Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Безопасность OneLake позволяет применять управление доступом на основе ролей (RBAC) к данным, хранящимся в OneLake. Вы можете определить роли безопасности, предоставляющие доступ к определенным папкам в элементе Fabric, а затем назначать эти роли пользователям или группам. Роли также могут содержать безопасность на уровне строк или столбцов для дальнейшего ограничения доступа. Разрешения системы безопасности OneLake определяют, какие данные пользователи могут просматривать во всех интерфейсах Fabric.
Пользователи Fabric с разрешениями на запись и повторное предоставление общего доступа (как правило, администратор и пользователи рабочей области участников) могут приступить к созданию ролей безопасности OneLake для предоставления доступа только к определенным папкам или таблицам в элементе данных Fabric. Чтобы предоставить доступ к данным в элементе, добавьте пользователей в роль доступа к данным. Пользователи, которые не являются частью роли доступа к данным, не видят данных в этом элементе.
Какие типы данных можно защитить?
Используйте роли безопасности OneLake для управления доступом на чтение OneLake к любым таблицам или папкам в поддерживаемом элементе данных. Доступ к таблицам можно дополнительно ограничить с помощью безопасности на уровне строк или столбцов. Любой набор безопасности применяется ко всем движкам для доступа в Fabric. Дополнительные сведения см. в модели управления доступом к данным.
Для определенных типов элементов можно также настроить доступ ReadWrite. Это разрешение позволяет пользователям редактировать данные в "lakehouse" в указанных таблицах или папках без предоставления им доступа к созданию или управлению элементами Fabric. Доступ readWrite позволяет пользователям выполнять операции записи с помощью записных книжек Spark, проводника OneLake или API OneLake. Операции записи с помощью пользовательского интерфейса Lakehouse для зрителей не поддерживаются.
Следующие элементы данных поддерживают безопасность OneLake:
| Элемент Fabric | Поддерживаемые разрешения |
|---|---|
| Lakehouse | Чтение, Чтение и запись |
| Зеркальный каталог Azure Databricks | Читайте |
| Зеркальные базы данных | Читайте |
Параметры по умолчанию
При создании нового элемента он поставляется с набором ролей по умолчанию. Роли по умолчанию гарантируют, что привилегированные пользователи могут просматривать и взаимодействовать с данными в созданном элементе. Разные элементы имеют разные роли по умолчанию в зависимости от вариантов использования этого элемента, но большинство из них содержат роль DefaultReader . Используя виртуализированные роли, все пользователи, обладающие необходимыми разрешениями на просмотр данных элемента (например, разрешение ReadAll), включены в эту роль по умолчанию. Чтобы ограничить доступ от этих пользователей, удалите роль DefaultReader или уберите разрешение ReadAll у пользователей, имеющих доступ.
Созданные элементы, имеющие соответствующую конечную точку аналитики SQL, по умолчанию начинают работу в режиме идентификации пользователя. Администраторы и участники могут изменять режим в любое время в параметрах конечной точки.
Это важно
При добавлении пользователя в роль доступа к данным, убедитесь, что вы удалили его из роли DefaultReader. В противном случае они поддерживают полный доступ к данным.
Включение безопасности OneLake для конечной точки аналитики SQL
Прежде чем использовать систему безопасности OneLake с конечной точкой аналитики SQL, необходимо настроить для использования режима доступа по удостоверению пользователя.
Note
Необходимо один раз переключиться на режим доступа по удостоверению пользователя для каждой конечной точки аналитики SQL. Конечные точки, которые не переключились в режим удостоверений пользователя, продолжают использовать делегированную идентичность для оценки разрешений.
Перейдите в конечную точку аналитики SQL.
В интерфейсе конечной точки аналитики SQL перейдите на вкладку "Безопасность ".
Выберите Просмотр режима доступа к данным>Параметры режима доступа к данным.
Выберите "Использовать безопасность OneLake" для таблиц (режим доступа к удостоверениям пользователя) и нажмите кнопку "Применить".
Нажмите кнопку "Продолжить", чтобы подтвердить свой выбор.
Теперь конечная точка аналитики SQL готова к использованию с безопасностью OneLake.