เริ่มต้นใช้งานการรักษาความปลอดภัย OneLake (พรีวิว)

การรักษาความปลอดภัยของ OneLake ช่วยให้คุณสามารถใช้การควบคุมการเข้าถึงตามบทบาท (RBAC) กับข้อมูลของคุณที่จัดเก็บไว้ใน OneLake คุณสามารถกําหนด Security role ที่ให้สิทธิ์การเข้าถึงโฟลเดอร์เฉพาะภายในรายการ Fabric จากนั้นกําหนดบทบาทเหล่านี้ให้กับผู้ใช้หรือกลุ่ม บทบาทยังสามารถมีความปลอดภัยระดับแถวหรือคอลัมน์เพื่อจํากัดการเข้าถึงเพิ่มเติม สิทธิ์ด้านความปลอดภัยของ OneLake กําหนดข้อมูลที่ผู้ใช้สามารถดูได้จากประสบการณ์ทั้งหมดใน Fabric

ผู้ใช้ Fabric ที่มีสิทธิ์เขียนและแชร์ใหม่ (โดยทั่วไปคือผู้ใช้พื้นที่ทํางานผู้ดูแลระบบและสมาชิก) สามารถเริ่มต้นด้วยการสร้าง Security role ของ OneLake เพื่อให้สิทธิ์การเข้าถึงเฉพาะโฟลเดอร์หรือตารางเฉพาะในรายการข้อมูล Fabric หากต้องการให้สิทธิ์การเข้าถึงข้อมูลในรายการ ให้เพิ่มผู้ใช้ในบทบาทการเข้าถึงข้อมูล ผู้ใช้ที่ไม่ได้เป็นส่วนหนึ่งของบทบาทการเข้าถึงข้อมูลจะไม่เห็นข้อมูลในรายการนั้น

ข้อกําหนดเบื้องต้น

ในการกําหนดค่าความปลอดภัยของ OneLake คุณต้องเป็นผู้ดูแลระบบหรือสมาชิกในพื้นที่ทํางาน หรือมีสิทธิ์เขียนและแชร์ใหม่ การสร้างบทบาทและการมอบหมายการเป็นสมาชิกจะมีผลทันทีที่บันทึกบทบาท ดังนั้นโปรดตรวจสอบให้แน่ใจว่าคุณต้องการให้สิทธิ์การเข้าถึงก่อนที่จะเพิ่มบุคคลในบทบาท

ตารางต่อไปนี้สรุปรายการข้อมูลที่รองรับความปลอดภัยของ OneLake:

รายการผ้า	สถานะ	สิทธิ์ที่รองรับ
Lakehouse	การแสดงตัวอย่าง	อ่าน อ่านเขียน
แค็ตตาล็อก Azure Databricks Mirrored	การแสดงตัวอย่าง	Read

วิธีเลือกใช้

ขณะนี้การรักษาความปลอดภัย OneLake อยู่ในการแสดงตัวอย่าง และเป็นผลให้ปิดใช้งานโดยค่าเริ่มต้น คุณลักษณะการแสดงตัวอย่างได้รับการกําหนดค่าตามรายการ การควบคุมการเลือกใช้ช่วยให้รายการเดียวสามารถลองแสดงตัวอย่างได้โดยไม่ต้องเปิดใช้งานในรายการ Fabric อื่นๆ

ไม่สามารถปิดคุณลักษณะการแสดงตัวอย่างได้เมื่อเปิดใช้งานแล้ว

1. นําทางไปยัง เลคเฮาส์ และเลือก จัดการความปลอดภัย OneLake (พรีวิว)
2. ตรวจสอบกล่องโต้ตอบการยืนยัน ตัวอย่างบทบาทการเข้าถึงข้อมูลเข้ากันไม่ได้กับตัวอย่างการแชร์ข้อมูลภายนอก หากคุณเห็นด้วยกับการเปลี่ยนแปลง ให้เลือก ดําเนินการต่อ

ผู้ใช้ทุกคนที่มีสิทธิ์อ่านข้อมูลในรายการจะยังคงมีสิทธิ์อ่านผ่านบทบาทการเข้าถึงข้อมูลเริ่มต้นที่เรียกว่า DefaultReader ด้วยการ เป็นสมาชิกบทบาทเสมือนจริง ผู้ใช้ทั้งหมดที่มีสิทธิ์ที่จําเป็นในการดูข้อมูลในเลคเฮาส์ (สิทธิ์ ReadAll) จะรวมเป็นสมาชิกของบทบาทเริ่มต้นนี้ หากต้องการเริ่มจํากัดการเข้าถึงของผู้ใช้เหล่านั้น ให้ลบบทบาท DefaultReader หรือลบสิทธิ์ ReadAll ออกจากผู้ใช้ที่เข้าถึง

สําคัญ

ตรวจสอบให้แน่ใจว่าผู้ใช้ที่รวมอยู่ในบทบาทการเข้าถึงข้อมูลถูกลบออกจากบทบาท DefaultReader มิฉะนั้นพวกเขาจะยังคงเข้าถึงข้อมูลได้อย่างเต็มที่

ข้อมูลประเภทใดที่สามารถรักษาความปลอดภัยได้?

ใช้ Security role ของ OneLake เพื่อจัดการการเข้าถึงการอ่าน OneLake ไปยังตารางหรือโฟลเดอร์ใดๆ ในรายการ การเข้าถึงตารางสามารถถูกจํากัดเพิ่มเติมได้โดยใช้การรักษาความปลอดภัยระดับแถวและ/หรือคอลัมน์ ชุดความปลอดภัยใดๆ จะนําไปใช้กับการเข้าถึงจากกลไกจัดการทั้งหมดใน Fabric สําหรับข้อมูลเพิ่มเติม โปรดดู แบบจําลองการควบคุมการเข้าถึงข้อมูล

สําหรับชนิดรายการเฉพาะ สามารถกําหนดค่าการเข้าถึง ReadWrite ได้ สิทธิ์นี้ช่วยให้ผู้ใช้สามารถแก้ไขข้อมูลในเลคเฮาส์บนตารางหรือโฟลเดอร์ที่ระบุโดยไม่ต้องให้สิทธิ์เข้าถึงเพื่อสร้างหรือจัดการรายการ Fabric การเข้าถึง ReadWrite ช่วยให้ผู้ใช้สามารถดําเนินการเขียนผ่านสมุดบันทึก Spark, OneLake file explorer หรือ OneLake API ไม่รองรับการดําเนินการเขียนผ่าน Lakehouse UX สําหรับผู้ชม

สร้างบทบาท

ใช้ขั้นตอนต่อไปนี้เพื่อสร้าง Security role ของ OneLake

1. เปิดรายการ Fabric ที่คุณต้องการกําหนดความปลอดภัย

2. เลือก จัดการความปลอดภัย OneLake (พรีวิว) จากเมนูรายการ

3. บนบานหน้าต่าง ความปลอดภัยของ OneLake (พรีวิว) ให้เลือก สร้าง

4. ระบุชื่อสําหรับบทบาทใหม่ที่ตรงตามหลักเกณฑ์ต่อไปนี้:

   • ชื่อบทบาทสามารถมีอักขระตัวอักษรและตัวเลขเท่านั้น
   • ชื่อบทบาทต้องขึ้นต้นด้วยตัวอักษร
   • ชื่อไม่คํานึงถึงตัวพิมพ์เล็กและตัวพิมพ์ใหญ่และต้องไม่ซ้ํากัน
   • ความยาวของชื่อสูงสุดคือ 128 อักขระ

5. เลือก ให้สิทธิ์ เป็นชนิดของบทบาท

6. เลือกสิทธิ์ที่คุณต้องการให้ อ่านจะถูกเลือกไว้อย่างน้อย และคุณสามารถเลือก ReadWrite ได้

7. หากคุณต้องการให้บทบาทนี้นําไปใช้กับตารางและไฟล์ทั้งหมดในเลคเฮาส์นี้ ให้เลือกการสลับ ข้อมูลทั้งหมด

   การเลือกนี้ยังให้การเข้าถึงโฟลเดอร์ใดๆ ที่เพิ่มเข้ามาในอนาคต

8. ถ้าคุณต้องการให้บทบาทนี้ใช้กับกลุ่มตารางและโฟลเดอร์ที่เลือกเท่านั้น ให้เลือกการสลับ ข้อมูลที่เลือก จากนั้น ใช้ขั้นตอนต่อไปนี้เพื่อกําหนดข้อมูลที่ได้รับอนุมัติสําหรับบทบาทนี้

   1. เลือก เรียกดู Lakehouse หรือเทียบเท่าสําหรับรายการที่คุณกําลังทํางานด้วย

      

   2. ขยายไดเร็กทอรีตารางและไฟล์เพื่อดูข้อมูลในเลคเฮาส์ของคุณ

   3. เลือกช่องถัดจากตารางและไฟล์ที่คุณต้องการให้บทบาทนําไปใช้

   4. เลือก เพิ่มข้อมูล เพื่อเพิ่มรายการที่เลือกลงในบทบาทของคุณ

9. ใช้กล่องข้อความ เพิ่มสมาชิกในบทบาทของคุณเพื่อ ป้อนชื่อหรือที่อยู่อีเมลของผู้ใช้ที่คุณต้องการรวมไว้ในบทบาทด้วยตนเอง หรือเลือก การกําหนดค่าขั้นสูง และทําตามคําแนะนําใน มอบหมายสมาชิกเสมือน

   วิธีเพิ่มสมาชิกด้วยตนเอง

   1. ป้อนชื่อหรือที่อยู่อีเมลของผู้ใช้
   2. เลือกชื่อที่ถูกต้องจากรายการที่แนะนํา
   3. เลือกไอคอนตรวจสอบเพื่อยืนยันการเลือกของคุณ หรือไอคอน X เพื่อล้างการเลือก

10. ตรวจสอบสรุป บทบาท ตัวอย่าง

    1. หากต้องการแก้ไขการแสดงตัวอย่างข้อมูล ให้เลือก เรียกดู Lakehouse และอัปเดตตารางและโฟลเดอร์ที่เลือก
    2. หากต้องการลบผู้ใช้ออกจากตัวอย่างสมาชิก ให้เลือกตัวเลือกเพิ่มเติม (...) ถัดจากชื่อ จากนั้น ลบออกจากบทบาท

11. เลือก สร้างบทบาท และรอการแจ้งเตือนว่าบทบาทได้รับการเผยแพร่เรียบร้อยแล้ว

แก้ไขบทบาท

ใช้ขั้นตอนต่อไปนี้เพื่อแก้ไข Security role ของ OneLake ที่มีอยู่

1. เปิดรายการที่คุณต้องการกําหนดความปลอดภัย

2. เลือก จัดการความปลอดภัย OneLake (พรีวิว) จากเมนูรายการ

3. บนบานหน้าต่าง ความปลอดภัยของ OneLake (พรีวิว) ให้เลือกบทบาทที่คุณต้องการแก้ไข

   การดําเนินการนี้จะเปิดหน้ารายละเอียดบทบาท ซึ่งรวมถึงสองแท็บ: ข้อมูลในบทบาท และ สมาชิกในบทบาท

4. ตรวจสอบข้อมูลในแท็บข้อมูล ในบทบาท :

   แท็บนี้แสดงข้อมูลทั้งหมดที่สมาชิกของบทบาทสามารถเข้าถึงได้

   ชื่อบทบาทจะบอกคุณว่าคุณกําลังดูบทบาทใด เมื่อต้องการแก้ไขชื่อบทบาท ให้เลือกดรอปดาวน์ แก้ไข ที่มุมขวาบน เลือก อัปเดตชื่อบทบาท ป้อนชื่อใหม่ แล้วยืนยันด้วยเครื่องหมายถูก คุณสามารถละทิ้งการเปลี่ยนแปลงของคุณโดยเลือก X

   รายการ สิทธิ์ที่ ด้านบนจะบอกคุณว่าบทบาทให้สิทธิ์ใดบ้างในปัจจุบัน เมื่อต้องการเปลี่ยนสิทธิ์ของบทบาท ให้เลือกดรอปดาวน์ แก้ไข ที่มุมขวาบน เลือก แก้ไขสิทธิ์ของบทบาท แก้ไขสิทธิ์ที่เลือกด้วยดรอปดาวน์ แล้วยืนยันด้วยเครื่องหมายถูก คุณสามารถละทิ้งการเปลี่ยนแปลงของคุณโดยเลือก X

   คอลัมน์ ข้อมูล แสดงชื่อของตารางหรือโฟลเดอร์ที่เป็นส่วนหนึ่งของการเข้าถึงบทบาท คุณสามารถขยายและยุบ Schema เพื่อดูรายการด้านล่างได้ วางเมาส์เหนือรายการเพื่อดูเส้นทางแบบเต็มของตารางหรือโฟลเดอร์ วางเมาส์เหนือ ... เพื่อดูตัวเลือกในการกําหนดค่าความปลอดภัยระดับแถวหรือความปลอดภัยระดับคอลัมน์ คู่มือ การรักษาความปลอดภัยระดับแถว และความปลอดภัย ระดับคอลัมน์ จะให้ข้อมูลเพิ่มเติมเกี่ยวกับวิธีการทํางาน

   คอลัมน์ ชนิด จะบอกชนิดของรายการที่เลือก ค่าคือ: Schemaตาราง หรือ โฟลเดอร์

   คอลัมน์ การเข้าถึงข้อมูล จะบ่งชี้ว่ามีการนําข้อจํากัดระดับแถวหรือคอลัมน์ใดๆ ไปใช้กับรายการหรือไม่ ไอคอนที่มีแม่กุญแจและเส้นแนวนอนบ่งชี้ว่ามีการใช้การรักษาความปลอดภัยระดับแถว ในขณะที่ไอคอนที่มีแม่กุญแจและเส้นแนวตั้งบ่งชี้ว่ามีการใช้การรักษาความปลอดภัยระดับคอลัมน์

5. หากต้องการแก้ไขข้อมูลที่รวมอยู่ในบทบาท ให้เลือก เพิ่มข้อมูล

   การดําเนินการนี้จะเปิดกล่องโต้ตอบการเลือกตารางและโฟลเดอร์

6. เลือกและยกเลิกการเลือกตารางหรือโฟลเดอร์เพื่อเพิ่มหรือลบออกจากบทบาท

7. เลือก เพิ่มข้อมูล เพื่อยืนยันการเลือกของคุณ

8. เลือกแท็บ สมาชิกในบทบาท เพื่อดูสมาชิกของบทบาท

   คอลัมน์ สมาชิก จะแสดงรูปโปรไฟล์และชื่อของสมาชิก

   คอลัมน์ ชนิด ระบุว่าสมาชิกเป็นผู้ใช้หรือกลุ่ม

   คอลัมน์ เพิ่ม โดยใช้ แสดงว่าผู้ใช้ถูกเพิ่มผ่านทางอีเมลเป็นสมาชิกของบทบาท หรือรวมเป็นส่วนหนึ่งของกลุ่มสิทธิ์เลคเฮาส์ สําหรับข้อมูลเพิ่มเติมเกี่ยวกับการเพิ่มผู้ใช้โดยใช้สิทธิ์ของรายการ โปรดดู การกําหนดสมาชิกเสมือน

9. หากต้องการแก้ไขสมาชิกของบทบาท ให้เลือก เพิ่มสมาชิก

10. เมื่อต้องการเพิ่มสมาชิกด้วยตนเอง ให้ป้อนชื่อหรืออีเมลในกล่องข้อความ เพิ่มสมาชิกในบทบาทของคุณ เลือกชื่อที่ถูกต้องจากรายการที่แนะนํา จากนั้นเลือกไอคอนตรวจสอบเพื่อยืนยันการเลือกของคุณ หรือเลือกไอคอน X เพื่อล้างการเลือก

11. หากต้องการลบผู้ใช้ออกจากบทบาท ให้เลือกตัวเลือกเพิ่มเติม (...) ถัดจากชื่อของพวกเขา แล้วเลือก ลบออกจากบทบาท

การเปลี่ยนแปลงใดๆ กับการเป็นสมาชิกบทบาทจะอัปเดตบทบาททันที การแจ้งเตือนจะระบุความสําเร็จหรือความล้มเหลวของการเปลี่ยนแปลงใดๆ

ลบบทบาท

ใช้ขั้นตอนต่อไปนี้เพื่อลบบทบาทการเข้าถึงข้อมูล OneLake

1. เปิดเลคเฮาส์ที่คุณต้องการกําหนดความปลอดภัย

2. เลือก จัดการความปลอดภัย OneLake (พรีวิว) จากเมนู Lakehouse

3. บนบานหน้าต่าง OneLake ความปลอดภัย (พรีวิว) ให้เลือกกล่องถัดจากบทบาทที่คุณต้องการลบ

4. เลือก ลบ และรอการแจ้งเตือนว่าบทบาทถูกลบเรียบร้อยแล้ว

มอบหมายสมาชิกหรือกลุ่ม

บทบาทความปลอดภัย OneLake รองรับสองวิธีในการเพิ่มผู้ใช้ในบทบาท วิธีหลักคือการเพิ่มผู้ใช้หรือกลุ่มลงในบทบาทโดยตรงโดยใช้กล่องเพิ่มบุคคลหรือกลุ่มบนหน้ามอบหมายบทบาท ประการที่สองคือการสร้างการเป็นสมาชิกเสมือนด้วยกลุ่มสิทธิ์โดยใช้ตัวควบคุมการกําหนดค่าขั้นสูง

การเพิ่มผู้ใช้โดยตรงในบทบาทจะเพิ่มผู้ใช้เป็นสมาชิกที่ชัดเจนของบทบาท ผู้ใช้เหล่านี้จะแสดงพร้อมกับชื่อและรูปภาพที่แสดงในรายการสมาชิก

สมาชิกเสมือนอนุญาตให้มีการปรับเปลี่ยนการเป็นสมาชิกของบทบาทแบบไดนามิกตาม สิทธิ์รายการ Fabric ของผู้ใช้ เมื่อเลือก การกําหนดค่าขั้นสูง และเลือกสิทธิ์ คุณจะเพิ่มผู้ใช้ใดๆ ในพื้นที่ทํางาน Fabric ที่มีสิทธิ์ที่เลือกทั้งหมดเป็นสมาชิกโดยนัยของบทบาท ตัวอย่างเช่น ถ้าคุณเลือก ReadAll, Write ผู้ใช้ใดๆ ของพื้นที่ทํางาน Fabric ที่มีสิทธิ์ ReadAll และ Write ในรายการจะรวมเป็นสมาชิกของบทบาท คุณสามารถดูได้ว่ากลุ่มสิทธิ์กําลังเพิ่มผู้ใช้รายใดโดยดูที่คอลัมน์ เพิ่มโดยใช้ ในแท็บ สมาชิกในบทบาท ไม่สามารถลบสมาชิกเหล่านี้ออกด้วยตนเองได้โดยตรง หากต้องการลบสมาชิกที่เพิ่มผ่านกลุ่มสิทธิ์ ให้ลบกลุ่มสิทธิ์ออกจากบทบาท

ไม่ว่าคุณจะใช้ชนิดการเป็นสมาชิกประเภทใด Security role ของ OneLake รองรับการเพิ่มผู้ใช้แต่ละราย กลุ่ม Microsoft Entra และหลักความปลอดภัย

มอบหมายสมาชิกเสมือน

สิทธิ์ที่สามารถใช้สําหรับสมาชิกเสมือนได้แก่:

• Read
• Write
• แชร์ต่อ
• ดำเนินการ
• ReadAll

เมื่อต้องการกําหนดผู้ใช้ที่มีกลุ่มสิทธิ์ ให้ใช้ขั้นตอนต่อไปนี้:

1. เลือกชื่อของบทบาทที่คุณต้องการมอบหมายสมาชิกให้

2. บนหน้ารายละเอียดบทบาท ให้เลือกแท็บ สมาชิกในบทบาท

3. เลือก เพิ่มสมาชิก

4. เลือก การกําหนดค่าขั้นสูง

   

5. ในกล่อง กลุ่มสิทธิ์ ให้เลือกกล่องกาเครื่องหมายถัดจากสิทธิ์แต่ละรายการที่คุณต้องการรวมผู้ใช้

   กลุ่มสิทธิ์แต่ละกลุ่มจะแสดงจํานวนผู้ใช้ที่รวมอยู่ในกลุ่มนั้น

   การเลือกกลุ่มสิทธิ์หลายกลุ่มจะรวมถึงผู้ใช้ที่มีสิทธิ์ที่จําเป็นทั้งหมดที่เลือก

6. เลือก เพิ่ม เพื่อรวมกลุ่มและบันทึกบทบาท

เนื้อหาที่เกี่ยวข้อง

• ภาพรวมความปลอดภัยของ Fabric
• ภาพรวมความปลอดภัยของ Fabric และ OneLake
• รูปแบบการควบคุมการเข้าถึงข้อมูล