Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этой статье описывается, как использовать модель авторизованного модуля , чтобы разрешить любому обработчику или приложению интегрироваться с защищенными данными OneLake.
Безопасность OneLake обеспечивает точное управление доступом к данным в OneLake и применяет его везде, где осуществляется доступ к данным. Безопасность OneLake разработана вокруг централизованного определения политики с контролируемым распределенным применением. Политики безопасности, такие как разрешения на основе ролей, безопасность на уровне строк (RLS) и безопасность на уровне столбцов (CLS), создаются и хранятся один раз в OneLake. Принудительное применение выполняется во время выполнения запроса в ядре, которое считывает данные. Однако не все подсистемы понимают, как применять политики управления доступом, определенные в OneLake. В результате OneLake блокирует доступ к данным с помощью политик RLS или CLS, установленных в нем, если пользователю не разрешено просматривать все данные. Чтобы разрешить собственному движку или приложению обеспечить безопасность OneLake, настройте его в качестве авторизованного движка.
Настройте авторизованный движок
Авторизованные движки настраиваются администратором или участником рабочей области путем предоставления идентификатору движка необходимых привилегий в Fabric. Для каждого обработчика, который требуется авторизовать, выполните следующие действия.
- Ознакомьтесь с документацией для движка, чтобы найти идентификатор, используемый движком для запроса данных из внешних источников. Обратите внимание, что в Fabric поддерживаются только удостоверения Microsoft Entra.
- Добавьте удостоверение обработчика в роль участника с помощью разрешений рабочей области. Доступ к авторизованному обработчику ограничен определенными рабочими областями. Эта мера предоставляет учетной записи необходимые привилегии для чтения метаданных роли безопасности OneLake и доступа к файлам данных из OneLake. Доступ можно отозвать в любое время, удалив учетную запись из роли рабочей области.