Sikkerhed for OneLake-genvej
OneLake-genveje fungerer som pejlemærker til data, der findes på forskellige lagerkonti, uanset om de er i Selve OneLake eller i eksterne systemer, f.eks. Azure Data Lake Storage (ADLS). I denne artikel ser vi på de tilladelser, der kræves for at oprette genveje og få adgang til data ved hjælp af dem.
For at sikre klarhed omkring komponenterne i en genvej bruger dette dokument følgende begreber:
- Destinationssti: Den placering, som en genvej peger på.
- Genvejssti: Den placering, hvor genvejen vises.
Opret og slet genveje
Hvis du vil oprette en genvej, skal en bruger have skrivetilladelse til det Fabric-element, hvor genvejen oprettes. Derudover skal brugeren have læseadgang til de data, genvejen peger på. Genveje til eksterne kilder kan kræve visse tilladelser i det eksterne system. Artiklen Hvad er genveje? indeholder en komplet liste over genvejstyper og påkrævede tilladelser.
| Kapacitet | Tilladelse til genvejssti | Tilladelse til destinationssti |
|---|---|---|
| Opret en genvej | Skriv | Læs alle1 |
| Slet en genvej | Skriv | I/R |
1 Hvis OneLake-dataadgangsroller er aktiveret, skal brugeren have en rolle, der giver adgang til målstien.
Adgang til genveje
En kombination af tilladelserne i genvejsstien og målstien styrer tilladelserne for genveje. Når en bruger får adgang til en genvej, anvendes den mest restriktive tilladelse for de to placeringer. Derfor kan en bruger, der har læse-/skrivetilladelser i lakehouse, men kun læserettigheder i destinationsstien, ikke skrive til destinationsstien. På samme måde kan en bruger, der kun har læserettigheder i lakehouse, men som har læse-/skriveadgang i målstien, heller ikke skrive til destinationsstien.
I følgende tabel vises de genvejsrelaterede tilladelser for hver genvejshandling.
| Kapacitet | Tilladelse til genvejssti | Tilladelse til destinationssti |
|---|---|---|
| Læs fil-/mappeindhold i genvejen | Læs alle1 | Læs alle1 |
| Skriv til genvejens destinationsplacering | Skriv | Skriv |
| Læs data fra genveje i tabelafsnittet i lakehouse via TDS-slutpunktet | Læst | ReadAll2 |
1 Hvis OneLake-dataadgangsroller er aktiveret, skal brugeren have en rolle, der giver adgang til dataene.
Vigtigt
2 Når du får adgang til genveje via semantiske Power BI-modeller eller T-SQL, overføres den kaldende brugers identitet ikke til genvejens destinationssti. Ejeren af opkaldselementet overføres i stedet for og uddelegerer adgang til den kaldende bruger.
OneLake-dataadgangsroller
OneLake-dataadgangsroller er en ny funktion, der giver dig mulighed for at anvende rollebaseret adgangskontrol (RBAC) på dine data, der er gemt i OneLake. Du kan definere sikkerhedsroller, der giver læseadgang til bestemte mapper i et Fabric-element, og tildele dem til brugere eller grupper. Adgangstilladelserne bestemmer, hvilke mapper brugerne får vist, når de får adgang til lake-visningen af dataene, enten via lakehouse UX, notesbøger eller OneLake-API'er. For elementer, hvor prøveversionsfunktionen er aktiveret, bestemmer OneLake-dataadgangsroller også en brugers adgang til en genvej.
Brugere med rollerne Administrator, Medlem og Bidragyder har fuld adgang til at læse data fra en genvej, uanset hvilke OneLake-dataadgangsroller der er defineret. De skal dog stadig have adgang til både genvejsstien og målstien som nævnt i arbejdsområderoller.
Brugere med rollen Læser, eller som havde et lakehouse delt med dem, har direkte adgang begrænset baseret på, om brugeren har adgang via en OneLake-dataadgangsrolle. Du kan få flere oplysninger om adgangskontrolmodellen med genveje under Dataadgangskontrolmodel i OneLake.