OneLake 安全概述
OneLake 是一个分层数据湖,类似于 Azure Data Lake Storage (ADLS) Gen2 或 Windows 文件系统。 此结构允许在层次结构中的不同级别设置安全性,以控制访问。 层次结构中的某些级别受到特殊处理,因为它们与 Fabric 概念关联。
工作区:用于创建和管理项的协作环境。
项:一组捆绑在一起的单一组件的功能。 数据项是项的子类型,允许使用 OneLake 将数据存储在其中。
文件夹:项中用于存储和管理数据的文件夹。
项始终位于工作区中,工作区始终直接位于 OneLake 命名空间下。 可按以下内容将此结构可视化:
工作区权限
工作区权限允许定义对工作区中所有项的访问。 有 4 种不同的工作区角色,每个角色授予不同类型的访问权限。
| 角色 | 可以添加管理员? | 可以添加成员? | 可以写入数据和创建项? | 可以读取数据? |
|---|---|---|---|---|
| 管理员 | 是 | 是 | 是 | 是 |
| 成员 | 否 | 是 | 是 | 是 |
| 参与者 | 否 | No | 是 | 是 |
| 查看器 | 否 | No | No | 是 |
注意
可以使用读写角色查看仓库项,但只能使用 SQL 查询写入仓库。
可以通过将 Fabric 工作区角色分配给安全组来简化这些角色的管理。 此方法让你可以通过在安全组中添加或删除成员来控制访问。
项权限
凭借 共享 功能,你可以为用户提供对项的直接访问权限。 用户只能查看工作区中的项,并且不是任何工作区角色的成员。 项权限授予连接到该项以及用户能够访问的项终结点的权限。
| 权限 | 查看项元数据? | 查看 SQL 中的数据? | 查看 OneLake 中的数据? |
|---|---|---|---|
| 读取 | 是 | 否 | 否 |
| ReadData | 否 | 是 | 否 |
| ReadAll | 否 | 否 | 是* |
*不适用于已启用 OneLake 数据访问角色(预览)的项。 如果启用预览,ReadAll 只会在使用 DefaultReader 角色时才授予访问权限。 如果编辑或删除该角色,则会根据用户所属的数据访问角色来授予访问权限。
配置权限的另一种方法是通过项目的“管理权限”页操作。 使用此页可以为用户或组添加或删除单个项权限。 具体权限由项类型决定。
计算权限
还可以通过 Microsoft Fabric 中的 SQL 计算引擎授予数据访问权限。 通过 SQL 授予的访问权限仅适用于通过 SQL 访问数据的用户,但此安全性可用于向某些用户提供更具选择性的访问权限。 在当前状态下,SQL 支持限制对特定表和架构的访问,以及行和列级别的安全性。
用户通过 SQL 访问数据时,可能会看到与直接访问 OneLake 中的数据不同的结果,这取决于应用的计算权限。 为防止出现这种情况,请确保将用户的项权限配置为仅允许访问 SQL 终结点(使用 ReadData)或 OneLake(使用 ReadAll 或数据访问角色预览功能)。
在下面的示例中,用户通过项共享获得了对湖屋的只读访问权限。 用户通过 SQL 分析终结点获得对表的 SELECT 权限。 当用户尝试通过 OneLake API 读取数据时,他们被拒绝访问,因为他们没有足够的权限。 用户可以成功读取 SQL SELECT 语句。
OneLake 数据访问角色(预览)
OneLake 数据访问角色是一项新功能,可用于将基于角色的访问控制 (RBAC) 应用于 OneLake 中存储的数据。 你可以定义安全角色,授予对 Fabric 项中特定文件夹的读取访问权限,并将其分配给用户或组。 访问权限决定了用户通过湖屋 UX、笔记本或 OneLake API 访问数据湖视图时看到的文件夹。
具有管理员、成员或参与者角色的 Fabric 用户可以从创建 OneLake 数据访问角色开始,仅授予对湖屋中特定文件夹的访问权限。 若要授予对湖屋中数据的访问权限,请将用户添加到数据访问角色。 不属于数据访问角色的用户在此湖屋中看不到任何数据。
有关创建数据访问角色的更多信息,请参阅数据访问角色入门。
有关访问角色的安全模型的更多信息,请参阅数据访问控制模型。
快捷方式安全性
Microsoft Fabric 中的快捷方式可简化数据管理,但有一些安全注意事项。 有关管理快捷方式安全性的信息,请参阅此文档。
对于 OneLake 数据访问角色(预览),快捷方式会根据快捷方式类型得到特殊处理。 对 OneLake 快捷方式的访问权限始终由快捷方式目标上的访问角色控制。 这意味着,对于从 LakehouseA 到 LakehouseB 的快捷方式,LakehouseB 的安全性将会生效。 LakehouseA 中的数据访问角色无法授予或编辑 LakehouseB 快捷方式的安全性。
对于 Amazon S3 或 ADLS Gen2 的外部快捷方式,其安全性是通过湖屋本身的数据访问角色配置的。 从 LakehouseA 到 S3 存储桶的快捷方式可以在 LakehouseA 中配置数据访问角色。 需要注意的是,只有快捷方式的根级别才可以应用安全性。 为快捷方式的子文件夹分配访问权限会导致角色创建错误。
有关快捷方式的安全模型的更多信息,请参阅数据访问控制模型
相关内容
反馈
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈