Безопасность сочетаний клавиш OneLake
Сочетания клавиш OneLake служат указателями на данные, находящиеся в разных учетных записях хранения, будь то внутри OneLake или во внешних системах, таких как Azure Data Lake Storage (ADLS). В этой статье рассматриваются разрешения, необходимые для создания ярлыков и доступа к данным с их помощью.
Для обеспечения четкости компонентов ярлыка в этом документе используются следующие термины:
- Целевой путь: расположение, на которое указывает ярлык.
- Путь к ярлыку: расположение, в котором отображается ярлык.
Создание и удаление ярлыков
Чтобы создать ярлык, пользователю необходимо иметь разрешение на запись в элементе Fabric, где создается ярлык. Кроме того, пользователю требуется доступ на чтение к данным, на которые указывает ярлык. Сочетания клавиш для внешних источников могут требовать определенных разрешений во внешней системе. В статье "Что такое ярлыки?", содержится полный список типов ярлыков и необходимых разрешений.
| Возможность | Разрешение на ярлык пути | Разрешение на целевой путь |
|---|---|---|
| Создание ярлыка | Write | ReadAll1 |
| Удаление ярлыка | Write | Н/П |
1 Если роли доступа к данным OneLake включены, пользователь должен находиться в роли, которая предоставляет доступ к целевому пути.
Доступ к ярлыкам
Сочетание разрешений в пути ярлыка и целевом пути управляет разрешениями для сочетаний клавиш. Когда пользователь обращается к ярлыку, применяется самое строгое разрешение двух расположений. Таким образом, пользователь, имеющий разрешения на чтение и запись в lakehouse, но только разрешения на чтение в целевом пути не могут записываться в целевой путь. Аналогичным образом, пользователь, имеющий разрешения только на чтение в lakehouse, но чтение и запись в целевом пути также не может записываться в целевой путь.
В следующей таблице показаны разрешения, связанные с ярлыками для каждого сочетания клавиш.
| Возможность | Разрешение на ярлык пути | Разрешение на целевой путь |
|---|---|---|
| Чтение содержимого файла и папки ярлыка | ReadAll1 | ReadAll1 |
| Запись в целевое расположение ярлыка | Write | Write |
| Чтение данных из ярлыков в разделе таблицы lakehouse с помощью конечной точки TDS | Читать | ReadAll2 |
1 Если роли доступа к данным OneLake включены, пользователь должен находиться в роли, которая предоставляет доступ к данным.
Внимание
2 При доступе к сочетаниям клавиш через семантические модели Power BI или T-SQL удостоверение вызывающего пользователя не передается в путь к целевому пути ярлыка. Вместо этого передается удостоверение владельца вызывающего элемента, делегируя доступ к вызывающму пользователю.
Роли доступа к данным OneLake
Роли доступа к данным OneLake — это новая функция, которая позволяет применять управление доступом на основе ролей (RBAC) к данным, хранящимся в OneLake. Вы можете определить роли безопасности, предоставляющие доступ для чтения к определенным папкам в элементе Fabric, и назначать их пользователям или группам. Разрешения доступа определяют, какие папки пользователи видят при доступе к представлению озера данных через интерфейс UX Lakehouse, записные книжки или API OneLake. Для элементов с включенной функцией предварительной версии роли доступа к данным OneLake также определяют доступ пользователя к ярлыку.
Пользователи в ролях "Администратор", "Член" и "Участник" имеют полный доступ к данным из ярлыка независимо от определенных ролей доступа к данным OneLake. Однако им по-прежнему нужен доступ как к ярлыку, так и к целевому пути, как упоминалось в ролях рабочей области.
Пользователи в роли просмотра или у которых есть общий доступ к lakehouse, имеют доступ напрямую, если у пользователя есть доступ через роль доступа к данным OneLake. Дополнительные сведения о модели управления доступом с сочетаниями клавиш см. в разделе "Модель контроль доступа данных" в OneLake.