Как работает совместное использование Lakehouse

При совместном использовании lakehouse вы предоставляете другим пользователям или группам доступ к озеру, не предоставляя доступ к рабочей области и остальным её элементам. Чтобы просмотреть список элементов, которыми другие поделились с вами, выберите Обзор на панели навигации Fabric, а затем выберите Поделились со мной. Вы также можете увидеть лейкхаусы, которые другие пользователи предоставили вам в каталоге OneLake.

Совместное использование lakehouse также предоставляет доступ к конечной точке аналитики SQL.

Перед тем как поделиться

Перед предоставлением общего доступа к озеру убедитесь, что выполнены следующие предварительные требования:

  • У вас есть разрешение на общий доступ к элементу. Роли администратора рабочей области и участника по умолчанию могут предоставлять общий доступ. Роли участника рабочей области и средства просмотра могут предоставлять общий доступ только в том случае, если им предоставлено разрешение на общий доступ ( повторное использование) в lakehouse. Дополнительные сведения см. в разделе Роли в рабочих пространствах и Совместное использование элементов в Microsoft Fabric.
  • Получатели имеют доступ к арендатору вашей организации и могут получать ссылки для совместного использования.
  • Вы понимаете, что общий доступ предоставляет только доступ для чтения. Это не предоставляет доступ к рабочему пространству или права на запись.

Общий доступ и разрешения

По умолчанию предоставление доступа к lakehouse предоставляет разрешение Fabric Read на lakehouse и связанную конечную точку SQL-аналитики. Общий доступ Lakehouse не предоставляет разрешения на запись— общие пользователи могут считывать данные, но не могут изменять их.

Вы также можете предоставить дополнительные разрешения:

Разрешение Что это позволяет
Прочитайте Откройте элемент общего озерного хранилища.
Конечная точка SQL-аналитики: прочитать всё Чтение данных из конечной точки аналитики SQL с помощью T-SQL без использования политики SQL.
Чтение всех данных с Apache Spark Используйте API Apache Spark и OneLake для чтения данных Lakehouse.
ПодпискаНаOneLakeEvents Подпишитесь на события OneLake, созданные для озерохранилища.

Это важно

Полное чтение с помощью Apache Spark является дополнительным разрешением и не заменяет Чтение. При совместном доступе к элементу всегда включено право на чтение. Для пользователей, которым требуется доступ к API Spark и OneLake, предоставьте Read all with Apache Spark в дополнение к базовому общему доступу. Дополнительные сведения см. в разделе Share items in Microsoft Fabric.

Общий доступ к озеру

Чтобы предоставить общий доступ к озерному дому, перейдите в рабочую область и выберите значок Share рядом с именем "lakehouse". Вы также можете выбрать многоточие (...), а затем в меню Дополнительные параметры выберите Поделиться. Заполните поля на экране Предоставить доступ и выберите Предоставить.

Сведения об изменении или удалении разрешений см. в разделе "Управление разрешениями".

Скриншот с командами для предоставления доступа к Lakehouse другим пользователям.

Управление разрешениями

После предоставления доступа к элементу вы можете изменить или удалить разрешения на экране Direct access для этого элемента.

Чтобы управлять разрешениями для Lakehouse:

  1. Перейдите в рабочее пространство и выберите многоточие (...) рядом с именем lakehouse.
  2. В разделе "Дополнительные параметры" выберите "Управление разрешениями".
  3. В Direct access просмотрите существующие записи доступа.
  4. Добавьте настраиваемые разрешения или удалите доступ и настраиваемые разрешения по мере необходимости.

Управление доступом на уровне папки

Разрешения на безопасность OneLake (предварительная версия) позволяют создавать пользовательские роли в lakehouse и предоставлять разрешения на чтение только определенным папкам в OneLake. безопасность OneLake не предоставляет разрешения на запись — она предоставляет только детальный контроль над доступом на чтение для пользователей, у которых уже есть базовый доступ на чтение в lakehouse. Разрешения на запись по-прежнему должны предоставляться через роли рабочей области (участник или выше). Безопасность папок OneLake наследуется для всех вложенных папок. Для каждой роли OneLake можно назначать пользователей и группы безопасности или предоставлять автоматическое назначение на основе роли рабочей области.

Узнать подробнее о OneLake контроле доступа на основе ролей (RBAC).

Общие сведения о концепциях безопасности OneLake см. в обзоре безопасности данных.

Роли безопасности OneLake

Чтобы создать новую роль доступа к данным, выполните приведенные действия.

  1. Откройте lakehouse, где вы хотите определить новую роль.

  2. Выберите Manage OneLake security (preview) на ленте и убедитесь, что вы хотите включить роли access данных (предварительная версия) для lakehouse.

    Скриншот, показывающий команду управления безопасностью OneLake в лейкхаусе.

  3. Выберите новую роль и введите имя для роли.

  4. Если вы хотите применить роль ко всем папкам в lakehouse, выберите все папки. Если вы хотите применить роль только к выбранным папкам, выберите выбранные папки и выберите соответствующие папки.

  5. Выберите Сохранить. Появится уведомление, которое подтверждает создание новой роли.

  6. В области "Изменение <имени роли>" предоставьте новой роли разрешения на чтение. Чтобы сделать это, выберите Назначить роль.

  7. Выберите разрешения, которые вы хотите назначить, введите имена или адреса электронной почты в поле "Добавить людей или группы " и нажмите кнопку "Добавить".

  8. Просмотрите список назначаемых пользователей и групп в разделе "Назначенные люди" и удалите все, что вы не хотите в списке, и нажмите кнопку "Сохранить".

Дополнительные сведения см. в разделе Начало работы с ролями безопасности OneLake.

Устранение распространенных неполадок

Используйте следующие проверки, когда обновления общего доступа или разрешений не ведут себя должным образом.

  • Вы не можете выбрать общий доступ: убедитесь, что у вас есть разрешение на общий доступ для lakehouse (администратор или член по умолчанию или явное разрешение общего доступа). Сведения о поведении ролей см. в разделе "Роли" в рабочих областях.
  • Пользователи могут открыть элемент, но не могут запрашивать данные. Убедитесь, что получатели имеют необходимые разрешения для пути доступа (Чтение всех с конечной точкой аналитики SQL для доступа SQL, Чтение всех с помощью Apache Spark для API Spark и OneLake). Определения разрешений см. в разделе Share items in Microsoft Fabric.
  • Пользователи по-прежнему имеют старый доступ после изменений: обновления разрешений могут занять до двух часов для распространения для пользователей, вошедших в систему. Повторно проверьте список Direct access и попросите получателя обновить или войти снова. Сведения о поведении платформы см. в разделе Share items in Microsoft Fabric.
  • Пользователи с разрешением "Чтение всех с использованием SQL-аналитической конечной точки": Такие пользователи могут получить доступ к данным через URL-адрес SQL, но не через URL-адрес Lakehouse. Если пользователям нужен доступ по URL-адресу Lakehouse, предоставьте разрешение на чтение всех данных с использованием Apache Spark, а также на чтение всех данных через конечную точку аналитики SQL. Определения разрешений см. в разделе Share items in Microsoft Fabric.

Известные проблемы

В диалоговом окне общего доступа для Lakehouse показан параметр подписки на события OneLake. Разрешение на подписку на это событие предоставляется вместе с разрешением Read All Apache Spark. Это временное ограничение.

Связанный контент

  • Last updated on