OneLake-Verknüpfungssicherheit
OneLake-Verknüpfungen dienen als Zeiger auf Daten, die sich in verschiedenen Speicherkonten befinden, ob in OneLake selbst oder in externen Systemen wie Azure Data Lake Storage (ADLS). Dieser Artikel befasst sich mit den erforderlichen Berechtigungen zum Erstellen von Verknüpfungen und Zugreifen auf Daten mit diesen.
Um Klarheit über die Komponenten einer Verknüpfung zu gewährleisten, verwendet dieses Dokument die folgenden Begriffe:
- Zielpfad: Der Standort, auf den eine Verknüpfung verweist.
- Verknüpfungpfad: Der Standort, wo die Verknüfpung erscheint.
Erstellen und Löschen von Verknüpfungen
Um eine Verknüpfung zu erstellen, müssen Benutzer*innen über Schreibberechtigungen für den Fabric-Artikel verfügen, in dem die Verknüpfung erstellt wird. Darüber hinaus benötigten Benutzer*innen Lesezugriff auf die Daten, auf die die Verknüpfung verweist. Verknüpfungen zu externen Quellen erfordern möglicherweise bestimmte Berechtigungen im externen System. Der Artikel Was sind Verknüpfungen? enthält die vollständige Liste der Verknüpfungstypen und erforderlichen Berechtigungen.
| Funktion | Berechtigung für Verknüpfungspfad | Berechtigung für Zielpfad |
|---|---|---|
| Eine Verknüpfung erstellen | Schreiben | ReadAll1 |
| Eine Verknüpfung löschen | Schreiben | N/V |
1 Wenn OneLake-Datenzugriffsrollen aktiviert sind, müssen sich Benutzer*innen in einer Rolle befinden, die Zugriff auf den Zielpfad gewährt.
Zugreifen auf Verknüpfungen
Eine Kombination aus den Berechtigungen im Verknüpfungspfad und im Zielpfad regelt die Berechtigungen für Verknüpfungen. Wenn ein Benutzer auf eine Verknüpfung zugreift, wird die restriktivste Berechtigung der beiden Speicherorte angewendet. Daher dürfen Benutzer*innen, die über Lese-/Schreibberechtigungen im Lakehouse verfügen, aber nur über Leseberechtigungen im Zielpfad, nicht in den Zielpfad schreiben. Ebenso dürfen Benutzer*innen, die nur über Leseberechtigungen im Lakehouse verfügen, aber über Lese-/Schreibberechtigungen im Zielpfad, auch nicht in den Zielpfad schreiben.
In der folgenden Tabelle sind die verknüpfungsbezogenen Berechtigungen für die jeweilige Verknüpfungsaktion aufgeführt.
| Funktion | Berechtigung für Verknüpfungspfad | Berechtigung für Zielpfad |
|---|---|---|
| Lesen von Datei-/Ordnerinhalten der Verknüpfung | ReadAll1 | ReadAll1 |
| Schreiben an den Zielspeicherort der Verknüpfung | Schreiben | Schreiben |
| Lesen von Daten aus Verknüpfungen im Tabellenabschnitt (table) des Lakehouse über den TDS-Endpunkt | Lesen Sie | ReadAll2 |
1 Wenn OneLake-Datenzugriffsrollen aktiviert sind, müssen Benutzer*innen in einer Rolle sein, die Zugriff auf die Daten gewährt.
Wichtig
2 Beim Zugriff auf Verknüpfungen über Power BI-Semantikmodelle oder T-SQL wird die aufrufende Benutzeridentität nicht an das Zielpfad der Verknüpfung übergeben. Stattdessen wird die Besitzeridentität des aufrufenden Artikels übergeben und der Zugriff an aufrufende Benutzer*innen delegiert.
OneLake-Datenzugriffsrollen
OneLake-Datenzugriffsrollen ist ein neues Feature, mit dem Sie rollenbasierte Zugriffssteuerung (RBAC) auf Ihre in OneLake gespeicherten Daten anwenden können. Sie können Sicherheitsrollen definieren, die Lesezugriff auf bestimmte Ordner innerhalb eines Fabric-Elements gewähren und diese Benutzern oder Gruppen zuweisen. Die Zugriffsberechtigungen bestimmen, welche Ordner Benutzer beim Zugriff auf die Lakeanzeige der Daten sehen, entweder über die Lakehouse-UX, Notebooks oder OneLake-APIs. Bei Elementen mit aktivierter Previewfunktion bestimmen OneLake-Datenzugriffsrollen auch den Zugriff eines Benutzers auf eine Verknüpfung.
Benutzer in den Rollen Administrator, Mitglied und Mitwirkender haben vollständigen Zugriff auf Daten aus einer Verknüpfung, unabhängig von den definierten OneLake-Datenzugriffsrollen. Sie benötigen jedoch weiterhin Zugriff sowohl auf den Verknüpfungspfad als auch auf den Zielpfad, wie in Arbeitsbereichsrollen erwähnt.
Benutzer in der Rolle Zuschauer oder die ein für sie freigegebenes Lakehouse haben, haben Zugriffseinschränkung, je nachdem, ob der Benutzer über eine OneLake-Datenzugriffsrolle Zugriff hat. Weitere Informationen zum Zugriffssteuerungsmodell mit Verknüpfungen finden Sie unter Modell zur Datenzugriffssteuerung in OneLake.