Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Сочетания клавиш в OneLake служат указателями на данные, находящиеся в различных учетных записях хранения, будь то внутри OneLake или во внешних системах, таких как Azure Data Lake Storage (ADLS). В этой статье описываются разрешения, необходимые для создания ярлыков и доступа к данным с помощью них.
Чтобы обеспечить четкость компонентов ярлыка, в этой статье используются следующие термины:
- Целевой путь: местоположение, на которое указывает ярлык.
- Путь к ярлыку: расположение, в котором отображается ярлык.
Создание и удаление ярлыков
Чтобы создать ярлык, вам потребуется разрешение на запись в элементе Fabric, в котором создается ярлык. Кроме того, вам нужен доступ на чтение к данным, на которые указывают ярлыки. Ярлыки для внешних источников могут требовать определенных разрешений во внешней системе. В статье "Что такое ярлыки?", содержится полный список типов ярлыков и необходимых разрешений.
| Возможность | Разрешения на доступ к ярлыку | Разрешение на целевой путь |
|---|---|---|
| Создайте ярлык | Разрешение на запись элементов или безопасность OneLake ReadWrite | Безопасность OneLake read1 |
| Удалите ярлык | Разрешение на запись элементов или безопасность OneLake ReadWrite | Н/П |
1 Для элементов, которые еще не поддерживают безопасность OneLake, это разрешение соответствует разрешению ReadAll для элемента.
Доступ к ярлыкам
Комбинация разрешений в пути ярлыка и целевом пути управляет разрешениями для ярлыков. Когда пользователь обращается к ярлыку, применяется более строгое разрешение из двух расположений. Таким образом, пользователь, имеющий разрешения на чтение и запись в lakehouse, но только разрешение на чтение в целевом пути, не может записывать данные в целевой путь. Аналогичным образом пользователь, имеющий в lakehouse только разрешения на чтение, но в целевом пути — разрешения на чтение и запись, также не может выполнять запись в целевой путь.
В этой таблице показаны разрешения, необходимые для каждого сочетания клавиш.
| Возможность | Разрешения на доступ к ярлыку | Разрешение на целевой путь |
|---|---|---|
| Чтение содержимого файла или папки, на которые указывает ярлык | Безопасность OneLake read1 | Безопасность OneLake read1, 2 |
| Запись в расположение, на которое указывает ярлык | Разрешение на запись элементов или безопасность OneLake ReadWrite | Разрешение на запись элементов или безопасность OneLake ReadWrite |
1 Для элементов, которые еще не поддерживают модель безопасности OneLake, этим разрешением является разрешение ReadAll для элемента.
Внимание
2Исключение для сквозного прохождения удостоверения: Хотя безопасность OneLake обычно использует удостоверение вызывающего пользователя для применения разрешений, некоторые механизмы запросов работают по-разному. При доступе к данным сочетаний с помощью семантических моделей Power BI через DirectLake с использованием SQL или движков T-SQL, настроенных для режима делегированного удостоверения, эти движки не передают удостоверение пользователя, инициирующего запрос, в целевой объект сочетания. Вместо этого они используют удостоверение владельца элемента для доступа к данным, а затем применяют роли безопасности OneLake для фильтрации того, что может увидеть вызывающий пользователь.
Это условие означает:
- Доступ к целевому объекту ярлыка осуществляется с помощью разрешений владельца элемента (а не пользователя).
- Роли безопасности OneLake по-прежнему определяют, какие данные пользователь может считывать
- Любые разрешения, настроенные непосредственно в целевом пути ярлыка для конечного пользователя, игнорируются.
Безопасность OneLake
Безопасность OneLake позволяет применять управление доступом на основе ролей (RBAC) к данным, хранящимся в OneLake. Вы можете определить роли безопасности, предоставляющие доступ для чтения к определенным таблицам и папкам в элементе Fabric, а также назначать их пользователям или группам. Разрешения доступа определяют, что пользователи могут делать во всех компонентах Fabric, обеспечивая согласованное управление доступом.
Пользователи с ролями "Администратор", "Член" и "Участник" имеют полный доступ для чтения данных через ярлык независимо от заданных ролей доступа к данным OneLake. Однако им по-прежнему нужен доступ как к пути ярлыка, так и к целевому пути, как указано в Ролях рабочей области.
Пользователи с ролью Viewer, а также пользователи, которым lakehouse был предоставлен в общий доступ напрямую, имеют доступ, ограниченный в зависимости от того, есть ли у пользователя доступ через роль доступа к данным OneLake. Дополнительные сведения о модели управления доступом с ярлыками см. в статье Модель управления доступом к данным в OneLake.
Пользователи в ролях 'Просмотрщик' могут создавать ярлыки, если у них есть разрешения ReadWrite на путь, где создаётся ярлык.
В следующей таблице показаны необходимые разрешения для выполнения сочетаний клавиш.
| Ярлык операции | Разрешения на доступ к ярлыку | Разрешение на целевой путь |
|---|---|---|
| Создать | Чтение Fabric и безопасность OneLake ЧтениеЗапись | Ознакомление с безопасностью OneLake |
| Чтение (сочетания клавиш GET/LIST) | Чтение и безопасность OneLake Fabric | Н/П |
| Update | Чтение Fabric и безопасность OneLake ЧтениеЗапись | Доступ к данным безопасности OneLake (на новом назначении) |
| Удалить | Чтение Fabric и безопасность OneLake ЧтениеЗапись | Н/П |
Упрощённые модели аутентификации
Ярлыки OneLake используют две модели аутентификации: сквозную и делегированную. Модель зависит от типа ярлыка.
| Тип ярлыка | Модель проверки подлинности | Details |
|---|---|---|
| из OneLake в OneLake | Сквозная передача или делегирование | Passthrough используется по умолчанию. Чтобы вместо этого использовать делегированную аутентификацию, выберите делегированную идентификацию в качестве метода подключения при создании ярлыка. |
| Внешний (multicloud) | Делегировано только | Пользователи могут получать доступ к внешним данным без прямого доступа к внешней системе. Настройте безопасность OneLake на ярлыке, чтобы управлять доступом к данным во внешней системе. |
Сквозная аутентификация
В модели сквозной передачи ярлык получает доступ к данным в целевом расположении путём передачи идентификационных данных пользователя целевой системе. Любой пользователь, обращаюющийся к ярлыку, может видеть только данные, к которых у них есть доступ в целевом объекте. Исходная система сохраняет полный контроль над своими данными, и нет необходимости реплицировать или переопределить элементы управления доступом.
Делегированная аутентификация
В делегированной модели ярлык получает доступ к данным, используя промежуточные учетные данные, например: учетные данные другого пользователя, субъект-службу или ключ учетной записи. Делегированные ярлыки позволяют отделить управление разрешениями и делегировать его другой команде или нижестоящему пользователю. Все делегированные сочетания клавиш в OneLake могут иметь роли безопасности OneLake, определенные для них.
Ярлыки для внешних систем, таких как Amazon S3 или Google Cloud Storage, всегда используют делегированную проверку подлинности. Ярлыки для внутренних целевых объектов OneLake могут использовать делегированную аутентификацию, если она настроена при создании ярлыка.
Делегированные сочетания клавиш OneLake
Делегированные сочетания клавиш OneLake используют настроенное удостоверение подключения вместо удостоверения пользователя, вошедшего в систему. При доступе к делегированному ярлыку вызывающий пользователь видит пересечение своих разрешений безопасности и разрешений, применяемых к делегированной учетной записи. В следующей таблице приведены примеры сценариев.
| Права доступа к пути к ярлыку (клиент) | Разрешение на целевой путь (производитель) | Итоговый доступ |
|---|---|---|
| Полный доступ | Полный доступ | Полный доступ |
| Полный доступ | CLS — только столбцы C1, C2 | CLS — только столбцы C1, C2 |
| CLS — только столбец C1 | CLS — только столбцы C1, C2 | CLS — только столбец C1 |
Следующие соображения безопасности применяются к делегированным ярлыкам:
- Безопасность на уровне столбца (CLS) поддерживается для целевого объекта ярлыка с делегированными ярлыками. CLS действует как на целевом объекте, так и на самом ярлыке.
- Безопасность на уровне строк (RLS) не поддерживается для делегированных сочетаний клавиш.
- Помимо прав доступа OneLake к целевому пути, для доступа к внешним ярлыкам через Spark или прямые вызовы API также необходимы права на чтение элемента, который содержит путь внешнего ярлыка.