Delen via

Aan de slag met OneLake-rollen voor gegevenstoegang (preview)

  • Artikel

Overzicht

OneLake-rollen voor gegevenstoegang voor mappen is een nieuwe functie waarmee u op rollen gebaseerd toegangsbeheer (RBAC) kunt toepassen op uw gegevens die zijn opgeslagen in OneLake. U kunt beveiligingsrollen definiëren die leestoegang verlenen tot specifieke mappen in een Fabric-item en deze toewijzen aan gebruikers of groepen. De toegangsmachtigingen bepalen welke mappen gebruikers zien bij het openen van de lake-weergave van de gegevens, hetzij via de Lakehouse UX, notebooks of OneLake-API's.

Fabric-gebruikers in de rollen Beheer, Lid of Inzender kunnen aan de slag met het maken van OneLake-gegevenstoegangsrollen om alleen toegang te verlenen tot specifieke mappen in een lakehouse. Als u toegang wilt verlenen tot gegevens in een lakehouse, voegt u gebruikers toe aan een rol voor gegevenstoegang. Gebruikers die geen deel uitmaken van een rol voor gegevenstoegang zien geen gegevens in dat lakehouse.

Notitie

Beveiliging van gegevenstoegangsrollen is ALLEEN van toepassing op gebruikers die rechtstreeks toegang hebben tot OneLake. Fabric-items zoals SQL Endpoint, Semantische modellen en Warehouses hebben hun eigen beveiligingsmodellen en hebben toegang tot OneLake via een gedelegeerde identiteit. Dit betekent dat gebruikers verschillende items in elke workload kunnen zien als ze toegang krijgen tot meerdere items.

Aanmelden

Alle lakehouses in Fabric hebben de preview-functie voor gegevenstoegangsrollen standaard uitgeschakeld. De preview-functie wordt per lakehouse geconfigureerd. Met het opt-in-besturingselement kan één lakehouse de preview uitproberen zonder deze in te schakelen op andere lakehouses of Fabric-items.

Als u de preview wilt inschakelen, moet u een Beheer, Lid of Inzender in de werkruimte zijn. Navigeer naar een lakehouse en selecteer de knop OneLake-gegevenstoegang beheren (preview) op het lint om het bevestigingsdialoogvenster te openen. De preview-versie van gegevenstoegangsrollen is niet compatibel met de preview van externe gegevensdeling. Als u akkoord gaat met de wijziging, selecteert u Doorgaan. De UX voor het beheren van rollen wordt geopend en de functie is nu ingeschakeld.

De preview-functie kan niet eenmaal worden uitgeschakeld.

Om een soepele opt-in-ervaring te garanderen, blijven alle gebruikers met leesmachtigingen voor gegevens in lakehouse leestoegang hebben. Het migreren van toegang wordt uitgevoerd door het maken van een standaardrol voor gegevenstoegang met de naam DefaultReader. Als u gevirtualiseerde rollidmaatschappen gebruikt, worden alle gebruikers met de benodigde machtigingen voor het weergeven van gegevens in lakehouse (de machtiging ReadAll) opgenomen als leden van deze standaardrol. Als u de toegang tot deze gebruikers wilt beperken, moet u ervoor zorgen dat de rol DefaultReader wordt verwijderd of dat de machtiging ReadAll wordt verwijderd van de toegang tot gebruikers.

Belangrijk

Zorg ervoor dat alle gebruikers die zijn opgenomen in een rol voor gegevenstoegang, niet ook deel uitmaken van de rol DefaultReader. Anders behouden ze volledige toegang tot de gegevens.

Welke typen gegevens kunnen worden beveiligd?

Rollen voor Toegang tot OneLake-gegevens kunnen worden gebruikt voor het beheren van Leestoegang van OneLake tot mappen in een Lakehouse. Leestoegang kan worden gegeven aan elke map in een lakehouse en er is geen toegang tot een map de standaardstatus. De beveiliging die door gegevenstoegangsrollen is ingesteld, is exclusief van toepassing op toegang tot OneLake- of OneLake-specifieke API's. Zie het model voor gegevenstoegangsbeheer voor meer informatie.

Vereisten

Als u beveiliging voor een lakehouse wilt configureren, moet u een Beheer, Lid of Inzender voor de werkruimte zijn. Rol maken en lidmaatschapstoewijzing worden van kracht zodra de rol is opgeslagen. Zorg er dus voor dat u toegang wilt verlenen voordat u iemand aan een rol toevoegt.

OneLake-rollen voor gegevenstoegang worden alleen ondersteund voor Lakehouse-items.

Een rol maken

  1. Open het lakehouse waar u de beveiliging wilt definiëren.
  2. Selecteer aan de rechterkant van het lakehouse-lint de optie OneLake-gegevenstoegang beheren (preview).
  3. Selecteer in de linkerbovenhoek van het deelvenster Toegang tot OneLake-gegevens beheren de optie Nieuwe rol en typ de gewenste rolnaam. De rolnaam heeft bepaalde beperkingen:
    1. De rolnaam mag alleen alfanumerieke tekens bevatten.
    2. De rolnaam moet beginnen met een letter.
    3. Namen zijn niet hoofdlettergevoelig en moeten uniek zijn.
    4. De maximale naamlengte is 128 tekens.
  4. Selecteer de wisselknop Alle mappen als u deze rol wilt toepassen op alle mappen in dit lakehouse.
    1. Deze selectie bevat alle mappen die in de toekomst worden toegevoegd.
  5. Selecteer de geselecteerde mappen als u deze rol alleen wilt toepassen op geselecteerde mappen.
    1. Schakel de selectievakjes in naast de mappen waarop u de rol wilt toepassen.
    2. Rollen verlenen toegang tot mappen. Als u een gebruiker toegang wilt geven tot een map, schakelt u het selectievakje ernaast in. Als een gebruiker geen map mag zien, schakelt u het selectievakje niet in.
    3. Selecteer linksonder Opslaan om uw rol te maken.
  6. Selecteer linksboven de optie Rol toewijzen om het deelvenster Rollidmaatschap te openen.
  7. Voeg personen, groepen of e-mailadressen toe aan het besturingselement Personen of groepen toevoegen. Zie Een lid of groep toewijzen voor meer informatie.
  8. Selecteer Toevoegen om uw selectie te verplaatsen naar de lijst Toegewezen personen en groepen . Als u Toevoegen selecteert, wordt uw selectie nog niet opgeslagen.
  9. Selecteer Opslaan en wacht totdat de rollen zijn gepubliceerd.
  10. Selecteer de X in de rechterbovenhoek om het deelvenster af te sluiten.

Een rol bewerken

  1. Open het lakehouse waar u de beveiliging wilt definiëren.
  2. Selecteer aan de rechterkant van het lakehouse-lint de optie OneLake-gegevenstoegang beheren (preview).
  3. Beweeg in het deelvenster Toegang tot OneLake-gegevens beheren de muisaanwijzer over de rol die u wilt bewerken en selecteer deze.
  4. U kunt wijzigen tot welke mappen toegang wordt verleend door de selectievakjes naast elke map in of uit te schakelen.
  5. Als u de personen wilt wijzigen, selecteert u Rol toewijzen. Zie Een lid of groep toewijzen voor meer informatie.
  6. Als u meer personen wilt toevoegen, typt u namen in het vak Personen of groepen toevoegen en selecteert u Toevoegen.
  7. Als u personen wilt verwijderen, selecteert u de naam onder Toegewezen personen en groepen en selecteert u Verwijderen.
  8. Selecteer Opslaan en wacht totdat de rollen zijn gepubliceerd.
  9. Selecteer de X in de rechterbovenhoek om het deelvenster af te sluiten.

Een rol verwijderen

  1. Open het lakehouse waar u de beveiliging wilt definiëren.
  2. Selecteer aan de rechterkant van het lakehouse-lint de optie OneLake-gegevenstoegang beheren (preview).
  3. Schakel in het deelvenster Toegang tot OneLake-gegevens beheren het selectievakje in naast de rollen die u wilt verwijderen.
  4. Selecteer Verwijderen en wacht totdat de rollen zijn verwijderd.
  5. Selecteer de X in de rechterbovenhoek om het deelvenster af te sluiten.

Een lid of groep toewijzen

OneLake-rollen voor gegevenstoegang ondersteunen twee verschillende methoden voor het toevoegen van gebruikers aan een rol. De belangrijkste methode is door gebruikers of groepen rechtstreeks toe te voegen aan een rol met behulp van het vak Personen of groepen toevoegen op de pagina Rol toewijzen. De tweede is het gebruik van virtuele lidmaatschappen met het automatisch toevoegen van gebruikers met al deze machtigingen .

Als u gebruikers rechtstreeks aan een rol toevoegt met het vak Personen of groepen toevoegen, worden de gebruikers als expliciete leden van de rol toegevoegd. Deze gebruikers worden weergegeven met alleen hun naam en afbeelding die wordt weergegeven in de lijst Toegewezen personen en groepen .

Met de virtuele leden kan het lidmaatschap van de rol dynamisch worden aangepast op basis van de machtigingen voor fabric-items van de gebruikers. Door automatisch gebruikers toe te voegen met al deze machtigingen en een machtiging te selecteren, voegt u een gebruiker toe in de infrastructuurwerkruimte met alle geselecteerde machtigingen als impliciet lid van de rol. Als u bijvoorbeeld ReadAll hebt gekozen , schrijft u vervolgens een gebruiker van de infrastructuurwerkruimte met leesrechten voor Het lakehouse als lid van de rol. U kunt zien welke gebruikers worden toegevoegd als virtuele leden door te zoeken naar de tekst 'Toegewezen door werkruimtemachtigingen' onder hun naam in de lijst Toegewezen personen en groepen . Deze leden kunnen niet handmatig worden verwijderd en moeten hun bijbehorende Infrastructuurmachtiging intrekken om niet meer te worden toegewezen.

Ongeacht welk lidmaatschapstype, bieden gegevenstoegangsrollen ondersteuning voor het toevoegen van afzonderlijke gebruikers, Microsoft Entra-groepen en beveiligingsprinciplen.

Leden toewijzen

U kunt de pagina Leden toewijzen op twee manieren openen:

Methode 1

  1. Selecteer de naam van de rol waaraan u leden wilt toewijzen.
  2. Selecteer boven aan de pagina met roldetails de optie Rol toewijzen.

Methode 2

  1. Schakel in de lijst met rollen het selectievakje in naast de rol waaraan u leden wilt toewijzen.
  2. Selecteer Toewijzen.

Gebruikers rechtstreeks toewijzen

Op de pagina Rol toewijzen kunt u leden of groepen toevoegen door hun naam of e-mailadres te typen in het vak Personen of groepen toevoegen. Selecteer het resultaat dat u wilt selecteren. U kunt deze stap herhalen voor zoveel gebruikers als u wilt. Als u de verkeerde gebruikers hebt geselecteerd, kunt u de X naast de vermelding selecteren om ze uit het vak te verwijderen of wissen selecterenom alle items te verwijderen. Zodra u klaar bent, selecteert u Toevoegen om de geselecteerde gebruikers naar de toegangslijst te verplaatsen. Als u ze toevoegt aan de lijst, wordt deze nog niet opgeslagen. Het is een voorbeeld van de lijst met rollidmaatschappen zodra deze gebruikers zijn toegevoegd.

Als u de toegangswijzigingen wilt publiceren, selecteert u Opslaan onderaan het deelvenster.

Virtuele leden toewijzen

Als u virtuele leden wilt toevoegen, gebruikt u het vak Automatisch gebruikers toevoegen met al deze machtigingen . Schakel het selectievakje in om de vervolgkeuzelijst te openen om de infrastructuurmachtigingen te kiezen die u wilt virtualiseren. Gebruikers worden gevirtualiseerd als ze alle gecontroleerde machtigingen hebben.

De machtigingen die kunnen worden gebruikt voor virtualisatie zijn:

  • Read
  • Write
  • Opnieuw delen
  • Uitvoeren
  • ReadAll
  • ViewOutput
  • ViewLogs

Zodra een machtiging is geselecteerd, worden alle gevirtualiseerde leden weergegeven in de lijst Toegewezen personen en groepen . De gebruikers hebben tekst naast hun naam die aangeeft dat ze zijn toegewezen door de werkruimtemachtigingen. Deze gebruikers kunnen niet handmatig worden verwijderd uit de roltoewijzing. Verwijder in plaats daarvan de bijbehorende machtigingen uit het virtualisatiebesturingselement of verwijder de infrastructuurmachtiging.

Bekende problemen

De preview-functie voor het delen van externe gegevens (koppeling) is niet compatibel met de preview-versie van gegevenstoegangsrollen. Wanneer u de preview-versie van gegevenstoegangsrollen inschakelt op een Lakehouse, werken bestaande externe gegevensshares mogelijk niet meer.

Gerelateerde inhoud