Поделиться через

Начало работы с ролями доступа к данным OneLake (предварительная версия)

  • Статья

Роли доступа к данным OneLake позволяют применять управление доступом на основе ролей (RBAC) к данным, хранящимся в OneLake. Вы можете определить роли безопасности, предоставляющие доступ для чтения к определенным папкам в элементе Fabric, а затем назначать эти роли пользователям или группам. Разрешения доступа определяют папки, которые пользователи видят при доступе к представлению данных в озере с помощью интерфейса Lakehouse, записных книжек или API OneLake.

Пользователи Fabric в ролях администратора, члена или участника могут приступить к работе, создав роли доступа к данным OneLake, чтобы предоставить доступ только к определенным папкам в lakehouse. Чтобы предоставить доступ к данным в хранилище озерных данных, добавьте пользователей в роль доступа к данным. Пользователи, которые не являются частью роли доступа к данным, не видят никаких данных в этом лейкхаусе.

Примечание.

Безопасность роли доступа к данным применяется только к пользователям, которые обращаются непосредственно к OneLake. Элементы структуры, такие как конечные точки аналитики SQL, семантические модели и склады, имеют собственные модели безопасности и получают доступ к OneLake через делегированное удостоверение. Это означает, что пользователи могут видеть различные элементы в каждой рабочей нагрузке, если они получают доступ к нескольким элементам.

Предварительные условия

Чтобы настроить безопасность для lakehouse, необходимо быть администратором, членом или участником рабочей области. Создание ролей и назначение членства вступают в силу сразу после сохранения роли, поэтому убедитесь, что вы хотите предоставить доступ, прежде чем добавить кого-либо в роль.

Роли доступа к данным OneLake поддерживаются только для элементов Lakehouse.

Как принять участие

Функция предварительного просмотра ролей доступа к данным отключена по умолчанию. Функция предварительного просмотра настраивается индивидуально для каждого lakehouse. Элемент управления "Opt-in" позволяет одному lakehouse испытать предварительную версию, не включая ее на других lakehouse или элементах Fabric.

Чтобы включить предварительную версию, необходимо быть администратором, членом или участником в рабочей области.

После включения функции предварительной версии нельзя отключить.

  1. Перейдите к озеру и выберите Управление доступом к данным OneLake (предварительная версия).
  2. Просмотрите диалоговое окно подтверждения. Предварительная версия ролей доступа к данным несовместима с предварительной версией внешнего общего доступа к данным. Если вы согласны с изменением, выберите Продолжить.

Чтобы обеспечить плавный процесс участия, все пользователи с разрешением на чтение данных в хранилище данных продолжают иметь доступ на чтение с помощью роли доступа к данным по умолчанию с именем DefaultReader. Используя виртуализированные членства в роли, все пользователи, имеющие необходимые разрешения для просмотра данных в Lakehouse (разрешение ReadAll), включены в данную роль по умолчанию. Для ограничения доступа данным пользователям удалите роль DefaultReader или уберите разрешение ReadAll у пользователей, имеющих доступ.

Внимание

Убедитесь, что все пользователи, включенные в роль доступа к данным, удаляются из роли DefaultReader. В противном случае они поддерживают полный доступ к данным.

Какие типы данных можно защитить?

Используйте роли доступа к данным OneLake для управления разрешениями на чтение папок в OneLake lakehouse. Доступ на чтение можно предоставить любой папке в lakehouse, и по умолчанию доступ к папке отсутствует. Безопасность, заданная ролями доступа к данным, применяется исключительно к доступу к OneLake или API, специфичным для OneLake. Дополнительные сведения см. в модели управления доступом к данным.

Создание роли

Чтобы создать роль доступа к данным в OneLake, выполните следующие действия.

  1. Откройте «lakehouse», в котором вы хотите задать параметры безопасности.

  2. Выберите Управление доступом к данным OneLake (предварительная версия) в меню Lakehouse.

  3. На панели Управление доступом к данным OneLake выберите Создать.

  4. Укажите имя новой роли, которая соответствует следующим рекомендациям:

    • Имя роли может содержать только буквенно-цифровые символы.
    • Имя роли должно начинаться с буквы.
    • Имена не чувствительны к регистру и должны быть уникальными.
    • Максимальная длина имени — 128 символов.

  5. Если вы хотите применить эту роль ко всем таблицам и файлам в этом лейкхаусе, выберите переключатель Все данные.

    Этот выбор также предоставляет доступ к любым папкам, добавленным в будущем.

  6. Если вы хотите, чтобы эта роль применялась только к выбранной группе таблиц и папок, выберите переключатель Выбранные данные. Затем выполните следующие действия, чтобы определить утвержденные данные для этой роли.

    1. Выберите Просмотр Lakehouse.

      снимок экрана, показывающий опцию

    2. Разверните каталоги таблиц и файлов, чтобы просмотреть данные в вашем озерном доме.

    3. Установите флажки рядом с таблицами и файлами, к которым требуется применить роль.

    4. Выберите , чтобы добавить данные и добавить выбранные элементы в вашу роль.

  7. Используйте текстовое поле для добавления участников в вашу роль, чтобы вручную ввести имена или адреса электронной почты пользователей, которых вы хотите включить в роль. Или выберите Режим расширенной конфигурации и следуйте инструкциям в разделе Назначение виртуальных членов.

    Чтобы добавить участников вручную, выполните приведенные действия.

    1. Введите имя или адрес электронной почты пользователя.
    2. Выберите правильное имя из предлагаемого списка.
    3. Щелкните значок галочки, чтобы подтвердить выбор, или значок X, чтобы снять выделение.

  8. Просмотрите сводки предварительной версии роли.

    1. Чтобы изменить предварительную версию данных, выберите Обзор Lakehouse и обновите выбранные таблицы и папки.
    2. Чтобы удалить пользователя из предварительной версии участников, выберите дополнительные параметры (...) рядом с именем, а затем Удалить из роли.

  9. Выберите Создать роль и дождитесь уведомления о том, что роль была успешно опубликована.

Изменение роли

Чтобы изменить существующую роль доступа к данным в OneLake, выполните следующие действия.

  1. Откройте «lakehouse», в котором вы хотите задать параметры безопасности.

  2. Выберите Управление доступом к данным OneLake (предварительная версия) в меню Lakehouse.

  3. На панели Управление доступом к данным OneLake выберите роль, которую требуется изменить.

    Это действие открывает страницу сведений о роли, которая включает две вкладки: Данные в роли и Участники в роли.

  4. Просмотрите информацию во вкладке данных в роли.

    На этой вкладке показаны все данные, к которым могут обращаться члены роли.

    В столбце данных отображается имя таблиц или папок, входящих в полномочия роли. Вы можете развернуть и свернуть схемы, чтобы увидеть элементы ниже. При наведении указателя мыши на запись отображается полный путь к таблице или папке.

    Столбец типа указывает тип выбранного элемента. Значения могут быть: схема, таблицаили папка.

    В столбце разрешения отображается, какие разрешения роль предоставляет каждому элементу. В настоящее время поддерживается только чтение.

    Столбец доступа к данным указывает, применяются ли к элементу ограничения уровня строк или столбцов. Значок с блокировкой и горизонтальными линиями указывает, что применяется безопасность на уровне строк, а значок с блокировкой и вертикальными линиями указывает, что безопасность на уровне столбца применяется.

  5. Чтобы изменить данные, включенные в роль, выберите Добавить данные.

    Это действие открывает диалоговое окно выбора таблицы и папки.

  6. Проверьте и снимите флажки таблиц или папок, чтобы добавить или удалить их из роли.

  7. Выберите Добавить данные, чтобы подтвердить выбранные варианты.

  8. Перейдите на вкладку "Участники ролей" для просмотра участников роли.

    В столбце "Члены" отображаются изображение профиля и имя члена.

    Столбец типа указывает, является ли элемент пользователем или группой.

    Столбец Добавленный с помощью указывает, был ли пользователь добавлен через свою электронную почту как член роли или включен в группу разрешений Lakehouse. Дополнительные сведения о добавлении пользователей с помощью разрешений Lakehouse см. в разделе Назначение виртуальных членов.

  9. Чтобы изменить участников роли, выберите Добавить участников.

  10. Чтобы добавить участников вручную, введите имя или электронную почту в текстовое поле Добавление участников для вашей роли. Выберите правильное имя из предлагаемого списка. Затем щелкните значок флажка, чтобы подтвердить выбор, или щелкните значок X, чтобы очистить выделение.

  11. Чтобы удалить пользователей из роли, выберите дополнительные параметры (...) рядом с именем и выберите Удалить из роли.

Внесение изменений в членство сразу обновляет роль. Уведомление отмечает успешность или сбой любых изменений.

Удаление роли

Чтобы удалить роль доступа к данным OneLake, выполните следующие действия.

  1. Откройте «lakehouse», в котором вы хотите задать параметры безопасности.

  2. Выберите Управление доступом к данным OneLake (предварительная версия) в меню Lakehouse.

  3. В области управления доступом к данным OneLake установите флажок рядом с ролями, которые требуется удалить.

  4. Выберите " Удалить " и дождитесь успешного удаления ролей.

Назначение члена или группы

Роли доступа к данным OneLake поддерживают два метода добавления пользователей в роль. Основной метод заключается в добавлении пользователей или групп непосредственно в роль с помощью поля Добавление пользователей или групп на странице Назначение роли. Во-вторых, создавая виртуальные членства с группами разрешений с помощью элемента управления расширенной конфигурации.

Добавление пользователей прямо в роль добавляет их как явных членов роли. Эти пользователи отображаются в списке участников с именем и фотографией, показанными в.

Виртуальные члены позволяют динамически настраивать членство роли в зависимости от разрешений элементов Fabric, которыми обладают пользователи. Выбрав расширенную конфигурацию и выбрав разрешение, вы добавите любого пользователя в рабочую область Fabric, у которого есть все выбранные разрешения в качестве неявного члена роли. Например, если вы выбрали ReadAll, Write, то любой пользователь рабочей области Fabric с разрешениями ReadAll и Write для элемента будет считаться членом этой роли. Вы можете увидеть, какие пользователи добавляются группой разрешений, просмотрев столбец Добавлено с помощью на вкладке "Члены по роли ". Эти члены не могут быть удалены вручную. Чтобы удалить участника, добавленного через группу разрешений, удалите группу разрешений из роли.

Независимо от типа членства, роли доступа к данным поддерживают добавление отдельных пользователей, групп Microsoft Entra и субъектов безопасности.

Назначение виртуальных членов

Разрешения, которые можно использовать для виртуальных членов:

  • Читать
  • Писать
  • Поделиться заново
  • Выполнить
  • ЧитатьВсе

Чтобы назначить пользователей с группами разрешений, выполните следующие действия.

  1. Выберите имя роли, которой вы хотите назначить участников.

  2. На странице подробностей о роли выберите вкладку Участники роли.

  3. Нажмите кнопку Добавить участников.

  4. Выберите расширенную конфигурацию.

    снимок экрана, на котором показано, как выбрать расширенную конфигурацию, чтобы добавить участников с помощью групп разрешений.

  5. В поле группы разрешений установите флажок рядом с каждым разрешением, чтобы добавить к нему пользователей.

    Каждая группа разрешений показывает количество пользователей, включенных в эту группу.

    Выбор нескольких групп разрешений включает пользователей со всеми выбранными необходимыми разрешениями.

  6. Выберите и нажмите "Добавить", чтобы добавить группы и сохранить роль.

Известные проблемы

Предварительная версия внешнего доступа к данным не совместима с предварительной версией ролей доступа к данным. Если включить предварительный просмотр ролей доступа к данным в lakehouse, все существующие внешние общие папки данных могут перестать работать.

Безопасность OneLake не работает с сочетаниями клавиш OneLake между регионами.

Связанный контент