開始使用 OneLake 安全性 （預覽版）

OneLake 安全性可讓您將角色型存取控制 （RBAC） 套用至儲存在 OneLake 中的資料。 你可以定義安全角色，授權存取 Fabric 項目中特定資料夾，然後將這些角色指派給使用者或群組。 角色也可以包含列或直欄層級安全性，以進一步限制存取。 OneLake 安全性許可權會決定使用者可以在 Fabric 中的所有體驗中看到哪些資料。

具有寫入和重新共用許可權的 Fabric 使用者 （通常是管理員和成員工作區使用者） 可以建立 OneLake 資訊安全角色來開始，以僅授與 Fabric 資料專案中特定資料夾或資料表的存取權。 若要授與項目中資料的存取權，請將使用者新增至資料存取角色。 不屬於資料存取角色的使用者不會看到該項目中的資料。

先決條件

若要設定 OneLake 安全性，您必須是工作區中的系統管理員或成員，或具有寫入和重新共用許可權。 角色建立和成員資格指派會在儲存角色後立即生效，因此請確定您要先授予存取權，再將某人新增至角色。

下表列出哪些資料項目支援 OneLake 安全：

布料項目	地位	支援的權限
Lakehouse	Preview	讀取、讀取寫入
Azure Databricks 鏡像目錄	Preview	參閱

如何選擇加入

OneLake 的安全目前處於預覽階段，因此預設是被停用的。 預覽功能是根據每個項目進行設定。 選擇加入控制項允許單一專案嘗試預覽，而不需在任何其他 Fabric 專案上啟用它。

預覽功能一旦啟用就無法關閉。

1. 流覽至 Lakehouse，然後選取 [管理 OneLake 安全性 （預覽版）]。
2. 檢閱確認對話方塊。 資料存取角色預覽與外部資料共用預覽不相容。 如果您同意變更，請選取 [繼續]。

為了確保順暢的選擇加入體驗，所有對項目中資料具有讀取權限的使用者，都會透過名為 DefaultReader 的預設資料存取角色繼續擁有讀取存取權。 透過 虛擬角色成員制，所有擁有查看湖屋資料（ReadAll權限）權限的使用者，都會被納入此預設角色。 若要開始限制對這些使用者的存取，請刪除 DefaultReader 角色，或移除存取使用者的 ReadAll 權限。

這很重要

請確定已從 DefaultReader 角色中移除資料存取角色中包含的任何使用者。 否則，他們會保持對資料的完整存取權。

哪些類型的資料可以受到保護？

使用 OneLake 資訊安全角色來管理專案中任何資料表或資料夾的 OneLake 讀取存取權。 可以使用列和/或資料行層級安全性進一步限制對表格的存取。 任何安全性集都適用於從 Fabric 中所有引擎的存取。 如需詳細資訊，請參閱 資料存取控制模型。

針對特定項目類型，也可以設定 ReadWrite 存取權限。 此權限讓使用者能在指定的表格或資料夾中編輯湖屋中的資料，且不允許使用者建立或管理 Fabric 項目。 ReadWrite 存取允許使用者透過 Spark 筆記本、OneLake 檔案總管或 OneLake API 執行寫入操作。 不支援讓觀眾透過 Lakehouse UX 寫入操作。

建立角色

使用下列步驟來建立 OneLake 資訊穩定角色。

1. 開啟您要定義安全性的 Fabric 專案。

2. 從項目功能表中選取 [管理 OneLake 安全性 （預覽版） ]。

3. 在 [OneLake 安全性 （預覽）] 窗格中，選取 [ 新增]。

4. 提供符合下列準則的新角色名稱：

   • 角色名稱只能包含英數字元。
   • 角色名稱必須以字母開頭。
   • 名稱不區分大小寫，且必須是唯一的。
   • 名稱長度上限為 128 個字元。

5. 選擇 授予 作為職務類型。

6. 選擇你想授予的權限。 讀取是最基本的選項，你也可以選擇讀寫。

7. 如果您想要將此角色套用至此 Lakehouse 中的所有資料表和檔案，請選取 [ 所有資料 ] 切換。

   此選項也可讓您存取未來新增的任何資料夾。

8. 如果您希望此角色僅套用至選取的資料表和資料夾群組，請選取 [選取的資料] 切換。 然後，使用下列步驟來定義此角色的核准資料。

   1. 選擇 Browse Lakehouse 或你正在處理的項目的等效選項。

      

   2. 展開 [資料表 ] 和 [檔案 ] 目錄，以檢視 Lakehouse 中的資料。

   3. 核取您要套用角色的資料表和檔案旁邊的方塊。

   4. 選取 [ 新增資料 ] 以將選取的專案新增至您的角色。

9. 使用 [ 將成員新增至您的角色 ] 文字方塊，手動輸入您要包含在角色中的使用者名稱或電子郵件地址。 或者，選取進 階設定 ，然後遵循 指派虛擬成員中的指引。

   若要手動新增成員：

   1. 輸入使用者的名稱或電子郵件地址。
   2. 從建議的清單中選取正確的名稱。
   3. 選取核取圖示以確認您的選取，或選取 X 圖示以清除選取範圍。

10. 檢閱 預覽角色 摘要。

    1. 若要編輯資料預覽，請選取 [ 瀏覽 Lakehouse ]，然後更新選取的資料表和資料夾。
    2. 若要從成員預覽中移除使用者，請選取其名稱旁邊的更多選項 （...），然後選取 [從角色移除]。

11. 選取 [ 建立角色 ]，然後等候角色已成功發佈的通知。

編輯角色

使用下列步驟來編輯現有的 OneLake 資訊安全角色。

1. 開啟您要定義安全性的項目。

2. 從項目功能表中選取 [管理 OneLake 安全性 （預覽版） ]。

3. 在 [OneLake 安全性 （預覽）] 窗格中，選取您要編輯的角色。

   此動作會開啟角色詳細資料頁面，其中包含兩個索引標籤：角色中的資料和角色中的成員。

4. 檢閱 [角色中的資料 ] 索引標籤中的資訊：

   此索引標籤會顯示角色成員可以存取的所有資料。

   職缺名稱告訴你你在看的是哪個職位。 要編輯角色名稱，請在右上角選擇「 編輯 」下拉選單，選擇 「更新角色名稱」，輸入新名稱，然後用勾選確認。 你可以選擇 X 來丟棄你的變更。

   頂部的 權限 項目會告訴你該角色目前授予的權限。 要更改角色權限，請在右上角選擇「 編輯 」下拉選單，選擇 「編輯角色權限」，再用下拉選單編輯所選權限，然後用勾選標記確認。 你可以選擇 X 來丟棄你的變更。

   資料欄會顯示屬於角色存取權一部分的資料表或資料夾名稱。 您可以展開和收合結構描述以檢視下面的項目。 將滑鼠移到某個條目上即可查看表格或資料夾的完整路徑。 將滑鼠移到 ...... 上方可查看設定 列級安全 或 欄級安全性的選項。 資料列層級安全性和資料行層級安全性指南提供有關其運作方式的詳細資訊。

   類型欄會告訴您所選取項目的類型。 值為： Schema、 Table 或 Folder。

   「資料存取」欄會指出是否將任何列或欄層級限制套用至項目。 具有鎖定和水平線的圖示表示已套用列層次安全性，而具有鎖定和垂直線的圖示表示已套用直欄層次安全性。

5. 若要編輯角色中包含的資料，請選取 [ 新增資料]。

   此動作會開啟表格和資料夾選取對話方塊。

6. 核取和取消核取表格或資料夾，以在角色中新增或移除它們。

7. 選取 [ 新增資料 ] 以確認您的選取項目。

8. 選取角色中的成員索引標籤，以檢視角色的成員。

   成員欄顯示成員的個人資料圖片和姓名。

   「類型」欄會指出成員是使用者還是群組。

   [ 新增的使用] 資料行表示使用者是透過其電子郵件新增為角色的成員，還是包含在 Lakehouse 許可權群組中。 如需有關使用項目權限新增使用者的詳細資訊，請參閱 指派虛擬成員。

9. 若要編輯角色的成員，請選取 新增成員。

10. 若要手動新增成員，請在 [ 將成員新增至您的角色 ] 文字方塊中輸入名稱或電子郵件。 從建議的清單中選取正確的名稱。 然後，選取核取圖示以確認您的選擇，或選取 X 圖示以清除選取。

11. 若要從角色中移除使用者，請選取其名稱旁的更多選項 （...），然後選取 [從角色中移除]。

對角色成員資格進行任何變更會立即更新角色。 通知會指出任何變更的成功或失敗。

刪除角色

使用下列步驟來刪除 OneLake 資料存取角色。

1. 開啟您要定義安全性的 Lakehouse。

2. 從 [Lakehouse] 功能表中選取 [管理 OneLake 安全性 （預覽版） ]。

3. 在 [OneLake 安全性 （預覽）] 窗格中，核取您要刪除的角色旁的方塊。

4. 選取 [刪除] ，然後等待角色已成功刪除的通知。

指派成員或群組

OneLake 資訊安全角色支援兩種將使用者新增至角色的方法。 主要方法是使用 [指派角色] 頁面上的 [新增人員或群組] 方塊，將使用者或群組直接新增至角色。 第二種是使用 進階組態 控制項建立具有權限群組的虛擬成員資格。

將使用者直接新增至角色會將使用者新增為角色的明確成員。 這些使用者會顯示其名稱和圖片，並顯示在 「成員」 清單中。

虛擬成員允許根據使用者的 Fabric 項目權限 動態調整角色的成員資格。 藉由選取 [ 進階設定 ] 並選取許可權，您可以在 Fabric 工作區中新增具有所有所選許可權的任何使用者，做為角色的隱含成員。 例如，如果您選擇 [讀取全部]、[寫入]， 則具有專案 [讀取全部] 和 [寫入] 許可權的 Fabric 工作區的任何使用者都會包含在角色的成員中。 您可以查看 [角色中的成員] 索引標籤中的 [新增方式] 欄，查看權限群組正在新增哪些使用者。無法直接手動移除這些成員。 若要移除透過權限群組新增的成員，請從角色中移除權限群組。

無論您使用哪種成員資格類型，OneLake 資訊穩定角色都支援新增個別使用者、Microsoft Entra 群組和安全性主體。

指派虛擬成員

可用於虛擬成員的權限包括：

• 參閱
• 書寫
• 重新分享
• Execute
• ReadAll

若要指派具有權限群組的使用者，請使用下列步驟：

1. 選取您要指派成員的角色名稱。

2. 在角色詳細資料頁面上，選取 角色中的成員索引 標籤。

3. 選取 [新增成員]。

4. 選取 [進階設定]。

   

5. 在 [權限群組] 方塊中，選取您要包含使用者之每個權限旁的核取方塊。

   每個權限群組都會顯示該群組中包含的使用者數量計數。

   選取多個權限群組會包含具有所有所選必要權限的使用者。

6. 選取 [ 新增 ] 以包含群組並儲存角色。

相關內容

• Fabric Security 概觀
• Fabric 和 OneLake 安全性概觀
• 資料存取控制模型