OneLake 捷徑安全性
OneLake 捷徑可作為存放在各種儲存帳戶中的資料指標,無論是 OneLake 本身或 Azure Data Lake Storage (ADLS) 等外部系統。 本文將介紹建立捷徑與使用它們存取資料所需的權限。
為了確保捷徑元件的清晰度,本文使用下列術語:
- 目標路徑:捷徑指向的位置。
- 捷徑路徑:捷徑顯示的位置。
建立並刪除捷徑
若要建立捷徑,使用者需要對建立捷徑的 Fabric 項目具有寫入權限。 此外,使用者需要對捷徑指向資料的讀取存取權。 外部來源的捷徑可能需要外部系統中的某些權限。 什麼是捷徑? 本文章具有捷徑類型與所需權限的完整列表。
功能 | 捷徑路徑的權限 | 目標路徑的權限 |
---|---|---|
建立捷徑 | 寫入 | ReadAll1 |
刪除捷徑 | 寫入 | N/A |
1 如果 已啟用 OneLake 資料存取角色 ,則使用者必須處於授與目標路徑存取權的角色。
存取捷徑
捷徑路徑中的權限與目標路徑的組合會控制捷徑的權限。 當使用者存取捷徑時,會套用兩個位置中最嚴格的權限。 因此,在 Lakehouse 中具有讀取/寫入權限,但僅在目標路徑中讀取權限的使用者無法寫入目標路徑。 同樣地,只有在 Lakehouse 中具有讀取權限,但在目標路徑中讀取/寫入的使用者也無法寫入目標路徑。
下表顯示每個捷徑動作的捷徑相關權限。
功能 | 捷徑路徑的權限 | 目標路徑的權限 |
---|---|---|
讀取捷徑的文件/資料夾內容 | ReadAll1 | ReadAll1 |
寫入捷徑目標位置 | 寫入 | 寫入 |
透過 TDS 端點從 lakehouse 表格部分中的捷徑讀取資料 | 參閱 | ReadAll2 |
1 如果 已啟用 OneLake 資料存取角色 ,則使用者必須處於授與資料存取權限的角色。
重要
2 透過 Power BI 語義模型或 T-SQL 存取捷徑時, 呼叫使用者的身分識別不會傳遞至捷徑目標路徑。 會改為傳遞呼叫項目擁有者的身分識別,將存取權委派給呼叫使用者。
OneLake 資料存取角色
OneLake 資料存取角色 是一項新功能,可讓您將以角色型存取控制 (RBAC) 套用至儲存在 OneLake 中的資料。 您可定義安全性角色來針對 Fabric 項目的特定資料夾授予讀取存取權,並將其指派給使用者或群組。 存取權限決定使用者透過 lakehouse UX、筆記本或 OneLake API 存取資料湖檢視時,可看到哪些資料夾。 對於啟用預覽功能的項目,OneLake 資料存取角色也會決定使用者對捷徑方式的存取權。
無論定義的 OneLake 資料存取角色為何,管理員、成員與參與者角色的使用者都可以從捷徑讀取資料的完整存取權限。 但是,他們仍然需要存取捷徑與目標路徑,如 Workspace 角色所述。
具有檢視器角色或直接與他們共用 lakehouse 的使用者,會根據使用者是否透過 OneLake 資料存取角色具有存取權限,限制存取權限制。 如需具有捷徑的存取控制模型的詳細資訊,請參閱 OneLake 的資料存取控制模型。