Начало работы с ролями доступа к данным OneLake (предварительная версия)
Обзор
Роли доступа к данным OneLake для папок — это новая функция, которая позволяет применять управление доступом на основе ролей (RBAC) к данным, хранящимся в OneLake. Вы можете определить роли безопасности, предоставляющие доступ для чтения к определенным папкам в элементе Fabric, и назначать их пользователям или группам. Разрешения доступа определяют, какие папки пользователи видят при доступе к представлению озера данных через интерфейс UX Lakehouse, записные книжки или API OneLake.
Пользователи Структуры в ролях администратора, члена или участника могут приступить к работе, создав роли доступа к данным OneLake, чтобы предоставить доступ только к определенным папкам в lakehouse. Чтобы предоставить доступ к данным в lakehouse, добавьте пользователей в роль доступа к данным. Пользователи, которые не являются частью роли доступа к данным, не видят данных в этом лейкхаусе.
Примечание.
Безопасность роли доступа к данным применяется только для пользователей, обращаюющихся к OneLake напрямую. Элементы структуры, такие как конечные точки аналитики SQL, семантические модели и склады, имеют собственные модели безопасности и получают доступ к OneLake через делегированное удостоверение. Это означает, что пользователи могут видеть различные элементы в каждой рабочей нагрузке, если они получают доступ к нескольким элементам.
Как принять участие
Все lakehouses в Fabric имеют предварительную версию ролей доступа к данным, отключенную по умолчанию. Предварительная версия компонента настраивается на основе каждого озера. Элемент управления "Согласие" позволяет одному лейкхаусу попробовать предварительную версию, не включив его на другие элементы lakehouse или Fabric.
Чтобы включить предварительную версию, необходимо быть администратором, членом или участником в рабочей области. Перейдите к lakehouse и нажмите кнопку "Управление доступом к данным OneLake(предварительная версия") на ленте, чтобы открыть диалоговое окно подтверждения. Предварительная версия ролей доступа к данным несовместима с предварительной версией внешнего общего доступа к данным. Если вы в порядке с изменением, нажмите кнопку "Продолжить". Откроется интерфейс управления ролями и включена функция.
После включения функции предварительной версии нельзя отключить.
Чтобы обеспечить плавное согласие на чтение, все пользователи с разрешением на чтение данных в Lakehouse продолжают иметь доступ на чтение. Перенос доступа осуществляется путем создания роли доступа к данным по умолчанию с именем DefaultReader. Используя виртуализированные членства в роли всех пользователей, у которых были необходимые разрешения для просмотра данных в Lakehouse (разрешение ReadAll) включены в качестве членов этой роли по умолчанию. Чтобы начать ограничение доступа к этим пользователям, убедитесь, что роль DefaultReader удалена или разрешение ReadAll удалено из доступа пользователей.
Внимание
Убедитесь, что все пользователи, включенные в роль доступа к данным, также не являются частью роли DefaultReader. В противном случае они будут поддерживать полный доступ к данным.
Какие типы данных можно защитить?
Роли доступа к данным OneLake можно использовать для управления доступом на чтение OneLake к папкам в lakehouse. Доступ на чтение можно предоставить любой папке в lakehouse, и доступ к папке не является состоянием по умолчанию. Безопасность, заданная ролями доступа к данным, применяется исключительно к доступу к определенным API OneLake или OneLake. Дополнительные сведения см. в модели управления доступом к данным.
Необходимые компоненты
Чтобы настроить безопасность для lakehouse, необходимо быть администратором, членом или участником рабочей области. Создание ролей и назначение членства вступают в силу сразу после сохранения роли, поэтому перед добавлением кого-либо в роль необходимо предоставить доступ.
Роли доступа к данным OneLake поддерживаются только для элементов Lakehouse.
Создание роли
- Откройте lakehouse, где требуется определить безопасность.
- В правой части ленты Lakehouse выберите управление доступом к данным OneLake (предварительная версия).
- В левой верхней части области доступа к данным Manage OneLake выберите "Создать роль" и введите нужное имя роли. Имя роли имеет определенные ограничения:
- Имя роли может содержать только буквенно-цифровые символы.
- Имя роли должно начинаться с буквы.
- Имена являются нечувствительными к регистру и должны быть уникальными.
- Максимальная длина имени — 128 символов.
- Выберите переключатель "Все папки", если вы хотите применить эту роль ко всем папкам в этом lakehouse.
- Этот выбор включает в себя все папки, добавленные в будущем.
- Выберите выбранные папки, если вы хотите применить эту роль только к выбранным папкам .
- Установите флажки рядом с папками, к которым будет применяться роль.
- Роли предоставляют доступ к папкам. Чтобы разрешить пользователю доступ к папке, установите флажок рядом с ним. Если пользователь не должен видеть папку, не установите флажок.
- В левом нижнем углу нажмите кнопку "Сохранить ", чтобы создать свою роль.
- В левом верхнем углу выберите "Назначить роль", чтобы открыть область членства в роли .
- Добавьте людей, группы или адреса электронной почты в элемент управления "Добавить людей или группы ". Дополнительные сведения см. в разделе "Назначение члена или группы".
- Нажмите кнопку "Добавить ", чтобы переместить выбор в список назначенных пользователей . Нажатие кнопки "Добавить" пока не сохраняет выбранный вариант.
- Нажмите кнопку "Сохранить " и дождитесь успешной публикации ролей.
- Выберите X в правом верхнем углу, чтобы выйти из области.
Изменение роли
- Откройте lakehouse, где требуется определить безопасность.
- В правой части ленты Lakehouse выберите "Управление доступом к данным OneLake" (предварительная версия).
- На панели доступа к данным Manage OneLake наведите указатель мыши на роль, которую вы хотите изменить, и выберите ее.
- Вы можете изменить, к каким папкам предоставляется доступ, выбрав или отключив флажки рядом с каждой папкой.
- Чтобы изменить пользователей, выберите "Назначить роль". Дополнительные сведения см. в разделе "Назначение члена или группы".
- Чтобы добавить других пользователей, введите имена в поле "Добавить людей или группы " и нажмите кнопку "Добавить".
- Чтобы удалить пользователей, выберите свое имя в разделе "Назначенные пользователи" и нажмите кнопку "Удалить".
- Нажмите кнопку "Сохранить " и дождитесь успешной публикации ролей.
- Выберите X в правом верхнем углу, чтобы выйти из области.
Удаление роли
- Откройте lakehouse, где требуется определить безопасность.
- В правой части ленты Lakehouse выберите "Управление доступом к данным OneLake" (предварительная версия).
- В области доступа к данным Manage OneLake установите флажок рядом с ролями, которые требуется удалить.
- Выберите " Удалить " и дождитесь успешного удаления ролей.
- Выберите X в правом верхнем углу, чтобы выйти из области.
Назначение члена или группы
Роли доступа к данным OneLake поддерживают два различных метода добавления пользователей в роль. Основной метод заключается в добавлении пользователей или групп непосредственно в роль с помощью поля "Добавление людей или групп " на странице "Назначение роли". Второй — использование виртуальных членства с помощью элемента управления "Добавление пользователей" на основе элемента управления разрешениями Lakehouse.
Добавление пользователей непосредственно в роль с помощью поля добавления людей или группы добавляет пользователей в качестве явных членов роли. Эти пользователи отображаются с именем и рисунком, отображаемым в списке назначенных пользователей и групп .
Виртуальные члены позволяют динамически настраивать членство роли на основе разрешений элемента Fabric пользователей. Выбрав поле "Добавить пользователей" на основе разрешений Lakehouse и выбрав разрешение, вы добавляете любого пользователя в рабочую область Fabric, у которого есть все выбранные разрешения в качестве неявного члена роли. Например, если вы выбрали ReadAll, write, то любой пользователь рабочей области Fabric с разрешениями readAll AND Write для элемента будет включен в качестве члена роли. Вы можете увидеть, какие пользователи добавляются в качестве виртуальных участников, найдите значение Lakehouse permissions в столбце "Назначено по столбцу" в списке назначенных пользователей. Эти члены не могут быть удалены вручную и должны быть отозваны соответствующие разрешения Fabric, чтобы быть неназначены.
Независимо от типа членства роли доступа к данным поддерживают добавление отдельных пользователей, групп Microsoft Entra и субъектов безопасности.
Назначение элементов
Чтобы добраться до страницы назначения участников, существует два способа:
Метод 1
- Выберите имя роли, которой вы хотите назначить участников.
- В верхней части страницы сведений о роли выберите "Назначить роль".
Метод 2.
- В списке ролей установите флажок рядом с ролью, которой вы хотите назначить участников.
- Выберите Назначить.
Назначение пользователей напрямую
На странице "Назначение роли" можно добавить участников или группы, введя их имя или адрес электронной почты в поле "Добавление людей или групп". Выберите результат, который требуется включить этого пользователя. Этот шаг можно повторить для столько пользователей, сколько вы хотите. Если вы выбрали неправильных пользователей, вы можете выбрать X рядом с записью, чтобы удалить их из поля, или удалить все записи. После завершения нажмите кнопку "Добавить ", чтобы переместить выбранных пользователей в список доступа. Добавление их в список еще не сохраняется. Это предварительная версия списка членства в роли после добавления этих пользователей, и только что добавленные пользователи будут иметь индикатор рядом с их именем.
Чтобы опубликовать изменения доступа, нажмите кнопку "Сохранить " в нижней части области.
Назначение виртуальных членов
Чтобы добавить виртуальные члены, используйте поле "Добавление пользователей на основе разрешений Lakehouse". Выберите поле, чтобы открыть раскрывающийся список, чтобы выбрать разрешения Fabric для виртуализации. Пользователи виртуализированы, если у них есть все проверенные разрешения.
Разрешения, которые можно использовать для виртуализации:
- Читать
- Запись
- Reshare
- Выполнить
- ReadAll
После выбора разрешений нажмите кнопку "Добавить ", чтобы обновить список назначенных пользователей с изменениями. У пользователей есть текст рядом с именем, указывающим, что они были назначены разрешениями Lakehouse. Эти пользователи не могут быть удалены вручную из назначения роли. Вместо этого удалите соответствующие разрешения из элемента управления "Добавление пользователей" на основе элемента управления разрешениями Lakehouse или удалите разрешение Fabric.
Известные проблемы
Предварительная версия внешнего доступа к данным не совместима с предварительной версией ролей доступа к данным. Если включить предварительный просмотр ролей доступа к данным в lakehouse, все существующие внешние общие папки данных могут перестать работать.