Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
С помощью ролей безопасности OneLake вы можете управлять доступом к определенным таблицам и папкам в элементах данных Fabric. В этой статье показано, как создавать, изменять и удалять роли безопасности, а также назначать участников этим ролям. Общие сведения о понятиях и разрешениях безопасности OneLake см. в обзоре системы безопасности OneLake.
Следующие элементы данных поддерживают безопасность OneLake:
| Предмет из ткани | Состояние | Поддерживаемые разрешения |
|---|---|---|
| Lakehouse | Preview | Чтение, Чтение и запись |
| Зеркальный каталог Azure Databricks | Preview | Читайте |
Создание ролей и назначение членства вступают в силу сразу после сохранения роли, поэтому перед добавлением кого-либо в роль необходимо предоставить доступ.
Предпосылки
- Разрешения на запись или повторное предоставление общего доступа Fabric (обычно включены для пользователей рабочей области "Администратор" или "Член")
- Хотя в предварительной версии безопасность OneLake по умолчанию отключена и должна быть включена для каждого элемента отдельно. Дополнительные сведения см. в статье "Начало работы с безопасностью OneLake".
Создание роли
Чтобы создать роль безопасности OneLake, выполните следующие действия.
Откройте элемент Fabric, в котором требуется определить безопасность.
Выберите "Управление безопасностью OneLake" (предварительная версия) в меню элемента.
На панели безопасности OneLake выберите Создать.
Укажите следующие сведения для новой роли:
Параметр Ценность Имя роли Укажите имя, соответствующее следующим рекомендациям:
* Имя роли содержит только буквенно-цифровые символы.
* Имя роли начинается с буквы.
* Имена нечувствительны к регистру и должны быть уникальными.
* Максимальная длина имени — 128 символов.Тип роли Выберите Предоставить разрешение. Выберите "Предоставить разрешения" Выберите разрешения, которые вы хотите предоставить. Чтение выбрано как минимум, и вы можете дополнительно добавить ReadWrite. Нажмите кнопку Далее.
Определите область роли, выбрав данные для включения.
- Выберите все данные , если эта роль будет применяться ко всем таблицам и файлам этого элемента. Этот выбор также предоставляет доступ к любым папкам, добавленным в будущем.
- Выберите выбранные данные , если эта роль будет применяться только к выбранной группе таблиц и папок. Затем выполните следующие действия, чтобы определить утвержденные данные для этой роли.
Если вы решили добавить выбранные данные в роль, настройте этот выбор:
Выберите Правка.
Разверните каталоги Tables и Files, чтобы просмотреть данные в вашем lakehouse.
Установите флажки рядом с таблицами и файлами, к которым требуется применить роль.
Чтобы применить безопасность на уровне строк или столбцов к таблице, выберите имя таблицы, выберите доступ к данным и выберите соответствующий параметр. Дополнительные сведения см. в разделе "Безопасность на уровне строк " и "Безопасность на уровне столбцов".
Нажмите кнопку "Добавить данные ", чтобы добавить выбранные элементы в роль.
Нажмите кнопку Далее.
Добавьте участников в заданную роль. Вручную введите имена или адреса электронной почты пользователей, которые вы хотите включить в роль. Кроме того, выберите "Дополнительно" и выполните действия, описанные в разделе "Назначение виртуальных членов".
Нажмите кнопку "Создать".
Изменение роли
Чтобы изменить существующую роль безопасности OneLake, выполните следующие действия.
Откройте элемент, в котором требуется определить безопасность.
Выберите "Управление безопасностью OneLake" (предварительная версия) в меню элемента.
На панели безопасности OneLake выберите роль, которую требуется изменить.
Это действие открывает страницу сведений о роли, которая включает две вкладки: данные в роли и участники в роли.
Просмотрите сведения на вкладке «Данные по ролям»:
На этой вкладке показаны все данные, к которым могут получить доступ члены роли.
Имя роли указывает, какую роль вы просматриваете. Чтобы изменить имя роли, выберите раскрывающийся список "Изменить ". Выберите "Обновить имя роли", введите новое имя и подтвердите, выбрав флажок. Изменения можно отменить, выбрав X.
Элемент "Разрешения" указывает, какие разрешения предоставляет роль. Чтобы изменить разрешения роли, выберите раскрывающийся список "Изменить ". Выберите "Изменить разрешения роли", измените выбранные разрешения с помощью раскрывающегося списка и подтвердите, выбрав флажок. Изменения можно отменить, выбрав X.
В столбце данных отображается имя таблиц или папок, входящих в доступ к роли. Вы можете развернуть и свернуть схемы, чтобы увидеть элементы под ними. Наведите указатель мыши на запись, чтобы просмотреть полный путь к таблице или папке. Наведите указатель мыши на ... , чтобы просмотреть параметры настройки безопасности на уровне строк или уровня столбцов. Руководства по безопасности на уровне строк и уровня столбцов содержат дополнительные сведения о том, как это работает.
Столбец Type указывает тип выбранного элемента. Значения: схема, таблица или папка.
Столбец доступа к данным указывает, применяются ли ограничения на уровень строки или столбца к элементу. Значок с блокировкой и горизонтальными линиями указывает, что применяется безопасность на уровне строк, а значок с блокировкой и вертикальными линиями указывает, что безопасность на уровне столбца применяется.
Чтобы изменить данные, включенные в роль, нажмите кнопку "Изменить данные".
Это действие открывает диалоговое окно выбора таблицы и папки.
Проверьте и снимите флажки таблиц или папок, чтобы добавить или удалить их из роли.
Нажмите кнопку "Добавить данные ", чтобы подтвердить выбранные параметры.
Чтобы просмотреть членов роли, перейдите на вкладку "Участники в роли".
В столбце "Члены" отображается изображение профиля и имя элемента.
Столбец Type указывает, является ли элемент пользователем или группой.
Добавлено с использованием столбец указывает, был ли пользователь добавлен через свой адрес электронной почты в качестве члена роли или включен в группу разрешений Lakehouse. Дополнительные сведения о добавлении пользователей с помощью разрешений элемента см. в разделе "Назначение виртуальных членов".
Чтобы изменить элементы роли, нажмите кнопку "Добавить участников".
Чтобы добавить участников вручную, введите имя или электронную почту в текстовое поле "Добавление участников". Выберите правильное имя из предлагаемого списка. Затем щелкните значок флажка, чтобы подтвердить выбор, или щелкните значок X , чтобы очистить выделение.
Чтобы удалить пользователей из роли, выберите дополнительные параметры (...) рядом с именем и выберите "Удалить из роли".
При внесении изменений в членство в роли, роль обновляется немедленно. Уведомление показывает успешность или сбой любых изменений.
Удаление роли
Чтобы удалить роль доступа к данным OneLake, выполните следующие действия.
Откройте Lakehouse, где вы хотите задать параметры безопасности.
Выберите "Управление безопасностью OneLake" (предварительная версия) в меню Lakehouse.
На панели безопасности OneLake поставьте галочку рядом с ролями, которые нужно удалить.
Выберите "Удалить " и дождитесь успешного удаления ролей.
Назначение члена или группы
Роль безопасности OneLake поддерживает два способа добавления пользователей в роль. Основной метод заключается в добавлении пользователей или групп непосредственно в роль с помощью поля "Добавление людей или групп " на странице "Назначение роли ". Второй метод — создание виртуальных членств с группами разрешений с помощью элемента управления Расширенная конфигурация.
При добавлении пользователей непосредственно в роль вы делаете их явными членами роли. Эти пользователи отображаются с их именем и рисунком в списке участников .
С помощью виртуальных участников членство в роли динамически настраивается на основе разрешений элемента Fabric пользователей. Выбрав расширенную конфигурацию и выбрав разрешение, вы добавите любого пользователя в рабочую область Fabric, у которого есть все выбранные разрешения в качестве неявного члена роли. Например, если выбрать ReadAll, Write, любой пользователь рабочей области Fabric с разрешениями ReadAll и Write для элемента включается в качестве члена роли. Вы можете увидеть, какие пользователи включены в группу разрешений, просмотрев столбец "Добавлено с помощью" на вкладке "Участники в роли". Вы не можете вручную удалить этих участников. Чтобы удалить участника, добавленного через группу разрешений, удалите группу разрешений из роли.
Независимо от типа членства, роли безопасности OneLake поддерживают добавление отдельных пользователей, групп Microsoft Entra и субъектов безопасности.
Назначение виртуальных членов
Для идентификации виртуальных членов можно использовать следующие разрешения:
- Читайте
- Напишите
- Переслать
- Execute
- Читать всё
Чтобы назначить пользователей группам разрешений, выполните следующие действия.
Выберите имя роли, которой вы хотите назначить участников.
На странице сведений о роли выберите вкладку "Участники роли".
Выберите "Добавить участников".
Выберите расширенную конфигурацию.
В поле "Группы разрешений " установите флажок рядом с каждым разрешением, для которого требуется включить пользователей.
Каждая группа разрешений показывает количество пользователей, включенных в эту группу.
Выбор нескольких групп разрешений включает пользователей со всеми выбранными необходимыми разрешениями.
Нажмите кнопку "Добавить ", чтобы включить группы и сохранить роль.