OneLake 安全性可讓您將角色型存取控制 (RBAC) 套用至儲存在 OneLake 中的資料。 你可以定義安全角色,授權存取 Fabric 項目中特定資料夾,然後將這些角色指派給使用者或群組。 角色也可以包含列或直欄層級安全性,以進一步限制存取。 OneLake 安全性許可權會決定使用者可以在 Fabric 中的所有體驗中看到哪些資料。
具有寫入和重新共用許可權的 Fabric 使用者 (通常是管理員和成員工作區使用者) 可以建立 OneLake 資訊安全角色來開始,以僅授與 Fabric 資料專案中特定資料夾或資料表的存取權。 若要授與項目中資料的存取權,請將使用者新增至資料存取角色。 不屬於資料存取角色的使用者不會看到該項目中的資料。
哪些類型的資料可以受到保護?
使用 OneLake 安全角色來管理 OneLake 對支援資料項目中任何資料表或資料夾的讀取權限。 可以使用列和/或資料行層級安全性進一步限制對表格的存取。 任何安全性集都適用於從 Fabric 中所有引擎的存取。 如需詳細資訊,請參閱 資料存取控制模型。
針對特定項目類型,也可以設定 ReadWrite 存取權限。 此權限讓使用者能在指定的表格或資料夾中編輯湖屋中的資料,且不允許使用者建立或管理 Fabric 項目。 ReadWrite 存取允許使用者透過 Spark 筆記本、OneLake 檔案總管或 OneLake API 執行寫入操作。 不支援讓觀眾透過 Lakehouse UX 寫入操作。
以下資料項目支援 OneLake 安全:
| 布料項目 | 地位 | 支援的權限 |
|---|---|---|
| Lakehouse | Preview | 讀取、讀取寫入 |
| Azure Databricks 鏡像目錄 | Preview | 參閱 |
| 鏡像資料庫 | Preview | 參閱 |
啟用 OneLake 安全性
OneLake 的安全目前處於預覽階段,因此預設是被停用的。 預覽功能是根據每個項目進行設定。 選擇加入控制項允許單一專案嘗試預覽,而不需在任何其他 Fabric 專案上啟用它。
預覽功能一旦啟用就無法關閉。
- 流覽至 Lakehouse,然後選取 [管理 OneLake 安全性 (預覽版)]。
- 檢閱確認對話方塊。 資料存取角色預覽與外部資料共用預覽不相容。 如果您同意變更,請選取 [繼續]。
- 啟用 OneLake 安全後,你可以 建立並管理 OneLake 安全角色 ,以保護對 OneLake 項目的資料存取。
為了確保順暢的選擇加入體驗,所有對項目中資料具有讀取權限的使用者,都會透過名為 DefaultReader 的預設資料存取角色繼續擁有讀取存取權。 透過 虛擬角色成員制,所有擁有查看湖屋資料(ReadAll權限)權限的使用者,都會被納入此預設角色。 若要開始限制對這些使用者的存取,請刪除 DefaultReader 角色,或移除存取使用者的 ReadAll 權限。
這很重要
請確定已從 DefaultReader 角色中移除資料存取角色中包含的任何使用者。 否則,他們會保持對資料的完整存取權。