Del via

Kom i gang med OneLake-dataadgangsroller (prøveversion)

  • Artikel

Oversigt

OneLake-dataadgangsroller for mapper er en ny funktion, der giver dig mulighed for at anvende rollebaseret adgangskontrol (RBAC) på dine data, der er gemt i OneLake. Du kan definere sikkerhedsroller, der giver læseadgang til bestemte mapper i et Fabric-element, og tildele dem til brugere eller grupper. Adgangstilladelserne bestemmer, hvilke mapper brugerne får vist, når de får adgang til lake-visningen af dataene, enten via lakehouse UX, notesbøger eller OneLake-API'er.

Stofbrugere i rollerne Administrator, Medlem eller Bidragyder kan komme i gang ved at oprette OneLake-dataadgangsroller for kun at give adgang til bestemte mapper i et lakehouse. Hvis du vil give adgang til data i et lakehouse, skal du føje brugere til en dataadgangsrolle. Brugere, der ikke er en del af en dataadgangsrolle, kan ikke se nogen data i det pågældende lakehouse.

Bemærk

Sikkerhed for dataadgangsroller gælder KUN for brugere, der får direkte adgang til OneLake. Fabric-elementer, f.eks. SQL-analyseslutpunkter, semantiske modeller og lagre, har deres egne sikkerhedsmodeller og får adgang til OneLake via en delegeret identitet. Det betyder, at brugerne kan se forskellige elementer i hver arbejdsbelastning, hvis de får adgang til flere elementer.

Sådan tilmelder du dig

Alle lakehouses i Fabric har funktionen til forhåndsvisning af dataadgangsroller deaktiveret som standard. Prøveversionsfunktionen er konfigureret pr. lakehouse. Opt-in-kontrolelementet giver et enkelt lakehouse mulighed for at prøve prøveversionen uden at aktivere den på andre lakehouses eller Fabric-elementer.

Hvis du vil aktivere prøveversionen, skal du være administrator, medlem eller bidragyder i arbejdsområdet. Gå til et lakehouse, og vælg knappen Administrer OneLake-dataadgang (prøveversion) på båndet for at åbne bekræftelsesdialogboksen. Prøveversionen af dataadgangsroller er ikke kompatibel med prøveversionen af deling af eksterne data. Hvis du er ok med ændringen, skal du vælge Fortsæt. UX til administration af roller åbnes, og funktionen er nu aktiveret.

Prøveversionsfunktionen kan ikke slås fra, når den er aktiveret.

For at sikre en problemfri tilmeldingsoplevelse har alle brugere med læsetilladelse til data i lakehouse fortsat læseadgang. Overførsel af adgang sker ved at oprette en standardadgangsrolle for data med navnet "DefaultReader". Ved hjælp af virtualiserede rollemedlemskaber medtages alle brugere, der havde de nødvendige tilladelser til at få vist data i lakehouse (tilladelsen ReadAll), som medlemmer af denne standardrolle. Hvis du vil begynde at begrænse adgangen til disse brugere, skal du sørge for, at rollen DefaultReader slettes, eller at tilladelsen LæsAlle fjernes fra de brugere, der får adgang.

Vigtigt

Sørg for, at alle brugere, der er inkluderet i en dataadgangsrolle, ikke også er en del af rollen DefaultReader. Ellers bevarer de fuld adgang til dataene.

Hvilke typer data kan sikres?

OneLake-dataadgangsroller kan bruges til at administrere OneLake-læseadgang til mapper i et lakehouse. Læseadgang kan gives til alle mapper i et lakehouse, og ingen adgang til en mappe er standardtilstanden. Den sikkerhed, der er angivet af dataadgangsroller, gælder udelukkende for adgang i forhold til specifikke OneLake- eller OneLake-API'er. Du kan få flere oplysninger i dataadgangskontrolmodellen.

Forudsætninger

Hvis du vil konfigurere sikkerhed for et lakehouse, skal du være administrator, medlem eller bidragyder for arbejdsområdet. Tildeling af rolleoprettelse og medlemskab træder i kraft, så snart rollen er gemt, så sørg for, at du vil give adgang, før du føjer en person til en rolle.

OneLake-dataadgangsroller understøttes kun for lakehouse-elementer.

Opret en rolle

  1. Åbn det lakehouse, hvor du vil definere sikkerhed.
  2. Vælg Administrer OneLake-dataadgang (prøveversion) i højre side af lakehouse-båndet.
  3. Øverst til venstre i ruden Administrer OneLake-dataadgang skal du vælge Ny rolle og skrive det ønskede rollenavn. Rollenavnet har visse begrænsninger:
    1. Rollenavnet kan kun indeholde alfanumeriske tegn.
    2. Rollenavnet skal starte med et bogstav.
    3. Der skelnes ikke mellem store og små bogstaver i navne, og de skal være entydige.
    4. Den maksimale navnelængde er 128 tegn.
  4. Vælg til /fra-knappen Alle mapper , hvis denne rolle skal gælde for alle mapperne i dette lakehouse.
    1. Dette valg omfatter alle mapper, der tilføjes i fremtiden.
  5. Vælg de valgte mapper , hvis du kun vil have denne rolle til at gælde for de valgte mapper.
    1. Markér afkrydsningsfelterne ud for de mapper, som rollen skal gælde for.
    2. Roller giver adgang til mapper. Hvis du vil give en bruger adgang til en mappe, skal du markere afkrydsningsfeltet ud for den. Hvis en bruger ikke skal kunne se en mappe, skal du ikke markere afkrydsningsfeltet.
    3. Nederst til venstre skal du vælge Gem for at oprette din rolle.
  6. Øverst til venstre skal du vælge Tildel rolle for at åbne ruden rollemedlemskab.
  7. Føj personer, grupper eller mailadresser til kontrolelementet Tilføj personer eller grupper . Du kan få flere oplysninger under Tildel et medlem eller en gruppe.
  8. Vælg Tilføj for at flytte dit valg til listen Tildelte brugere . Hvis du vælger Tilføj , gemmes markeringen ikke endnu.
  9. Vælg Gem , og vent på meddelelsen om, at rollerne er publiceret.
  10. Vælg X øverst til højre for at afslutte ruden.

Rediger en rolle

  1. Åbn det lakehouse, hvor du vil definere sikkerhed.
  2. Vælg Administrer OneLake-dataadgang (prøveversion) i højre side af lakehouse-båndet.
  3. Peg på den rolle, du vil redigere, i ruden Administrer OneLake-dataadgang , og vælg den.
  4. Du kan ændre, hvilke mapper der tildeles adgang til, ved at markere eller fjerne markeringen af afkrydsningsfelterne ud for hver mappe.
  5. Hvis du vil ændre personerne, skal du vælge Tildel rolle. Du kan få flere oplysninger under Tildel et medlem eller en gruppe.
  6. Hvis du vil tilføje flere personer, skal du skrive navne i feltet Tilføj personer eller grupper og vælge Tilføj.
  7. Hvis du vil fjerne personer, skal du vælge deres navn under Tildelte brugere og vælge Fjern.
  8. Vælg Gem , og vent på meddelelsen om, at rollerne er publiceret.
  9. Vælg X øverst til højre for at afslutte ruden.

Slet en rolle

  1. Åbn det lakehouse, hvor du vil definere sikkerhed.
  2. Vælg Administrer OneLake-dataadgang (prøveversion) i højre side af lakehouse-båndet.
  3. Markér afkrydsningsfeltet ud for de roller, du vil slette, i ruden Administrer OneLake-dataadgang .
  4. Vælg Slet , og vent på meddelelsen om, at rollerne slettes.
  5. Vælg X øverst til højre for at afslutte ruden.

Tildel et medlem eller en gruppe

OneLake-dataadgangsroller understøtter to forskellige metoder til at føje brugere til en rolle. Hovedmetoden er ved at føje brugere eller grupper direkte til en rolle ved hjælp af feltet Tilføj personer eller grupper på siden Tildel rolle. Den anden bruger virtuelle medlemskaber med kontrolelementet Tilføj brugere baseret på kontrolelementet Lakehouse-tilladelser .

Hvis du føjer brugere direkte til en rolle med feltet Tilføj personer eller gruppe , tilføjes brugerne som eksplicitte medlemmer af rollen. Disse brugere vises med deres navn og billede vist på listen Tildelte personer og grupper .

De virtuelle medlemmer gør det muligt at justere medlemskabet af rollen dynamisk baseret på brugernes Fabric-elementtilladelser. Når du vælger feltet Tilføj brugere baseret på Lakehouse-tilladelser og vælger en tilladelse, tilføjer du alle brugere i Fabric-arbejdsområdet, der har alle de valgte tilladelser som et implicit medlem af rollen. Hvis du f.eks. vælger LæsAlle, Skriv , medtages alle brugere af Fabric-arbejdsområdet, der har tilladelsen LæsAlle OG Skriv til elementet, som medlem af rollen. Du kan se, hvilke brugere der tilføjes som virtuelle medlemmer, ved at søge efter værdien "Lakehouse-tilladelser" under kolonnen Tildelt aflisten Tildelte brugere . Disse medlemmer kan ikke fjernes manuelt og skal have deres tilsvarende Fabric-tilladelse tilbagekaldt for at blive ikke tildelt.

Uanset hvilken medlemskabstype understøtter dataadgangsroller tilføjelse af individuelle brugere, Microsoft Entra-grupper og sikkerhedsprincipaler.

Tildeling af medlemmer

For at komme til siden tildel medlemmer er der to måder:

Metode 1

  1. Vælg navnet på den rolle, du vil tildele medlemmer til.
  2. Øverst på siden med rolleoplysninger skal du vælge Tildel rolle.

Metode 2

  1. På rollelisten skal du markere afkrydsningsfeltet ud for den rolle, du vil tildele medlemmer til.
  2. Vælg Tildel.

Tildel brugere direkte

På siden Tildel rolle kan du tilføje medlemmer eller grupper ved at skrive deres navn eller mailadresse i feltet Tilføj personer eller grupper. Vælg det resultat, du vil medtage den pågældende bruger. Du kan gentage dette trin for så mange brugere, du vil. Hvis du har valgt de forkerte brugere, kan du vælge X ud for deres post for at fjerne dem fra feltet eller vælge Ryd for at fjerne alle poster. Når du er færdig, skal du vælge Tilføj for at flytte de valgte brugere til adgangslisten. Hvis du føjer dem til listen, gemmes de ikke endnu. Det er et eksempel på listen over rollemedlemskaber, når disse brugere er tilføjet, og nyligt tilføjede brugere har en indikator ud for deres navn.

Hvis du vil publicere adgangsændringerne, skal du vælge Gem nederst i ruden.

Tildel virtuelle medlemmer

Hvis du vil tilføje virtuelle medlemmer, skal du bruge feltet Tilføj brugere baseret på Lakehouse-tilladelser . Markér afkrydsningsfeltet for at åbne rullelistevælgeren for at vælge Fabric-tilladelserne til at virtualisere. Brugerne virtualiseres, hvis de har alle de markerede tilladelser.

De tilladelser, der kan bruges til virtualisering, er:

  • Læst
  • Skrive
  • Del igen
  • Udfør
  • Læs alle

Når du har valgt tilladelserne, skal du vælge Tilføj for at opdatere listen Tildelte brugere med ændringerne. Brugerne har tekst ud for deres navn, der angiver, at de er tildelt af tilladelserne til lakehouse. Disse brugere kan ikke fjernes manuelt fra rolletildelingen. Fjern i stedet de tilsvarende tilladelser fra kontrolelementet Tilføj brugere baseret på Lakehouse-tilladelser, eller fjern fabric-tilladelsen.

Kendte problemer

Prøveversionsfunktionen til deling af eksterne data er ikke kompatibel med prøveversionen af dataadgangsroller. Når du aktiverer forhåndsvisningen af dataadgangsroller i et lakehouse, kan alle eksisterende eksterne datashares holde op med at fungere.

Relateret indhold