OneLake veri erişim rollerini kullanmaya başlama (önizleme)

Genel bakış

Klasörler için OneLake veri erişim rolleri, OneLake'de depolanan verilerinize rol tabanlı erişim denetimi (RBAC) uygulamanızı sağlayan yeni bir özelliktir. Doku öğesi içindeki belirli klasörlere okuma erişimi veren güvenlik rolleri tanımlayabilir ve bunları kullanıcılara veya gruplara atayabilirsiniz. Erişim izinleri, kullanıcıların lakehouse UX, not defterleri veya OneLake API'leri aracılığıyla verilerin göl görünümüne erişirken hangi klasörleri göreceğini belirler.

Yönetici, Üye veya Katkıda Bulunan rollerindeki doku kullanıcıları, bir göl evinde yalnızca belirli klasörlere erişim vermek için OneLake veri erişim rolleri oluşturarak başlayabilir. Göl evindeki verilere erişim izni vermek için kullanıcıları bir veri erişim rolüne ekleyin. Veri erişim rolünün parçası olmayan kullanıcılar bu göl evinde veri görmez.

Not

Veri erişim rolü güvenliği YALNIZCA OneLake'e doğrudan erişen kullanıcılar için geçerlidir. SQL Uç Noktası, Anlam modelleri ve Ambarlar gibi doku öğelerinin kendi güvenlik modelleri vardır ve temsilci kimliği aracılığıyla OneLake'e erişir. Bu, kullanıcılara birden çok öğeye erişim verilirse her deneyimde farklı öğeler görebileceği anlamına gelir.

Kabul etme

Doku'daki tüm lakehouse'larda veri erişim rolleri önizleme özelliği varsayılan olarak devre dışıdır. Önizleme özelliği göl başına temelinde yapılandırılır. Kabul etme denetimi, tek bir lakehouse'un önizlemeyi diğer göl evleri veya Doku öğelerinde etkinleştirmeden denemesine olanak tanır.

Önizlemeyi etkinleştirmek için çalışma alanında Yönetici, Üye veya Katkıda Bulunan olmanız gerekir. Bir lakehouse'a gidin ve şeritteki OneLake veri erişimini yönet (önizleme) düğmesini seçerek onay iletişim kutusunu açın. Veri erişim rolleri önizlemesi Dış veri paylaşımı önizlemesiyle uyumlu değildir. Değişiklikle ilgili bir sorun yoksa Devam'ı seçin. Rolleri yönet UX açılır ve özellik artık etkindir.

Önizleme özelliği etkinleştirildikten sonra kapatılamaz.

Sorunsuz bir katılım deneyimi sağlamak için lakehouse'daki verilere okuma izni olan tüm kullanıcılar okuma erişimine sahip olur. Erişim geçişi, "DefaultReader" adlı bir varsayılan veri erişim rolü oluşturularak yapılır. Sanallaştırılmış rol üyelikleri kullanıldığında, lakehouse'daki verileri görüntülemek için gerekli izinlere sahip olan tüm kullanıcılar (ReadAll izni) bu varsayılan rolün üyeleri olarak eklenir. Bu kullanıcılara erişimi kısıtlamaya başlamak için DefaultReader rolünün silindiğinden veya ReadAll izninin erişen kullanıcılardan kaldırıldığından emin olun.

Önemli

Veri erişim rolüne dahil olan kullanıcıların da DefaultReader rolünün parçası olmadığından emin olun. Aksi takdirde, verilere tam erişimi korurlar.

Hangi veri türlerinin güvenliği sağlanabilir?

OneLake veri erişim rolleri, bir göl evindeki klasörlere OneLake okuma erişimini yönetmek için kullanılabilir. Göl evindeki herhangi bir klasöre okuma erişimi verilebilir ve klasöre erişim varsayılan durum değildir. Veri erişim rolleri tarafından ayarlanan güvenlik, yalnızca OneLake veya OneLake'e özgü API'lere erişim için geçerlidir. Daha fazla bilgi için bkz . veri erişim denetimi modeli.

Önkoşullar

Bir göl evi güvenliğini yapılandırmak için çalışma alanı için Yönetici, Üye veya Katkıda Bulunan olmanız gerekir. Rol oluşturma ve üyelik ataması rol kaydedilir kaydedilmez geçerlilik kazanır, bu nedenle bir role birini eklemeden önce erişim vermek istediğinizden emin olun.

OneLake veri erişim rolleri yalnızca lakehouse öğeleri için desteklenir.

Rol oluşturma

1. Güvenliği tanımlamak istediğiniz lakehouse'ı açın.
2. Göl evi şeridinin sağ tarafında OneLake veri erişimini yönet (önizleme) seçeneğini belirleyin.
3. OneLake veri erişimini yönet bölmesinin sol üst kısmında Yeni Rol'e tıklayın ve istediğiniz rol adını yazın. Rol adının belirli kısıtlamaları vardır:
   1. Rol adı yalnızca alfasayısal karakterler içerebilir.
   2. Rol adı bir harfle başlamalıdır.
   3. Adlar büyük/küçük harfe duyarlı değildir ve benzersiz olmalıdır.
   4. Ad uzunluğu üst sınırı 128 karakterdir.
4. Bu rolün bu göl evindeki tüm klasörlere uygulanmasını istiyorsanız Tüm klasörler iki durumlu düğmesini seçin.
   1. Bu seçim, gelecekte eklenecek klasörleri içerir.
5. Bu rolün yalnızca seçili klasörlere uygulanmasını istiyorsanız Seçili klasörler'i seçin.
   1. Rolün uygulanmasını istediğiniz klasörlerin yanındaki kutuları işaretleyin.
   2. Roller klasörlere erişim verir. Kullanıcının klasöre erişmesine izin vermek için yanındaki kutuyu işaretleyin. Bir kullanıcının klasör görmemesi gerekiyorsa kutuyu işaretlemeyin.
   3. Rolünüzü oluşturmak için sol alttaki Kaydet'i seçin.
6. Sol üst kısımda Rol ata'yı seçerek rol üyeliği bölmesini açın.
7. Kişi veya grup ekle denetimine kişi, grup veya e-posta adresleri ekleyin. Daha fazla bilgi için bkz . Üye veya grup atama.
8. Seçiminizi Atanan kişiler ve gruplar listesine taşımak için Ekle'yi seçin. Ekle'yi seçtiğinizde seçiminiz henüz kaydedilmez.
9. Kaydet'i seçin ve rollerin başarıyla yayımlandığını belirten bildirimi bekleyin.
10. Bölmeden çıkmak için sağ üstteki X işaretini seçin.

Rolü düzenleme

1. Güvenliği tanımlamak istediğiniz lakehouse'ı açın.
2. Göl evi şeridinin sağ tarafında OneLake veri erişimini yönet (önizleme) seçeneğini belirleyin.
3. OneLake veri erişimini yönet bölmesinde, düzenlemek istediğiniz rolün üzerine gelin ve seçin.
4. Her klasörün yanındaki onay kutularını seçerek veya seçimini kaldırarak erişim verilen klasörleri değiştirebilirsiniz.
5. Kişileri değiştirmek için Rol ata'yı seçin. Daha fazla bilgi için bkz . Üye veya grup atama.
6. Daha fazla kişi eklemek için Kişi veya grup ekle kutusuna adları yazın ve Ekle'yi seçin.
7. Kişileri kaldırmak için Atanan kişiler ve gruplar'ın altında adlarını ve ardından Kaldır'ı seçin.
8. Kaydet'i seçin ve rollerin başarıyla yayımlandığını belirten bildirimi bekleyin.
9. Bölmeden çıkmak için sağ üstteki X işaretini seçin.

Rol silme

1. Güvenliği tanımlamak istediğiniz lakehouse'ı açın.
2. Göl evi şeridinin sağ tarafında OneLake veri erişimini yönet (önizleme) seçeneğini belirleyin.
3. OneLake veri erişimini yönet bölmesinde, silmek istediğiniz rollerin yanındaki kutuyu işaretleyin.
4. Sil'i seçin ve rollerin başarıyla silindiğini belirten bildirimi bekleyin.
5. Bölmeden çıkmak için sağ üstteki X işaretini seçin.

Üye veya grup atama

OneLake veri erişim rolleri, bir role kullanıcı eklemenin iki farklı yöntemini destekler. Ana yöntem, Rol ata sayfasındaki Kişi veya grup ekle kutusunu kullanarak kullanıcıları veya grupları doğrudan bir role eklemektir. İkincisi, tüm bu izinlere sahip kullanıcıları otomatik olarak ekle denetimiyle sanal üyelikleri kullanmaktır .

Kişi veya grup ekle kutusuyla kullanıcıları doğrudan bir role eklemek, kullanıcıları rolün açık üyeleri olarak ekler. Bu kullanıcılar, Atanan kişiler ve gruplar listesinde yalnızca adları ve resimleriyle gösterilir.

Sanal üyeler, rolün üyeliğinin kullanıcıların Yapı öğesi izinlerine göre dinamik olarak ayarlanmasını sağlar. Tüm bu izinlere sahip kullanıcıları otomatik olarak ekle kutusunu seçip bir izin seçerek, Tüm seçili izinlere sahip olan kullanıcıları Yapı çalışma alanına rolün örtük bir üyesi olarak eklersiniz. Örneğin, ReadAll, Write seçeneğini belirlediyseniz, Lakehouse'da ReadAll VE Write izinlerine sahip doku çalışma alanının tüm kullanıcıları rolün üyesi olarak eklenir. Atanan kişiler ve gruplar listesinde adlarının altındaki "Çalışma alanı izinleri tarafından atanan" metnini arayarak hangi kullanıcıların sanal üye olarak eklendiğini görebilirsiniz. Bu üyeler el ile kaldırılamaz ve atanmaması için ilgili Doku izinlerinin iptal edilmesi gerekir.

Hangi üyelik türünden bağımsız olarak, veri erişim rolleri tek tek kullanıcıların, Microsoft Entra gruplarının ve güvenlik sorumlularının eklenmesini destekler.

Üye atama

Üye atama sayfasına gitmek için iki yol vardır:

1. Yöntem

1. Üye atamak istediğiniz rolün adını seçin.
2. Rol ayrıntıları sayfasının üst kısmında Rol ata'yı seçin.

2. Yöntem

1. Rol listesinden, üye atamak istediğiniz rolün yanındaki onay kutusunu seçin.
2. Ata'yı seçin.

Kullanıcıları doğrudan atama

Rol ata sayfasında, Kişi veya grup ekle kutusuna adlarını veya e-posta adreslerini yazarak üye veya grup ekleyebilirsiniz. Bu kullanıcıyı seçmek istediğiniz sonucu seçin. Bu adımı istediğiniz kadar kullanıcı için yineleyebilirsiniz. Yanlış kullanıcıları seçtiyseniz, girdilerinin yanındaki X işaretini seçerek bunları kutudan kaldırabilir veya tüm girişleri kaldırmak için Temizle'yi seçebilirsiniz. İşiniz bittiğinde, seçili kullanıcıları erişim listesine taşımak için Ekle'yi seçin. Bunları listeye eklemek henüz kaydedilmez. Bu kullanıcılar eklendikten sonra rol üyeliği listesinin önizlemesi olur.

Erişim değişikliklerini yayımlamak için bölmenin alt kısmındaki Kaydet'i seçin.

Sanal üye atama

Sanal üye eklemek için Tüm bu izinlere sahip kullanıcıları otomatik olarak ekle kutusunu kullanın. Sanallaştırmak için Doku izinlerini seçmek üzere açılan liste seçiciyi açmak için kutuyu seçin. Tüm denetlenen izinlere sahip olan kullanıcılar sanallaştırılır.

Sanallaştırma için kullanılabilecek izinler şunlardır:

• Okundu
• Yaz
• Yeniden paylaş
• Yürütme
• ReadAll
• ViewOutput
• ViewLogs

İzin seçildikten sonra, sanallaştırılmış üyeler Atanan kişiler ve gruplar listesinde gösterilir. Kullanıcıların adlarının yanında çalışma alanı izinleri tarafından atandıklarını belirten metinler bulunur. Bu kullanıcılar rol atamasından el ile kaldırılamaz. Bunun yerine, sanallaştırma denetiminden ilgili izinleri kaldırın veya Doku iznini kaldırın.

Bilinen sorunlar

Dış veri paylaşımı önizleme özelliği (bağlantı), veri erişim rolleri önizlemesiyle uyumlu değildir. Bir göl evinde veri erişim rolleri önizlemesini etkinleştirdiğinizde, mevcut tüm dış veri paylaşımları çalışmayı durdurabilir.

İlgili içerik

• Doku Güvenliği'ne genel bakış

• Doku ve OneLake güvenliğine genel bakış

• Veri Erişim Denetim Modeli