OneLake veri erişim rollerini kullanmaya başlama (önizleme)

Genel bakış

Klasörler için OneLake veri erişim rolleri, OneLake'de depolanan verilerinize rol tabanlı erişim denetimi (RBAC) uygulamanızı sağlayan yeni bir özelliktir. Doku öğesi içindeki belirli klasörlere okuma erişimi veren güvenlik rolleri tanımlayabilir ve bunları kullanıcılara veya gruplara atayabilirsiniz. Erişim izinleri, kullanıcıların lakehouse UX, not defterleri veya OneLake API'leri aracılığıyla verilerin göl görünümüne erişirken hangi klasörleri göreceğini belirler.

Yönetici, Üye veya Katkıda Bulunan rollerindeki doku kullanıcıları, bir göl evinde yalnızca belirli klasörlere erişim vermek için OneLake veri erişim rolleri oluşturarak başlayabilir. Göl evindeki verilere erişim izni vermek için kullanıcıları bir veri erişim rolüne ekleyin. Veri erişim rolünün parçası olmayan kullanıcılar bu göl evinde veri görmez.

Not

Veri erişim rolü güvenliği YALNIZCA OneLake'e doğrudan erişen kullanıcılar için geçerlidir. SQL analytics uç noktaları, anlam modelleri ve ambarlar gibi yapı öğelerinin kendi güvenlik modelleri vardır ve onelake'e temsilci kimliği aracılığıyla erişir. Bu, kullanıcılara birden çok öğeye erişim verilirse her iş yükünde farklı öğeler görebileceği anlamına gelir.

Kabul etme

Doku'daki tüm lakehouse'larda veri erişim rolleri önizleme özelliği varsayılan olarak devre dışıdır. Önizleme özelliği göl başına temelinde yapılandırılır. Kabul etme denetimi, tek bir lakehouse'un önizlemeyi diğer göl evleri veya Doku öğelerinde etkinleştirmeden denemesine olanak tanır.

Önizlemeyi etkinleştirmek için çalışma alanında Yönetici, Üye veya Katkıda Bulunan olmanız gerekir. Bir lakehouse'a gidin ve şeritteki OneLake veri erişimini yönet (önizleme) düğmesini seçerek onay iletişim kutusunu açın. Veri erişim rolleri önizlemesi Dış veri paylaşımı önizlemesiyle uyumlu değildir. Değişiklikle ilgili bir sorun yoksa Devam'ı seçin. Rolleri yönet UX açılır ve özellik artık etkindir.

Önizleme özelliği etkinleştirildikten sonra kapatılamaz.

Sorunsuz bir katılım deneyimi sağlamak için lakehouse'daki verilere okuma izni olan tüm kullanıcılar okuma erişimine sahip olur. Erişim geçişi, "DefaultReader" adlı bir varsayılan veri erişim rolü oluşturularak yapılır. Sanallaştırılmış rol üyelikleri kullanıldığında, lakehouse'daki verileri görüntülemek için gerekli izinlere sahip olan tüm kullanıcılar (ReadAll izni) bu varsayılan rolün üyeleri olarak eklenir. Bu kullanıcılara erişimi kısıtlamaya başlamak için DefaultReader rolünün silindiğinden veya ReadAll izninin erişen kullanıcılardan kaldırıldığından emin olun.

Önemli

Veri erişim rolüne dahil olan kullanıcıların da DefaultReader rolünün parçası olmadığından emin olun. Aksi takdirde, verilere tam erişimi korurlar.

Hangi veri türlerinin güvenliği sağlanabilir?

OneLake veri erişim rolleri, bir göl evindeki klasörlere OneLake okuma erişimini yönetmek için kullanılabilir. Göl evindeki herhangi bir klasöre okuma erişimi verilebilir ve klasöre erişim varsayılan durum değildir. Veri erişim rolleri tarafından ayarlanan güvenlik, yalnızca OneLake veya OneLake'e özgü API'lere erişim için geçerlidir. Daha fazla bilgi için bkz . veri erişim denetimi modeli.

Önkoşullar

Bir göl evi güvenliğini yapılandırmak için çalışma alanı için Yönetici, Üye veya Katkıda Bulunan olmanız gerekir. Rol oluşturma ve üyelik ataması rol kaydedilir kaydedilmez geçerlilik kazanır, bu nedenle bir role birini eklemeden önce erişim vermek istediğinizden emin olun.

OneLake veri erişim rolleri yalnızca lakehouse öğeleri için desteklenir.

Rol oluşturma

1. Güvenliği tanımlamak istediğiniz lakehouse'ı açın.
2. Göl evi şeridinin sağ tarafında OneLake veri erişimini yönet (önizleme) seçeneğini belirleyin.
3. OneLake veri erişimini yönet bölmesinin sol üst kısmında Yeni Rol'e tıklayın ve istediğiniz rol adını yazın. Rol adının belirli kısıtlamaları vardır:
   1. Rol adı yalnızca alfasayısal karakterler içerebilir.
   2. Rol adı bir harfle başlamalıdır.
   3. Adlar büyük/küçük harfe duyarlı değildir ve benzersiz olmalıdır.
   4. Ad uzunluğu üst sınırı 128 karakterdir.
4. Bu rolün bu göl evindeki tüm klasörlere uygulanmasını istiyorsanız Tüm klasörler iki durumlu düğmesini seçin.
   1. Bu seçim, gelecekte eklenecek klasörleri içerir.
5. Bu rolün yalnızca seçili klasörlere uygulanmasını istiyorsanız Seçili klasörler'i seçin.
   1. Rolün uygulanmasını istediğiniz klasörlerin yanındaki kutuları işaretleyin.
   2. Roller klasörlere erişim verir. Kullanıcının klasöre erişmesine izin vermek için yanındaki kutuyu işaretleyin. Bir kullanıcının klasör görmemesi gerekiyorsa kutuyu işaretlemeyin.
   3. Rolünüzü oluşturmak için sol alttaki Kaydet'i seçin.
6. Sol üst kısımda Rol ata'yı seçerek rol üyeliği bölmesini açın.
7. Kişi veya grup ekle denetimine kişi, grup veya e-posta adresleri ekleyin. Daha fazla bilgi için bkz . Üye veya grup atama.
8. Seçiminizi Atanan kullanıcılar listesine taşımak için Ekle'yi seçin. Ekle'yi seçtiğinizde seçiminiz henüz kaydedilmez.
9. Kaydet'i seçin ve rollerin başarıyla yayımlandığını belirten bildirimi bekleyin.
10. Bölmeden çıkmak için sağ üstteki X işaretini seçin.

Rolü düzenleme

1. Güvenliği tanımlamak istediğiniz lakehouse'ı açın.
2. Göl evi şeridinin sağ tarafında OneLake veri erişimini yönet (önizleme) seçeneğini belirleyin.
3. OneLake veri erişimini yönet bölmesinde, düzenlemek istediğiniz rolün üzerine gelin ve seçin.
4. Her klasörün yanındaki onay kutularını seçerek veya seçimini kaldırarak erişim verilen klasörleri değiştirebilirsiniz.
5. Kişileri değiştirmek için Rol ata'yı seçin. Daha fazla bilgi için bkz . Üye veya grup atama.
6. Daha fazla kişi eklemek için Kişi veya grup ekle kutusuna adları yazın ve Ekle'yi seçin.
7. Kişileri kaldırmak için Atanan kullanıcılar'ın altında adlarını seçin ve Kaldır'ı seçin.
8. Kaydet'i seçin ve rollerin başarıyla yayımlandığını belirten bildirimi bekleyin.
9. Bölmeden çıkmak için sağ üstteki X işaretini seçin.

Rol silme

1. Güvenliği tanımlamak istediğiniz lakehouse'ı açın.
2. Göl evi şeridinin sağ tarafında OneLake veri erişimini yönet (önizleme) seçeneğini belirleyin.
3. OneLake veri erişimini yönet bölmesinde, silmek istediğiniz rollerin yanındaki kutuyu işaretleyin.
4. Sil'i seçin ve rollerin başarıyla silindiğini belirten bildirimi bekleyin.
5. Bölmeden çıkmak için sağ üstteki X işaretini seçin.

Üye veya grup atama

OneLake veri erişim rolleri, bir role kullanıcı eklemenin iki farklı yöntemini destekler. Ana yöntem, Rol ata sayfasındaki Kişi veya grup ekle kutusunu kullanarak kullanıcıları veya grupları doğrudan bir role eklemektir. İkincisi, Lakehouse izin denetimine göre kullanıcı ekle ile sanal üyelikleri kullanmaktır .

Kişi veya grup ekle kutusuyla kullanıcıları doğrudan bir role eklemek, kullanıcıları rolün açık üyeleri olarak ekler. Bu kullanıcılar, Atanan kişiler ve gruplar listesinde adları ve resimleriyle gösterilir.

Sanal üyeler, rolün üyeliğinin kullanıcıların Yapı öğesi izinlerine göre dinamik olarak ayarlanmasını sağlar. Lakehouse izinlerine göre kullanıcı ekle kutusunu seçip bir izin seçerek, Doku çalışma alanına seçili tüm izinlere sahip olan tüm kullanıcıları rolün örtük üyesi olarak eklersiniz. Örneğin, ReadAll, Write seçeneğini belirlediyseniz, öğe için ReadAll VE Write izinlerine sahip doku çalışma alanının herhangi bir kullanıcısı rolün üyesi olarak eklenir. Atanan kullanıcılar listesindeki Atanan sütunu altındaki "Lakehouse izinleri" değerini arayarak hangi kullanıcıların sanal üye olarak eklendiğini görebilirsiniz. Bu üyeler el ile kaldırılamaz ve atanmaması için ilgili Doku izinlerinin iptal edilmesi gerekir.

Hangi üyelik türünden bağımsız olarak, veri erişim rolleri tek tek kullanıcıların, Microsoft Entra gruplarının ve güvenlik sorumlularının eklenmesini destekler.

Üye atama

Üye atama sayfasına gitmek için iki yol vardır:

1. Yöntem

1. Üye atamak istediğiniz rolün adını seçin.
2. Rol ayrıntıları sayfasının üst kısmında Rol ata'yı seçin.

2. Yöntem

1. Rol listesinden, üye atamak istediğiniz rolün yanındaki onay kutusunu seçin.
2. Ata'yı seçin.

Kullanıcıları doğrudan atama

Rol ata sayfasında, Kişi veya grup ekle kutusuna adlarını veya e-posta adreslerini yazarak üye veya grup ekleyebilirsiniz. Bu kullanıcıyı eklemek istediğiniz sonucu seçin. Bu adımı istediğiniz kadar kullanıcı için yineleyebilirsiniz. Yanlış kullanıcıları seçtiyseniz, girdilerinin yanındaki X işaretini seçerek bunları kutudan kaldırabilir veya tüm girişleri kaldırmak için Temizle'yi seçebilirsiniz. İşiniz bittiğinde, seçili kullanıcıları erişim listesine taşımak için Ekle'yi seçin. Bunları listeye eklemek henüz kaydedilmez. Bu kullanıcılar eklendikten sonra rol üyeliği listesinin önizlemesi olur ve yeni eklenen kullanıcıların adının yanında bir gösterge olur.

Erişim değişikliklerini yayımlamak için bölmenin alt kısmındaki Kaydet'i seçin.

Sanal üye atama

Sanal üye eklemek için Lakehouse izinlerine göre kullanıcı ekle kutusunu kullanın. Sanallaştırmak için Doku izinlerini seçmek üzere açılan liste seçiciyi açmak için kutuyu seçin. Tüm denetlenen izinlere sahip olan kullanıcılar sanallaştırılır.

Sanallaştırma için kullanılabilecek izinler şunlardır:

• Okundu
• Yaz
• Yeniden paylaş
• Yürütme
• ReadAll

İzinleri seçtikten sonra Ekle'yi seçerek Atanan kullanıcılar listesini değişikliklerle güncelleştirin. Kullanıcıların adlarının yanında, göl evi izinleri tarafından atandıklarını belirten bir metin vardır. Bu kullanıcılar rol atamasından el ile kaldırılamaz. Bunun yerine, Lakehouse izinlerine göre kullanıcı ekle denetiminden ilgili izinleri kaldırın veya Doku iznini kaldırın.

Bilinen sorunlar

Dış veri paylaşımı önizleme özelliği, veri erişim rolleri önizlemesiyle uyumlu değildir. Bir göl evinde veri erişim rolleri önizlemesini etkinleştirdiğinizde, mevcut tüm dış veri paylaşımları çalışmayı durdurabilir.

İlgili içerik

• Doku Güvenliği'ne genel bakış
• Doku ve OneLake güvenliğine genel bakış
• Veri Erişim Denetim Modeli