Prehľad zabezpečenia OneLake
OneLake je hierarchické dátové jazero, ako je napríklad Azure Data Lake Storage (ADLS) Gen2 alebo systém súborov systému Windows. Táto štruktúra umožňuje nastaviť zabezpečenie na rôznych úrovniach hierarchie, aby ste mohli riadiť prístup. Niektoré úrovne v hierarchii poskytujú špeciálne spracovanie, pretože korelujú s konceptmi služby Fabric.
Pracovný priestor: prostredie na spoluprácu na vytváranie a spravovanie položiek.
Položka: množina možností, ktoré sú zoskupené v jednej súčasti. Údajová položka je podtyp položky, ktorá umožňuje uloženie údajov do nej pomocou onelake.
Priečinky: priečinky v rámci položky, ktoré sa používajú na ukladanie a správu údajov.
Položky sú vždy dynamické v pracovných priestoroch a pracovných priestoroch vždy priamo pod priestorom názvov OneLake. Túto štruktúru môžete vizualizovať takto:
Povolenia pracovného priestoru
Povolenia pracovného priestoru umožňujú definovať prístup ku všetkým položkám v rámci daného pracovného priestoru. Existujú 4 rôzne roly pracovného priestoru, z ktorých každá udeľuje rôzne typy prístupu.
| Rola | Môže pridávať správcov? | Môže pridávať členov? | Môže zapisovať údaje a vytvárať položky? | Môže čítať údaje? |
|---|---|---|---|---|
| Správca | Áno | Áno | Áno | Áno |
| Člen | Nie | Áno | Áno | Áno |
| Prispievateľ | Nie | No | Áno | Áno |
| Divák | Nie | No | No | Áno |
Poznámka
Položku skladu môžete zobraziť s rolami čítania a zapisovania, ale do skladov môžete zapisovať len pomocou dotazov SQL.
Riadenie rolí pracovného priestoru služby Fabric môžete zjednodušiť tak, že ich priradíte skupinám zabezpečenia. Táto metóda vám umožní riadiť prístup pridaním alebo odstránením členov zo skupiny zabezpečenia.
Povolenia pre položku
Pomocou funkcie zdieľania môžete používateľovi poskytnúť priamy prístup k položke. Používateľ môže zobraziť danú položku iba v pracovnom priestore a nie je členom žiadnych rolí pracovného priestoru. Povolenia pre položku udeľujú prístup na pripojenie k danej položke a ku ktorým koncovým bodom položky má používateľ prístup.
| Povolenie | Zobrazia sa metaúdaje položky? | Zobrazia sa údaje v SQL? | Zobrazia sa údaje v službe OneLake? |
|---|---|---|---|
| Čítanie | Áno | No | No |
| ReadData | Nie | Áno | Nie |
| ČítaťVšetky | Nie | No | Áno* |
*Nedá sa použiť pre položky s povolenou rolou prístupu k údajom OneLake (ukážka). Ak je ukážka povolená, funkcia ReadAll udelí prístup len v prípade, že sa používa rola DefaultReader. Ak je táto rola upravená alebo odstránená, prístup sa namiesto toho udelí na základe rolí prístupu k údajom, ku ktorým je používateľ súčasťou.
Ďalším spôsobom, ako nakonfigurovať povolenia, je prostredníctvom stránky Spravovať povolenia pre položku. Pomocou tejto stránky môžete používateľom alebo skupinám pridávať alebo odstraňovať povolenia pre jednotlivé položky. Presné dostupné povolenia sú určené typom položky.
Výpočtové povolenia
Prístup k údajom možno udeliť aj prostredníctvom výpočtového nástroja SQL v službe Microsoft Fabric. Prístup udelený prostredníctvom SQL sa vzťahuje len na používateľov, ktorí pristupujú k údajom prostredníctvom SQL, ale pomocou tohto zabezpečenia môžete určitým používateľom udeliť selektívnejší prístup. Sql vo svojom súčasnom stave podporuje obmedzenie prístupu ku konkrétnym tabuľkám a schémam, ako aj k zabezpečeniu na úrovni riadkov a stĺpcov.
Používateľom, ktorí pristupujú k údajom prostredníctvom SQL, sa môžu zobraziť iné výsledky ako prístup k údajom priamo vo OneLake v závislosti od použitých výpočtových povolení. Ak tomu chcete predísť, uistite sa, že povolenia položky používateľa sú nakonfigurované tak, aby mu udelili prístup iba do koncového bodu SQL (pomocou funkcie ReadData) alebo služby OneLake (pomocou ukážky roly prístupu k údajom alebo ReadAll).
V nasledujúcom príklade používateľ získa prístup iba na čítanie k službe lakehouse prostredníctvom zdieľania položiek. Používateľovi je udelené povolenie SELECT v tabuľke prostredníctvom koncového bodu analýzy SQL. Keď sa používateľ pokúsi čítať údaje prostredníctvom rozhrania API OneLake, zamietne sa mu prístup, pretože nemá dostatočné povolenia. Používateľ môže úspešne čítať príkazy SQL SELECT.
Roly prístupu k údajom OneLake (Ukážka)
Roly prístupu k údajom OneLake sú novou funkciou, ktorá vám umožňuje použiť riadenie prístupu na základe rolí (RBAC) na údaje uložené v službe OneLake. Môžete definovať roly zabezpečenia, ktoré udelia prístup na čítanie ku konkrétnym priečinkom v rámci položky služby Fabric, a priraďovať ich používateľom alebo skupinám. Prístupové povolenia určujú, aké priečinky sa používateľom zobrazujú pri prístupe k zobrazeniu údajov v jazere prostredníctvom používateľských rozhraní UX, notebookov alebo rozhraní API služby OneLake.
Používatelia služby Fabric v rolách Spravovanie, Member alebo Contributor môžu začať tým, že vytvoria roly prístupu k údajom OneLake, aby získali prístup len ku konkrétnym priečinkom v úložnom dome lakehouse. Ak chcete udeliť prístup k údajom v úzovni Lakehouse, pridajte používateľov k role prístupu k údajom. Používatelia, ktorí nie sú súčasťou roly prístupu k údajom, neuvidia v tomto úzovni žiadne údaje.
Ďalšie informácie o vytváraní rolí prístupu k údajom nájdete v téme Začíname s rolami prístupu k údajom.
Ďalšie informácie o modeli zabezpečenia pre roly prístupu Model riadenia prístupu k údajom.
Zabezpečenie odkazu
Skratky v službe Microsoft Fabric umožňujú zjednodušenú správu údajov, je však potrebné vziať na vedomie niekoľko dôležitých informácií o zabezpečení. Informácie o spravovaní zabezpečenia klávesových skratiek nájdete v tomto dokumente.
V prípade rolí prístupu k údajom OneLake (ukážka) sa skratky špeciálnym spracovaním v závislosti od typu odkazu. Prístup k odkazu OneLake je vždy riadený rolami prístupu na cieli odkazu. To znamená, že pre odkaz z LakehouseA na LakehouseB, bezpečnosť LakehouseB nadobúda účinnosť. Roly prístupu k údajom v lakehouseA nemôžu udeliť alebo upraviť zabezpečenie odkazu na LakehouseB.
Pre externé skratky k Amazon S3 alebo ADLS Gen2 je zabezpečenie nakonfigurované prostredníctvom rolí prístupu k údajom v samotnom lakehouse. Odkaz z LakehouseA do sektora S3 môže mať roly prístupu k údajom nakonfigurované v LakehouseA. Je dôležité poznamenať, že zabezpečenie môže byť použité len na koreňovej úrovni odkazu. Priradenie prístupu k podpriečinkom odkazu spôsobí chyby pri vytváraní rolí.
Ďalšie informácie o modeli zabezpečenia pre skratky v modeli riadenia prístupu k údajom
Súvisiaci obsah
Pripomienky
Pripravujeme: V priebehu roka 2024 postupne zrušíme službu Problémy v službe GitHub ako mechanizmus pripomienok týkajúcich sa obsahu a nahradíme ju novým systémom pripomienok. Ďalšie informácie nájdete na stránke: https://aka.ms/ContentUserFeedback.
Odoslať a zobraziť pripomienky pre