Muistiinpano
Tämän sivun käyttö edellyttää valtuutusta. Voit yrittää kirjautua sisään tai vaihtaa hakemistoa.
Tämän sivun käyttö edellyttää valtuutusta. Voit yrittää vaihtaa hakemistoa.
OneLake-suojauksen avulla voit soveltaa roolipohjaista kulunvalvontaa (RBAC) OneLakeen tallennettuihin tietoihisi. Voit määritellä turvallisuusrooleja, jotka antavat pääsyn tiettyihin kansioihin Fabric-kohteessa, ja sitten määrittää nämä roolit käyttäjille tai ryhmille. Roolit voivat sisältää myös rivi- tai saraketason suojauksen käytön rajoittamiseksi entisestään. OneLaken suojausoikeudet määrittävät, mitä tietoja käyttäjä näkee kaikissa Fabricin kokemuksissa.
Fabric-käyttäjät, joilla on kirjoitus- ja uudelleenjakamisoikeudet (yleensä järjestelmänvalvojan ja jäsenen työtilan käyttäjät), voivat aloittaa luomalla OneLake-käyttöoikeusrooleja, jotka myöntävät käyttöoikeuden vain tiettyihin Fabric-tietokohteen kansioihin tai taulukoihin. Jos haluat myöntää käyttöoikeuden kohteen tietoihin, lisää käyttäjiä tietojen käyttöoikeusrooliin. Käyttäjät, jotka eivät kuulu tietojen käyttöoikeusrooliin, eivät näe tietoja kyseisessä kohteessa.
Millaisia tietoja voidaan suojata?
Käytä OneLake-turvallisuusrooleja hallitaksesi OneLake-lukuoikeuksia kaikkiin tauluihin tai kansioihin tuetussa tietokohteessa. Taulukoiden käyttöä voidaan rajoittaa edelleen rivi- ja/tai saraketason suojauksella. Kaikki suojausjoukot koskevat kaikkien Fabricin moduulien käyttöä. Lisätietoja löytyy datan käyttöoikeuden hallintamallista.
Tietyille kohdetyypeille voit myös määrittää ReadWrite-käytännön. Tämä oikeus antaa käyttäjille mahdollisuuden muokata dataa järvenrakennuksessa tietyillä tauluilla tai kansioilla ilman, että heille annetaan pääsy Fabric-kohteiden luomiseen tai hallintaan. ReadWrite-käyttöoikeus mahdollistaa käyttäjille kirjoitustoimintojen suorittamisen Spark-muistikirjojen, OneLake-tiedostonhallinnan tai OneLake-rajapintojen kautta. Kirjoitustoimintoja Lakehouse UX:n kautta katsojille ei tueta.
Seuraavat tiedot tukevat OneLake-turvallisuutta:
| Kangas esine | Tuetut käyttöoikeudet |
|---|---|
| Lakehouse | Lue, lueKirjoita |
| Azure Databricksin peilattu luettelo | Read |
| Peilatut tietokannat | Read |
Oletusasetukset
Kun luot uuden esineen, siihen liittyy joukko oletusrooleja. Oletusroolit varmistavat, että etuoikeutetut käyttäjät voivat nähdä ja olla vuorovaikutuksessa uuden tuotteen datan kanssa. Eri kohteilla on erilaiset oletusroolit riippuen kyseisen tuotteen käyttötapauksista, mutta useimmissa on DefaultReader-rooli . Virtualisoitujen roolijäsenyyksien avulla kaikki käyttäjät, joilla on tarvittavat oikeudet nähdä tietoja kohteessa (esimerkiksi ReadAll-oikeus), sisällytetään tämän oletusroolin jäseniksi. Rajoittaaksesi pääsyä näille käyttäjille, poista DefaultReader-rooli tai poista ReadAll-oikeus käyttäjiltä.
Uudet luodut kohteet, joilla on vastaava SQL-analytiikkapäätepiste , alkavat oletuksena käyttäjän identiteettitilassa . Ylläpitäjät ja jäsenet voivat vaihtaa tilaa milloin tahansa päätepisteen asetuksista.
Tärkeää
Kun lisäät käyttäjän datan käyttörooliin, varmista, että poistat hänet DefaultReader-roolista. Muuten he säilyttävät täyden pääsyn tietoihin.
OneLake-suojauksen ottaminen käyttöön SQL-analytiikan päätepistettä varten
Ennen kuin voit käyttää OneLake-turvallisuutta SQL-analytiikkapäätepisteen kanssa, sinun täytyy konfiguroida se käyttämään käyttäjän identiteettikäyttötilaa.
Muistio
Käyttäjän identiteetin käyttötilaan tarvitsee vaihtaa vain kerran SQL-analytiikan päätepisteen aikana. Päätepisteet, joita ei ole kytketty käyttäjän identiteettitilaan, käyttävät edelleen delegoitua identiteettiä käyttöoikeuksien arviointiin.
Mene SQL-analytiikan päätepisteeseen.
SQL-analytiikan päätepistekokemuksessa valitse Tietoturva-välilehti.
Valitse View data access mode (preview)Data>access mode -asetukset.
Valitse Käytä OneLake-turvallisuutta tauluille (käyttäjän identiteetin käyttötila) ja valitse sitten Apply.
Valitse Jatka vahvistaaksesi valintasi.
SQL-analytiikan päätepiste on nyt valmis käytettäväksi OneLake-suojauksen kanssa.