเลคเฮ้าส์หรือสิ่งของผ้าอื่น ๆ

เมื่อต้องการเปิดใช้งานตัวอย่าง คุณต้องเป็นผู้ดูแลระบบ สมาชิก หรือผู้สนับสนุนในพื้นที่ทํางาน นําทางไปยังเลคเฮ้าส์ และเลือกปุ่ม จัดการการเข้าถึงข้อมูล OneLake (ตัวอย่าง) ในริบบอนเพื่อเปิดกล่องโต้ตอบการยืนยัน ตัวอย่างบทบาทการเข้าถึงข้อมูลไม่เข้ากันกับตัวอย่างการแชร์ข้อมูลภายนอก ถ้าคุณไม่คุ้นเคยกับการเปลี่ยนแปลง ให้เลือก ดําเนินการต่อ การจัดการบทบาท UX จะเปิดขึ้นและคุณลักษณะถูกเปิดใช้งานในขณะนี้

ไม่สามารถปิดคุณลักษณะการแสดงตัวอย่างได้เมื่อเปิดใช้งานแล้ว

เพื่อให้ผู้ใช้ทั้งหมดมีสิทธิ์ในการอ่านข้อมูลใน lakehouse ยังคงสามารถเข้าถึงการอ่านได้ การโยกย้ายการเข้าถึงจะดําเนินการได้ผ่านการสร้างบทบาทการเข้าถึงข้อมูลเริ่มต้นที่เรียกว่า "DefaultReader" การใช้ บทบาทเสมือนสมาชิก ผู้ใช้ทั้งหมดที่มีสิทธิ์ที่จําเป็นในการดูข้อมูลใน lakehouse (สิทธิ์ ReadAll) จะรวมอยู่ในสมาชิกของบทบาทเริ่มต้นนี้ เมื่อต้องการเริ่มจํากัดการเข้าถึงให้แก่ผู้ใช้เหล่านั้น ให้ตรวจสอบให้แน่ใจว่ามีการลบบทบาท DefaultReader หรือสิทธิ์ ReadAll ถูกเอาออกจากผู้ใช้ที่เข้าถึง

สำคัญ

ตรวจสอบให้แน่ใจว่าผู้ใช้ใด ๆ ที่รวมอยู่ในบทบาทการเข้าถึงข้อมูลไม่ได้เป็นส่วนหนึ่งของบทบาท DefaultReader มิฉะนั้น พวกเขาจะรักษาการเข้าถึงข้อมูลทั้งหมด

ข้อมูลชนิดใดบ้างที่สามารถรักษาความปลอดภัยได้

บทบาทการเข้าถึงข้อมูล OneLake สามารถใช้เพื่อจัดการ OneLake อ่านการเข้าถึงโฟลเดอร์ในเลคเฮ้าส์ได้ การเข้าถึงแบบอ่านสามารถกําหนดให้กับโฟลเดอร์ใด ๆ ใน lakehouse และไม่สามารถเข้าถึงโฟลเดอร์เป็นสถานะเริ่มต้นได้ ชุดความปลอดภัยโดยบทบาทการเข้าถึงข้อมูลจะใช้เฉพาะเพื่อเข้าถึงกับ OneLake หรือ OneLake เฉพาะ API สําหรับข้อมูลเพิ่มเติม ดู แบบจําลองการควบคุมการเข้าถึงข้อมูล

ข้อกำหนดเบื้องต้น

ในการกําหนดค่าความปลอดภัยสําหรับเลคเฮ้าส์ คุณต้องเป็นผู้ดูแลระบบ สมาชิก หรือผู้สนับสนุนสําหรับพื้นที่ทํางาน การสร้างบทบาทและการกําหนดการเป็นสมาชิกจะมีผลทันทีที่บันทึกบทบาท ดังนั้นตรวจสอบให้แน่ใจว่าคุณต้องการให้สิทธิ์การเข้าถึงก่อนที่จะเพิ่มบุคคลลงในบทบาท

บทบาทการเข้าถึงข้อมูลของ OneLake ได้รับการรองรับสําหรับรายการในเลคเฮ้าส์เท่านั้น

สร้างบทบาท

  1. เปิดเลคเฮ้าส์ที่คุณต้องการกําหนดความปลอดภัย
  2. ทางด้านขวาของริบบอนของเลคเฮ้าส์ ให้เลือกจัดการการเข้าถึงข้อมูล OneLake (ตัวอย่าง)
  3. ที่ด้านบนซ้ายของบานหน้าต่าง จัดการการเข้าถึง ข้อมูล OneLake ให้เลือก บทบาทใหม่ แล้วพิมพ์ชื่อบทบาทที่คุณต้องการ ชื่อบทบาทมีข้อจํากัดบางอย่าง:
    1. ชื่อบทบาทสามารถมีได้เฉพาะอักขระตัวอักษรและตัวเลขเท่านั้น
    2. ชื่อบทบาทต้องเริ่มต้นด้วยตัวอักษร
    3. ชื่อต้องตรงตามตัวพิมพ์ใหญ่-เล็ก และต้องไม่ซ้ํากัน
    4. ความยาวสูงสุดของชื่อคือ 128 อักขระ
  4. เลือกการ สลับโฟลเดอร์ ทั้งหมดถ้าคุณต้องการให้บทบาทนี้นําไปใช้กับทุกโฟลเดอร์ใน lakehouse นี้
    1. การเลือกนี้มีโฟลเดอร์ใดๆ ที่มีการเพิ่มไว้ในอนาคต
  5. เลือก โฟลเดอร์ ที่เลือกถ้าคุณต้องการนําบทบาทนี้ไปใช้กับโฟลเดอร์ที่เลือกเท่านั้น
    1. ทําเครื่องหมายในช่องที่อยู่ถัดจากโฟลเดอร์ที่คุณต้องการให้มีการใช้งานบทบาท
    2. บทบาทอนุญาตให้เข้าถึงโฟลเดอร์ หากต้องการอนุญาตให้ผู้ใช้เข้าถึงโฟลเดอร์ ให้เลือกช่องถัดจากโฟลเดอร์ดังกล่าว ถ้าผู้ใช้ไม่ควรเห็นโฟลเดอร์ ไม่ต้องเลือกกล่องกาเครื่องหมาย
    3. ที่ด้านล่างซ้าย เลือก บันทึก เพื่อสร้างบทบาทของคุณ
  6. ที่ด้านบนซ้าย ให้เลือก กําหนดบทบาท เพื่อเปิดบานหน้าต่างบทบาทการเป็นสมาชิก
  7. เพิ่มบุคคล กลุ่ม หรือที่อยู่อีเมลลงในตัวควบคุม เพิ่มบุคคลหรือกลุ่ม สําหรับข้อมูลเพิ่มเติม ดู กําหนดสมาชิกหรือกลุ่ม
  8. เลือก เพิ่ม เพื่อย้ายการเลือกของคุณไปยัง รายการ บุคคลและกลุ่ม ที่มอบหมาย การเลือก เพิ่ม ยังไม่บันทึกการเลือกของคุณ
  9. เลือก บันทึก และรอการแจ้งเตือนที่เผยแพร่บทบาทเรียบร้อยแล้ว
  10. เลือก X ที่ด้านบนขวาเพื่อออกจากบานหน้าต่าง

แก้ไขบทบาท

  1. เปิดเลคเฮ้าส์ที่คุณต้องการกําหนดความปลอดภัย
  2. ทางด้านขวาของริบบอนของเลคเฮ้าส์ ให้เลือกจัดการการเข้าถึงข้อมูล OneLake (ตัวอย่าง)
  3. ในบานหน้าต่าง จัดการการเข้าถึง ข้อมูล OneLake ให้วางเมาส์เหนือบทบาทที่คุณต้องการแก้ไขและเลือก
  4. คุณสามารถเปลี่ยนโฟลเดอร์ที่ได้รับอนุญาตให้เข้าถึงได้โดยการเลือกหรือยกเลิกการเลือกกล่องกาเครื่องหมายที่อยู่ถัดจากแต่ละโฟลเดอร์
  5. หากต้องการเปลี่ยนบุคคล ให้เลือก กําหนดบทบาท สําหรับข้อมูลเพิ่มเติม ดู กําหนดสมาชิกหรือกลุ่ม
  6. หากต้องการเพิ่มบุคคล ให้พิมพ์ชื่อในกล่อง เพิ่มบุคคลหรือกลุ่ม และเลือก เพิ่ม
  7. เมื่อต้องการเอาบุคคลออก ให้เลือกชื่อของพวกเขาภายใต้ บุคคลและกลุ่มที่ได้รับมอบหมาย แล้วเลือก นําออก
  8. เลือก บันทึก และรอการแจ้งเตือนที่เผยแพร่บทบาทเรียบร้อยแล้ว
  9. เลือก X ที่ด้านบนขวาเพื่อออกจากบานหน้าต่าง

ลบบทบาท

  1. เปิดเลคเฮ้าส์ที่คุณต้องการกําหนดความปลอดภัย
  2. ทางด้านขวาของริบบอนของเลคเฮ้าส์ ให้เลือกจัดการการเข้าถึงข้อมูล OneLake (ตัวอย่าง)
  3. ในบานหน้าต่าง จัดการการเข้าถึง ข้อมูล OneLake ให้ทําเครื่องหมายที่กล่องถัดจากบทบาทที่คุณต้องการลบ
  4. เลือก ลบ และรอการแจ้งเตือนว่าลบบทบาทเรียบร้อยแล้ว
  5. เลือก X ที่ด้านบนขวาเพื่อออกจากบานหน้าต่าง

กําหนดสมาชิกหรือกลุ่ม

บทบาทการเข้าถึงข้อมูล OneLake สนับสนุนสองวิธีที่แตกต่างกันในการเพิ่มผู้ใช้ให้กับบทบาท วิธีหลักคือ การเพิ่มผู้ใช้หรือกลุ่มลงในบทบาทโดยตรงโดยใช้ กล่อง เพิ่มบุคคลหรือกลุ่ม บนหน้า กําหนดบทบาท วิธีที่สองคือการใช้การเป็นสมาชิกเสมือนด้วยการควบคุม เพิ่มผู้ใช้ด้วยสิทธิ์ เหล่านี้ทั้งหมดโดยอัตโนมัติ

การเพิ่มผู้ใช้ลงในบทบาทโดยตรงด้วย กล่อง เพิ่มบุคคลหรือกลุ่ม เพิ่มผู้ใช้ในฐานะสมาชิกที่ชัดเจนของบทบาท ผู้ใช้เหล่านี้แสดงขึ้นโดยมีเพียงชื่อและรูปภาพของพวกเขาที่แสดงในรายการ บุคคลและกลุ่ม ที่ได้รับมอบหมาย

สมาชิกเสมือนอนุญาตให้สมาชิกของบทบาทสามารถปรับเปลี่ยนแบบไดนามิกโดยยึดตามสิทธิ์รายการ Fabric ของผู้ใช้ โดยการเลือก เพิ่มผู้ใช้โดยอัตโนมัติด้วยกล่องสิทธิ์ เหล่านี้ทั้งหมด และเลือกสิทธิ์ คุณกําลังเพิ่มผู้ใช้ใด ๆ ในพื้นที่ทํางาน Fabric ที่มีสิทธิ์ที่เลือกทั้งหมดในฐานะสมาชิกโดยนัยของบทบาท ตัวอย่างเช่น ถ้าคุณเลือก ReadAll เขียน ผู้ใช้พื้นที่ทํางาน Fabric ใดๆ ที่มีสิทธิ์ ReadAll และ Write ไปยัง lakehouse จะรวมอยู่ในบทบาทนี้ด้วย คุณสามารถดูผู้ใช้ที่กําลังถูกเพิ่มเป็นสมาชิกเสมือน โดยการค้นหาข้อความ "กําหนดโดยพื้นที่ทํางานสิทธิ์" ภายใต้ชื่อของพวกเขาในรายการ บุคคลและกลุ่ม ที่ได้รับมอบหมาย สมาชิกเหล่านี้ไม่สามารถลบออกด้วยตนเองได้ และจําเป็นต้องมีสิทธิ์ Fabric ที่สอดคล้องกันถูกยกเลิกเพื่อไม่ให้ถูกกําหนดสิทธิ์

บทบาทการเข้าถึงข้อมูลรองรับการเพิ่มผู้ใช้รายบุคคล กลุ่ม Microsoft Entra และหลักความปลอดภัยโดยไม่คํานึงถึงประเภทการเป็นสมาชิก

การกําหนดสมาชิก

เมื่อต้องการไปยังหน้ากําหนดสมาชิกมีสองวิธี:

วิธีที่ 1

  1. เลือกชื่อของบทบาทที่คุณต้องการกําหนดสมาชิกให้
  2. ที่ด้านบนของหน้ารายละเอียดบทบาท เลือกกําหนดบทบาท

วิธีที่ 2

  1. จากรายการบทบาท ให้เลือกกล่องกาเครื่องหมายถัดจากบทบาทที่คุณต้องการกําหนดสมาชิกให้
  2. เลือก มอบหมาย

กําหนดผู้ใช้โดยตรง

จากหน้ากําหนดบทบาท คุณสามารถเพิ่มสมาชิกหรือกลุ่มโดยพิมพ์ชื่อหรือที่อยู่อีเมลของพวกเขาในกล่องเพิ่มบุคคลหรือกลุ่มได้ เลือกผลลัพธ์ที่คุณต้องการเลือกผู้ใช้นั้น คุณสามารถทําซ้ําขั้นตอนนี้สําหรับผู้ใช้ได้มากเท่าที่คุณต้องการ ถ้าคุณเลือกผู้ใช้ที่ไม่ถูกต้อง คุณสามารถเลือก X ถัดจากรายการของพวกเขาเพื่อลบผู้ใช้ออกจากกล่อง หรือเลือก ล้าง เพื่อเอารายการทั้งหมดออก เมื่อคุณทําเสร็จแล้ว เลือก เพิ่ม เพื่อย้ายผู้ใช้ที่เลือกไปยังรายการการเข้าถึง การเพิ่มเขตข้อมูลเหล่านั้นลงในรายการยังไม่บันทึก นี่คือตัวอย่างของรายการสมาชิกบทบาทเมื่อเพิ่มผู้ใช้เหล่านั้น

เมื่อต้องการเผยแพร่การเปลี่ยนแปลงการเข้าถึง ให้เลือก บันทึก ที่ด้านล่างของบานหน้าต่าง

กําหนดสมาชิกเสมือน

หากต้องการเพิ่มสมาชิกเสมือน ให้ใช้ กล่อง เพิ่มผู้ใช้ที่มีสิทธิ์ เหล่านี้ทั้งหมดโดยอัตโนมัติ เลือกกล่องเพื่อเปิดตัวเลือกดรอปดาวน์เพื่อเลือกสิทธิ์ Fabric เพื่อจําลองเสมือน ผู้ใช้จะถูกจําลองเสมือนถ้าพวกเขามีสิทธิ์ที่ตรวจสอบทั้งหมด

สิทธิ์ที่สามารถใช้สําหรับการจําลองภาพเสมือนได้คือ:

  • อ่าน
  • เขียน
  • แชร์ต่อ
  • ดำเนินการ
  • ReadAll
  • ViewOutput
  • ViewLogs

เมื่อเลือกสิทธิ์สมาชิกเสมือนใด ๆ จะแสดงในรายการ บุคคลและกลุ่ม ที่กําหนด ผู้ใช้มีข้อความอยู่ข้างชื่อของพวกเขาระบุว่าพวกเขาได้รับมอบหมายจากสิทธิ์ในพื้นที่ทํางาน ผู้ใช้เหล่านี้ไม่สามารถลบออกจากการกําหนดบทบาทด้วยตนเองได้ ให้ลบสิทธิ์ที่เกี่ยวข้องออกจากตัวควบคุมการจําลองภาพเสมือนหรือลบสิทธิ์ Fabric

ปัญหาที่ทราบ

ฟีเจอร์ตัวอย่างการแชร์ข้อมูลภายนอก (ลิงก์) ไม่เข้ากันกับตัวอย่างบทบาทการเข้าถึงข้อมูล เมื่อคุณเปิดใช้งานตัวอย่างบทบาทการเข้าถึงข้อมูลในเลคเฮ้าส์ การแชร์ข้อมูลภายนอกที่มีอยู่อาจหยุดทํางาน