Teilen über

Erste Schritte mit OneLake-Datenzugriffsrollen (Vorschau)

  • Artikel

Übersicht

OneLake-Datenzugriffsrollen für Ordner sind ein neues Feature, mit dem Sie rollenbasierte Zugriffssteuerung (RBAC) auf Ihre in OneLake gespeicherten Daten anwenden können. Sie können Sicherheitsrollen definieren, die Lesezugriff auf bestimmte Ordner innerhalb eines Fabric-Elements gewähren und diese Benutzern oder Gruppen zuweisen. Die Zugriffsberechtigungen bestimmen, welche Ordner Benutzer beim Zugriff auf die Lakeanzeige der Daten sehen, entweder über die Lakehouse-UX, Notebooks oder OneLake-APIs.

Fabric-Benutzer in den Rollen Administrator, Mitglied oder Mitwirkender können beginnen, indem Sie OneLake-Datenzugriffsrollen erstellen, um nur für bestimmte Ordner in einem Lakehouse Zugriff zu gewähren. Um den Zugriff auf Daten in einem Lakehouse zu gewähren, fügen Sie Benutzer zu einer Datenzugriffsrolle hinzu. Benutzer, die nicht Teil einer Datenzugriffsrolle sind, sehen keine Daten in diesem Lakehouse.

Hinweis

Die Sicherheit der Datenzugriffsrolle gilt NUR für Benutzer, die direkt auf OneLake zugreifen. Fabric-Elemente wie SQL-Endpunkt, Semantikmodelle und Lagerorte verfügen über eigene Sicherheitsmodelle und greifen über eine delegierte Identität auf OneLake zu. Dies bedeutet, dass Benutzer unterschiedliche Elemente in jedem Workload sehen können, wenn sie Zugriff auf mehrere Elemente erhalten.

Vorgehensweise

Alle Lakehouses in Fabric haben standardmäßig die Vorschaufunktion für Datenzugriffsrollen deaktiviert. Die Previewfunktion wird pro Lakehouse konfiguriert. Das Opt-In-Steuerelement ermöglicht es einem einzelnen Lakehouse, die Vorschau auszuprobieren, ohne sie auf anderen Lakehouses oder Fabric-Elementen zu aktivieren.

Um die Vorschau zu aktivieren, müssen Sie ein Administrator, Mitglied oder Mitwirkender im Arbeitsbereich sein. Navigieren Sie zu einem Lakehouse und wählen Sie im Menüband die Schaltfläche OneLake-Datenzugriff verwalten (Vorschau) aus, um das Bestätigungsdialogfeld zu öffnen. Die Vorschau der Datenzugriffsrollen ist nicht mit der Vorschau für externe Datenfreigaben kompatibel. Wenn Sie mit der Änderung einverstanden sind, wählen Sie Weiter aus. Die UX für die Rollenverwaltung wird geöffnet und das Feature ist nun aktiviert.

Die Previewfunktion kann nach der Aktivierung nicht mehr deaktiviert werden.

Um eine reibungslose Opt-In-Erfahrung sicherzustellen, haben alle Benutzer mit Leseberechtigung für Daten im Lakehouse weiterhin Lesezugriff. Das Migrieren des Zugriffs erfolgt über die Erstellung einer Standarddatenzugriffsrolle namens „DefaultReader“. Durch die Verwendung von virtualisierten Rollenmitgliedschaften aller Benutzer, die über die erforderlichen Berechtigungen zum Anzeigen von Daten im Lakehouse (die ReadAll-Berechtigung) verfügen, sind als Mitglieder dieser Standardrolle enthalten. Um mit der Einschränkung des Zugriffs auf diese Benutzer zu beginnen, stellen Sie sicher, dass die DefaultReader-Rolle gelöscht wird oder dass die Berechtigung ReadAll von den zugreifenden Benutzern entfernt wird.

Wichtig

Stellen Sie sicher, dass alle Benutzer, die in einer Datenzugriffsrolle enthalten sind, nicht auch Teil der DefaultReader-Rolle sind. Andernfalls behalten sie den Vollzugriff auf die Daten bei.

Welche Datentypen können gesichert werden?

OneLake-Datenzugriffsrollen können zum Verwalten des OneLake-Lesezugriffs auf Ordner in einem Lakehouse verwendet werden. Lesezugriff kann jedem Ordner in einem Lakehouse gewährt werden, und kein Zugriff auf einen Ordner ist der Standardstatus. Die von Datenzugriffsrollen festgelegte Sicherheit gilt ausschließlich für den Zugriff auf OneLake- oder OneLake-spezifische APIs. Weitere Informationen finden Sie unter Daten-Zugriffssteuerungsmodell.

Voraussetzungen

Um die Sicherheit für ein Lakehouse zu konfigurieren, müssen Sie ein Administrator, Mitglied oder Mitwirkender für den Arbeitsbereich sein. Die Rollenerstellung und die Mitgliedschaftszuweisung werden wirksam, sobald die Rolle gespeichert wird. Stellen Sie daher sicher, dass Sie Zugriff gewähren möchten, bevor Sie eine Person zu einer Rolle hinzufügen.

OneLake-Datenzugriffsrollen werden nur für Lakehouse-Elemente unterstützt.

Erstellen einer Rolle

  1. Öffnen Sie das Lakehouse, in dem Sie Sicherheit definieren möchten.
  2. Wählen Sie auf der rechten Seite des Lakehouse-Menübands OneLake-Datenzugriff verwalten (Vorschau) aus.
  3. Wählen Sie oben links im Bereich OneLake-Datenzugriff verwalten die Option Neue Rolle aus, und geben Sie den gewünschten Rollennamen ein. Der Rollenname hat bestimmte Einschränkungen:
    1. Der Rollenname kann nur alphanumerische Zeichen enthalten.
    2. Der Rollenname muss mit einem Buchstaben beginnen.
    3. Namen müssen eindeutig sein und unterscheiden nicht zwischen Groß- und Kleinschreibung.
    4. Die maximale Namenslänge ist 128 Zeichen.
  4. Wählen Sie den Umschalter Alle Ordner aus, wenn diese Rolle auf alle Ordner in diesem Lakehouse angewendet werden soll.
    1. Diese Auswahl enthält alle Ordner, die in Zukunft hinzugefügt werden.
  5. Wählen Sie die ausgewählten Ordner aus, wenn diese Rolle nur für ausgewählte Ordner gelten soll.
    1. Aktivieren Sie die Kontrollkästchen neben den Ordnern, auf die die Rolle angewendet werden soll.
    2. Rollen gewähren Zugriff auf Ordner. Damit ein Benutzer auf einen Ordner zugreifen kann, aktivieren Sie das Kontrollkästchen daneben. Wenn ein Benutzer keinen Ordner sehen sollte, aktivieren Sie das Kontrollkästchen nicht.
    3. Wählen Sie unten links Speichern aus, um Ihre neue Rolle zu erstellen.
  6. Wählen Sie oben links die Option Rolle zuweisen aus, um den Rollenmitgliedschaftsbereich zu öffnen.
  7. Fügen Sie Personen, Gruppen oder E-Mail-Adressen zum Steuerelement Personen oder Gruppen hinzufügen hinzu. Weitere Informationen finden Sie unter Zuweisen eines Benutzers oder einer Gruppe.
  8. Wählen Sie Hinzufügen aus, um Ihre Auswahl in die Liste Zugewiesene Personen und Gruppen zu verschieben. Wenn Sie Hinzufügen auswählen, wird Ihre Auswahl noch nicht gespeichert.
  9. Wählen Sie Speichern aus, und warten Sie auf die Benachrichtigung, dass die Rollen erfolgreich veröffentlicht wurden.
  10. Wählen Sie oben rechts das X aus, um den Bereich zu schließen.

Bearbeiten einer Rolle

  1. Öffnen Sie das Lakehouse, in dem Sie Sicherheit definieren möchten.
  2. Wählen Sie auf der rechten Seite des Lakehouse-Menübands OneLake-Datenzugriff verwalten (Vorschau) aus.
  3. Zeigen Sie im Bereich OneLake-Datenzugriff verwalten mit der Maus auf die Rolle, die Sie bearbeiten möchten, und wählen Sie sie aus.
  4. Sie können ändern, auf welche Ordner Zugriff gewährt wird, indem Sie die Kontrollkästchen neben jedem Ordner aktivieren oder deaktivieren.
  5. Um die Personen zu ändern, wählen Sie Rolle zuweisen aus. Weitere Informationen finden Sie unter Zuweisen eines Benutzers oder einer Gruppe.
  6. Wenn Sie weitere Personen hinzufügen möchten, geben Sie im Feld Personen oder Gruppen hinzufügen Namen ein, und wählen Sie Hinzufügen aus.
  7. Um Personen zu entfernen, wählen Sie ihren Namen unter Zugewiesene Personen und Gruppen aus, und wählen Sie Entfernen aus.
  8. Wählen Sie Speichern aus, und warten Sie auf die Benachrichtigung, dass die Rollen erfolgreich veröffentlicht wurden.
  9. Wählen Sie oben rechts das X aus, um den Bereich zu schließen.

Löschen einer Rolle

  1. Öffnen Sie das Lakehouse, in dem Sie Sicherheit definieren möchten.
  2. Wählen Sie auf der rechten Seite des Lakehouse-Menübands OneLake-Datenzugriff verwalten (Vorschau) aus.
  3. Aktivieren Sie im Bereich OneLake-Datenzugriff verwalten das Kontrollkästchen neben den Rollen, die Sie löschen möchten.
  4. Wählen Sie Löschen aus, und warten Sie auf die Benachrichtigung, dass die Rollen erfolgreich gelöscht wurden.
  5. Wählen Sie oben rechts das X aus, um den Bereich zu schließen.

Mitglied oder Gruppe zuweisen

OneLake-Datenzugriffsrollen unterstützen zwei verschiedene Methoden zum Hinzufügen von Benutzern zu einer Rolle. Die Standard-Methode besteht darin, Benutzer oder Gruppen direkt zu einer Rolle hinzuzufügen, indem Sie das Feld Personen oder Gruppen hinzufügen auf der Seite Rollen zuweisen verwenden. Die zweite verwendet virtuelle Mitgliedschaften mit der Steuerung des Automatischen Hinzufügen von Benutzern mit all diesen Berechtigungen.

Durch direktes Hinzufügen von Benutzern zu einer Rolle mit dem Feld Personen oder Gruppen hinzufügen werden die Benutzer als explizite Mitglieder der Rolle hinzugefügt. Diese Benutzer werden nur mit ihrem Namen und Bild in der Liste Zugewiesene Personen und Gruppen angezeigt.

Die virtuellen Mitglieder ermöglichen, dass die Mitgliedschaft der Rolle basierend auf den Fabric-Elementberechtigungen der Benutzer dynamisch angepasst wird. Indem Sie Automatisch Benutzer mit all diesen Berechtigungen hinzufügen und eine Berechtigung auswählen, fügen Sie alle Benutzer im Fabric-Arbeitsbereich hinzu, die über alle ausgewählten Berechtigungen als implizites Mitglied der Rolle verfügen. Wenn Sie beispielsweise ReadAll, Schreiben ausgewählt haben, würde jeder Benutzer des Fabric-Arbeitsbereichs, der über Lese- und Schreibberechtigungen für das Lakehouse verfügt, als Mitglied der Rolle einbezogen. Sie können sehen, welche Benutzer als virtuelle Mitglieder hinzugefügt werden, indem Sie in der Liste Zugewiesene Personen und Gruppen den Text „Zugewiesen nach Arbeitsbereichsberechtigungen“ unter ihrem Namen suchen. Diese Mitglieder können nicht manuell entfernt werden und müssen ihre entsprechende Fabric-Berechtigung widerrufen lassen, um nicht zugewiesen zu werden.

Unabhängig davon, welcher Mitgliedschaftstyp, Datenzugriffsrollen das Hinzufügen einzelner Benutzer, Microsoft Entra-Gruppen und Sicherheitsprinzipale unterstützen.

Zuweisen von Mitgliedern

Um zur Seite Mitglieder zuweisen zu gelangen, gibt es zwei Möglichkeiten:

Methode 1

  1. Wählen Sie den Namen der Rolle aus, die Sie dem Mitglied zuweisen möchten.
  2. Wählen Sie oben auf der Seite für Rollendetails Rolle zuweisen aus.

Methode 2

  1. Aktivieren Sie in der Rollenliste das Kontrollkästchen neben der Rolle, der Sie Mitglieder zuweisen möchten.
  2. Wählen Sie Zuweisen aus.

Direktes Zuweisen von Benutzern

Auf der Seite Rolle zuweisen können Sie Mitglieder oder Gruppen hinzufügen, indem Sie im Feld Personen oder Gruppen hinzufügen den Namen oder die E-Mail-Adresse eingeben. Wählen Sie das Ergebnis aus, das Sie für den Benutzer auswählen möchten. Sie können diesen Schritt für beliebig viele Benutzer wiederholen. Wenn Sie die falschen Benutzer ausgewählt haben, können Sie das X neben dem Eintrag auswählen, um sie aus dem Feld zu entfernen, oder Löschen auswählen, um alle Einträge zu entfernen. Nachdem Sie fertig sind, wählen Sie Hinzufügen aus, um die ausgewählten Benutzer in die Zugriffsliste zu verschieben. Das Hinzufügen dieser Elemente zur Liste wird noch nicht gespeichert. Es ist eine Vorschau der Rollenmitgliedschaftsliste, nachdem diese Benutzer hinzugefügt wurden.

Wählen Sie am unteren Rand des Bereichs die Option Speichern aus, um die Zugriffsänderungen zu veröffentlichen.

Zuweisen virtueller Mitglieder

Um virtuelle Mitglieder hinzuzufügen, verwenden Sie das Feld Benutzer automatisch hinzufügen mit all diesen Berechtigungen. Wählen Sie das Feld aus, um die Dropdownauswahl zu öffnen, um die Fabric-Berechtigungen zur Virtualisierung auszuwählen. Benutzer werden virtualisiert, wenn sie über alle überprüften Berechtigungen verfügen.

Die Berechtigungen, die für die Virtualisierung verwendet werden können, sind:

  • Lesen
  • Schreiben
  • Erneut freigeben
  • Ausführen
  • ReadAll
  • ViewOutput
  • ViewLogs

Sobald eine Berechtigung ausgewählt ist, werden alle virtualisierten Mitglieder in der Liste Zugewiesene Personen und Gruppen angezeigt. Die Benutzer haben Text neben ihrem Namen, der angibt, dass sie von den Arbeitsbereichsberechtigungen zugewiesen wurden. Diese Benutzer können nicht manuell aus der Rollenzuweisung entfernt werden. Entfernen Sie stattdessen die entsprechenden Berechtigungen aus dem Virtualisierungssteuerelement, oder entfernen Sie die Fabric-Berechtigung.

Bekannte Probleme

Die Previewfunktion für externe Datenfreigaben (Link) ist nicht mit der Vorschau der Datenzugriffsrollen kompatibel. Wenn Sie die Vorschau der Datenzugriffsrollen auf einem Lakehouse aktivieren, funktionieren alle vorhandenen externen Datenfreigaben möglicherweise nicht mehr.

Zugehöriger Inhalt