다음을 통해 공유

OneLake 데이터 액세스 역할 시작(미리 보기)

  • 아티클

개요

폴더에 대한 OneLake 데이터 액세스 역할은 OneLake에 저장된 데이터에 RBAC(역할 기반 액세스 제어)를 적용할 수 있는 새로운 기능입니다. 패브릭 항목 내의 특정 폴더에 대한 읽기 권한을 부여하고 사용자 또는 그룹에 할당하는 보안 역할을 정의할 수 있습니다. 액세스 권한은 Lakehouse UX, Notebook 또는 OneLake API를 통해 데이터의 레이크 뷰에 액세스할 때 사용자에게 표시되는 폴더를 결정합니다.

관리, 멤버 또는 기여자 역할의 패브릭 사용자는 OneLake 데이터 액세스 역할을 만들어 레이크하우스의 특정 폴더에만 액세스 권한을 부여하여 시작할 수 있습니다. 레이크하우스의 데이터에 대한 액세스 권한을 부여하려면 데이터 액세스 역할에 사용자를 추가합니다. 데이터 액세스 역할에 속하지 않은 사용자는 해당 레이크하우스에 데이터가 표시되지 않습니다.

참고 항목

데이터 액세스 역할 보안은 OneLake에 직접 액세스하는 사용자에게만 적용됩니다. SQL 엔드포인트, 의미 체계 모델 및 웨어하우스와 같은 패브릭 항목에는 자체 보안 모델이 있으며 위임된 ID를 통해 OneLake에 액세스합니다. 즉, 사용자는 여러 항목에 대한 액세스 권한이 부여된 경우 각 워크로드에서 서로 다른 항목을 볼 수 있습니다.

옵트인하는 방법

패브릭의 모든 레이크하우스에는 기본적으로 데이터 액세스 역할 미리 보기 기능이 비활성화되어 있습니다. 미리 보기 기능은 레이크하우스별로 구성됩니다. 옵트인 컨트롤을 사용하면 단일 레이크하우스가 다른 레이크하우스 또는 패브릭 항목에서 사용하지 않고 미리 보기를 시도할 수 있습니다.

미리 보기를 사용하려면 작업 영역에서 관리, 구성원 또는 기여자여야 합니다. 레이크하우스로 이동하고 리본에서 OneLake 데이터 액세스 관리(미리 보기) 단추를 선택하여 확인 대화 상자를 엽니다. 데이터 액세스 역할 미리 보기는 외부 데이터 공유 미리 보기와 호환되지 않습니다. 변경 내용이 괜찮으면 [계속]을 선택합니다. 관리 역할 UX가 열리고 이제 기능이 사용하도록 설정됩니다.

미리 보기 기능을 사용하도록 설정한 후에는 해제할 수 없습니다.

원활한 옵트인 환경을 보장하기 위해 Lakehouse의 데이터에 대한 읽기 권한이 있는 모든 사용자는 계속해서 읽기 액세스 권한을 갖습니다. 액세스 마이그레이션은 "DefaultReader"라는 기본 데이터 액세스 역할을 생성하여 수행됩니다. 가상화된 역할 멤버 자격을 사용하면 레이크하우스에서 데이터를 보는 데 필요한 권한이 있는 모든 사용자(ReadAll 권한)가 이 기본 역할의 멤버로 포함됩니다. 해당 사용자에 대한 액세스를 제한하려면 DefaultReader 역할이 삭제되었는지 또는 액세스하는 사용자에서 ReadAll 권한이 제거되었는지 확인합니다.

Important

데이터 액세스 역할에 포함된 모든 사용자가 DefaultReader 역할의 일부가 아닌지 확인합니다. 그렇지 않으면 기본 데이터에 대한 모든 액세스 권한을 획득합니다.

어떤 유형의 데이터를 보호해야 합니까?

OneLake 데이터 액세스 역할을 사용하여 레이크하우스의 폴더에 대한 OneLake 읽기 액세스를 관리할 수 있습니다. 레이크하우스의 모든 폴더에 대한 읽기 권한을 부여할 수 있으며 폴더에 대한 액세스 권한은 기본 상태입니다. 데이터 액세스 역할에 의한 보안 집합은 OneLake 또는 OneLake 특정 API에 대한 액세스에만 적용됩니다. 자세한 내용은 데이터 액세스 제어 모델을 참조 하세요.

필수 조건

lakehouse에 대한 보안을 구성하려면 작업 영역에 대한 관리, 구성원 또는 기여자여야 합니다. 역할 만들기 및 멤버 자격 할당은 역할이 저장되는 즉시 적용되므로 역할에 사용자를 추가하기 전에 액세스 권한을 부여해야 합니다.

OneLake 데이터 액세스 역할은 레이크하우스 항목에 대해서만 지원됩니다.

역할 만들기

  1. 보안을 정의하려는 레이크하우스를 엽니다.
  2. 레이크하우스 리본의 오른쪽에서 OneLake 데이터 액세스 관리(미리 보기)를 선택합니다.
  3. OneLake 데이터 액세스 관리 창의 왼쪽 위에서 새 역할을 선택하고 원하는 역할 이름을 입력합니다. 역할 이름에는 다음과 같은 특정 제한 사항이 있습니다.
    1. 역할 이름은 영숫자 문자만 포함할 수 있습니다.
    2. 역할 이름은 문자로 시작해야 합니다.
    3. 이름은 대/소문자를 구분하지 않으며 고유해야 합니다.
    4. 최대 이름 길이는 128자입니다.
  4. 이 역할을 이 레이크하우스의 모든 폴더에 적용하려면 모든 폴더 토글을 선택합니다.
    1. 이 선택 영역에는 나중에 추가되는 모든 폴더가 포함됩니다.
  5. 선택한 폴더에 만 이 역할을 적용하려면 선택한 폴더를 선택합니다.
    1. 역할을 적용할 폴더 옆에 있는 확인란을 선택합니다.
    2. 역할은 폴더에 대한 액세스 권한을 부여합니다. 사용자가 폴더에 액세스할 수 있도록 허용하려면 폴더 옆에 있는 상자를 검사. 사용자에게 폴더가 표시되지 않으면 상자에 검사 않습니다.
    3. 왼쪽 아래에서 [저장]을 선택하여 역할을 만듭니다.
  6. 왼쪽 위에서 역할 할당을 선택하여 역할 멤버 자격 창을 엽니다.
  7. 사용자, 그룹 또는 전자 메일 주소를 사용자 또는 그룹 추가 컨트롤에 추가합니다. 자세한 내용은 멤버 또는 그룹 할당을 참조 하세요.
  8. 추가를 선택하여 선택 항목을 할당된 사용자 및 그룹 목록으로 이동합니다. 추가선택하면 선택 영역이 아직 저장되지 않습니다.
  9. 저장을 선택하고 역할이 성공적으로 게시될 때까지 기다립니다.
  10. 오른쪽 위에 있는 X를 선택하여 창을 종료합니다.

역할 편집

  1. 보안을 정의하려는 레이크하우스를 엽니다.
  2. 레이크하우스 리본의 오른쪽에서 OneLake 데이터 액세스 관리(미리 보기)를 선택합니다.
  3. OneLake 데이터 액세스 관리 창에서 편집할 역할을 마우스로 가리키고 선택합니다.
  4. 각 폴더 옆에 있는 검사 상자를 선택하거나 선택 취소하여 액세스 권한이 부여되는 폴더를 변경할 수 있습니다.
  5. 사용자를 변경하려면 역할 할당을 선택합니다. 자세한 내용은 멤버 또는 그룹 할당을 참조 하세요.
  6. 사용자를 더 추가하려면 사용자 또는 그룹 추가 상자에 이름을 입력하고 추가를 선택합니다.
  7. 사용자를 제거하려면 할당된 사용자 및 그룹에서 해당 이름을 선택하고 제거를 선택합니다.
  8. 저장을 선택하고 역할이 성공적으로 게시될 때까지 기다립니다.
  9. 오른쪽 위에 있는 X를 선택하여 창을 종료합니다.

역할 삭제

  1. 보안을 정의하려는 레이크하우스를 엽니다.
  2. 레이크하우스 리본의 오른쪽에서 OneLake 데이터 액세스 관리(미리 보기)를 선택합니다.
  3. OneLake 데이터 액세스 관리 창에서 삭제할 역할 옆에 있는 상자를 검사.
  4. 삭제를 선택하고 역할이 성공적으로 삭제되었다는 알림을 기다립니다.
  5. 오른쪽 위에 있는 X를 선택하여 창을 종료합니다.

멤버 또는 그룹 할당

OneLake 데이터 액세스 역할은 역할에 사용자를 추가하는 두 가지 방법을 지원합니다. 기본 방법은 역할 할당 페이지의 사용자 또는 그룹 추가 상자를 사용하여 역할에 직접 사용자 또는 그룹을 추가하는 것입니다. 두 번째는 이러한 모든 권한 제어를 사용하여 사용자를 자동으로 추가하는 가상 멤버 자격을 사용하는 것입니다 .

사용자 또는 그룹 추가 상자를 사용하여 역할에 사용자를 직접 추가하면 사용자가 역할의 명시적 멤버로 추가됩니다. 이러한 사용자는 할당된 사용자 및 그룹 목록에 표시된 이름과 사진만 표시합니다.

가상 멤버는 사용자의 패브릭 항목 권한에 따라 역할의 멤버 자격을 동적으로 조정할 수 있습니다. 이러한 모든 사용 권한 상자가 있는 사용자 자동 추가를 선택하고 사용 권한을 선택하면 선택한 모든 권한이 있는 Fabric 작업 영역에서 모든 사용자를 역할의 암시적 멤버로 추가합니다. 예를 들어 ReadAll을 선택한 경우 쓰기 를 선택하면 Lakehouse에 대한 ReadAll AND Write 권한이 있는 Fabric 작업 영역의 모든 사용자가 역할의 멤버로 포함됩니다. 할당된 사용자 및 그룹 목록의 이름 아래에 있는 "작업 영역 권한으로 할당됨" 텍스트를 검색하여 가상 멤버로 추가되는 사용자를 확인할 수 있습니다. 이러한 멤버는 수동으로 제거할 수 없으며 할당을 취소하려면 해당 패브릭 사용 권한을 취소해야 합니다.

멤버 자격 유형에 관계없이 데이터 액세스 역할은 개별 사용자, Microsoft Entra 그룹 및 보안 주체 추가를 지원합니다.

멤버 할당

멤버 할당 페이지로 이동하려면 다음 두 가지 방법이 있습니다.

방법 1

  1. 멤버를 할당할 역할의 이름을 선택합니다.
  2. 역할 세부 정보 페이지의 맨 위에서 역할 할당을 선택합니다.

방법 2

  1. 역할 목록에서 멤버를 할당할 역할 옆에 있는 검사 상자를 선택합니다.
  2. 할당을 선택합니다.

사용자에게 직접 할당

역할 할당 페이지에서 사용자 또는 그룹 추가 상자에 이름 또는 전자 메일 주소를 입력하여 구성원 또는 그룹을 추가할 수 있습니다. 해당 사용자를 선택하려는 결과를 선택합니다. 원하는 만큼의 사용자에 대해 이 단계를 반복할 수 있습니다. 잘못된 사용자를 선택한 경우 해당 항목 옆에 있는 X를 선택하여 상자에서 제거하거나 지우기를 선택하여 모든 항목을 제거할 수 있습니다. 완료되면 추가를 선택하여 선택한 사용자를 액세스 목록으로 이동합니다. 목록에 추가해도 아직 저장되지 않습니다. 해당 사용자가 추가되면 역할 멤버 자격 목록의 미리 보기입니다.

액세스 변경 내용을 게시하려면 창 아래쪽에서 저장을 선택합니다.

가상 멤버 할당

가상 멤버를 추가하려면 이러한 모든 사용 권한 상자를 사용하여 사용자를 자동으로 추가합니다 . 상자를 선택하여 드롭다운 선택기를 열어 가상화할 패브릭 권한을 선택합니다. 사용자는 모든 검사 권한이 있는 경우 가상화됩니다.

가상화에 사용할 수 있는 권한은 다음과 같습니다.

  • 읽기
  • 쓰기
  • 다시 공유
  • 실행
  • ReadAll
  • ViewOutput
  • ViewLogs

사용 권한을 선택하면 모든 가상화된 멤버가 할당된 사용자 및 그룹 목록에 표시됩니다. 사용자에게는 작업 영역 권한으로 할당되었음을 나타내는 텍스트가 이름 옆에 있습니다. 이러한 사용자는 역할 할당에서 수동으로 제거할 수 없습니다. 대신 가상화 컨트롤에서 해당 권한을 제거하거나 패브릭 권한을 제거합니다.

알려진 문제

외부 데이터 공유 미리 보기 기능(링크)은 데이터 액세스 역할 미리 보기와 호환되지 않습니다. 레이크하우스에서 데이터 액세스 역할 미리 보기를 사용하도록 설정하면 기존 외부 데이터 공유가 작동하지 않을 수 있습니다.

관련 콘텐츠