Roolipohjaisen käytön hallinta (RBAC)
OneLake RBAC käyttää roolimäärityksiä käyttöoikeuksien ottaminen käyttöön jäsenilleen. Voit määrittää rooleja henkilöille tai käyttöoikeusryhmille, Microsoft 365 -ryhmille ja jakeluluetteloille. Jokainen käyttäjäryhmän jäsen saa määritetyn roolin.
Jos henkilö on vähintään kahdessa käyttöoikeusryhmässä tai Microsoft 365 -ryhmässä, hän saa roolien myöntämän korkeimman käyttöoikeustason. Jos asetat sisäkkäin käyttäjäryhmiä ja määrität roolille ryhmän, kaikilla ryhmien käyttäjillä on käyttöoikeudet.
OneLake RBAC antaa käyttäjien määrittää tietojen käyttörooleja vain Lakehouse Itemsille.
OneLake RBAC rajoittaa tietojen käyttöä käyttäjille, joilla on työtilan katselija tai lakehouse-lukuoikeus. Se ei koske työtilan järjestelmänvalvojia, jäseniä tai osallistujia. Tämän vuoksi OneLake RBAC tukee vain lukutasoa.
RBAC-roolien luominen
Voit määrittää ja hallita OneLake RBAC -rooleja Lakehousen tietojen käyttöasetusten kautta.
Lisätietoja on artikkelissa Tietojen käyttöroolien käytön aloittaminen.
RBAC-oletusrooli Lakehousessa
Kun käyttäjä luo uuden Lakehouse-järjestelmän, OneLake luo oletusarvoisen RBAC-roolin nimeltä Default Readers. Roolin avulla kaikki käyttäjät, joilla on ReadAll-käyttöoikeus, voivat lukea kohteen kaikki kansiot.
Tässä on roolin oletusmääritys:
| Fabric Item | Roolin nimi | Oikeus | Kansiot sisältyvät | Määritetyt jäsenet |
|---|---|---|---|---|
| Lakehouse | DefaultReader |
ReadAll | Kaikki kansiot alla ja alapuolella Tables/Files/ |
Kaikki käyttäjät, joilla on ReadAll-käyttöoikeus |
Muistiinpano
Jos haluat rajoittaa käyttöoikeuksia tietyille käyttäjille tai tietyille kansioille, sinun on joko muokattava oletusroolia tai poistettava se ja luotava uusi mukautettu rooli.
Periytyminen OneLake RBAC:ssä
Minkä tahansa kansion kohdalla OneLaken RBAC-käyttöoikeudet perivät aina kansion tiedostojen ja alikansioiden koko hierarkian.
Otetaan esimerkiksi seuraava OneLaken lakehouse-hierarkia.
Tables/
──── (empty folder)
Files/
────folder1
│ │ file11.txt
│ │
│ └───subfolder11
│ │ file1111.txt
| │
│ └───subfolder111
| │ file1111.txt
│
└───folder2
│ file21.txt
OneLaken RBAC-käyttöoikeudet perivät hierarkiassa Role1 Role2 seuraavasti:
| Rooli | Lupa | Käyttöoikeus-kohdassa määritetty kansio | Kansiot ja tiedostot, jotka perivät käyttöoikeuden |
| Rooli1 | Lukea | folder1 |
|
| Rooli2 | Lukea | kansio2 |
|
Traversal ja luettelo OneLake RBAC:ssa
OneLake RBAC tarjoaa automaattisen pääkohteiden läpikulun, jotta tiedot on helppo löytää. Käyttäjän luku -alikansion myöntäminen alikansioon11 myöntää käyttäjälle mahdollisuuden luetteloida päähakemiston kansio1 ja kulkea sen läpi. Tämä toiminto on samankaltainen kuin Windows-kansion käyttöoikeudet, joissa alikansion käyttöoikeuden antaminen mahdollistaa päähakemistojen etsimisen ja käytön. Pääkohteelle myönnetty luettelo ja läpikulku eivät ulotu muihin suorien pääkohteiden ulkopuolisiin kohteisiin, mikä varmistaa, että muut kansiot pysyvät suojattuina.
Otetaan esimerkiksi seuraava OneLaken lakehouse-hierarkia.
Tables/
──── (empty folder)
Files/
────folder1
│ │ file11.txt
│ │
│ └───subfolder11
│ │ file111.txt
| │
│ └───subfolder111
| │ file1111.txt
│
└───folder2
│ file21.txt
Tietyssä hierarkiassa OneLaken RBAC-käyttöoikeudet roolille "Role1" antavat seuraavan käyttöoikeuden. Huomaa, että file11.txt käyttö ei ole näkyvissä, koska se ei ole alikansion11 pääkohde. Samoin roolin 2 file111.txt ei ole näkyvissä.
| Rooli | Lupa | Käyttöoikeus-kohdassa määritetty kansio | Kansiot ja tiedostot, jotka perivät käyttöoikeuden |
| Rooli1 | Lukea | alikansio11 |
|
| Rooli2 | Lukea | alikansio111 |
|
Pikakuvakkeiden luettelotoiminta on hieman erilainen. Ulkoisten tietolähteiden pikakuvakkeet toimivat samalla tavalla kuin kansiot, mutta muiden OneLake-sijaintien pikakuvakkeet toimivat erityisellä tavalla. Pikakuvakkeen kohdekäyttöoikeudet määrittävät OneLake-pikakuvakkeen käytön. Kun luettelet pikakuvakkeita, kohdekäyttöoikeuden tarkistamiseen ei tehdä kutsua. Tällöin, kun luetteloidaan hakemiston, kaikki sisäiset pikakuvakkeet palautetaan riippumatta siitä, millä käyttäjällä on käyttöoikeus kohteeseen. Kun käyttäjä yrittää avata pikakuvakkeen, käyttöoikeuksien tarkistus arvioidaan ja käyttäjä näkee vain tiedot, jotka hänellä on tarvittavat oikeudet nähdä. Lisätietoja pikakuvakkeista on pikakuvakkeiden suojausosiossa.
Seuraavissa esimerkeissä käytetään seuraavaa kansiohierarkiaa.
Files/
────folder1
│
└───shortcut2
|
└───shortcut3
| Rooli | Lupa | Käyttöoikeus-kohdassa määritetty kansio | Tiedostojen luetteloinnin tulos |
| Rooli1 | Lukea | folder1 |
|
| Rooli2 | N/A | N/A |
|
Miten OneLaken RBAC-käyttöoikeuksia arvioidaan Fabric-käyttöoikeuksilla
Työtilan ja Kohteen käyttöoikeuksien avulla voit myöntää karkean tason käyttöoikeuden OneLaken tietoihin tietylle kohteelle. OneLaken RBAC-käyttöoikeuksien avulla voit rajoittaa tietojen käytön OneLakessa vain tiettyihin kansioihin.
OneLake RBAC- ja Työtila-käyttöoikeudet
Työtilan käyttöoikeudet ovat ensimmäinen tietojen suojausraja OneLakessa. Kukin työtila edustaa yhtä toimialuetta tai projektialuetta, jossa tiimit voivat tehdä yhteistyötä tietojen parissa. Voit hallita työtilan suojausta Fabric-työtilaroolien kautta. Lue lisätietoja Fabric-roolipohjaisen käytön valvonnasta (RBAC): Työtilaroolit
Fabric-työtilaroolit myöntävät seuraavat käyttöoikeudet OneLakessa.
| Käyttöoikeus | Järjestelmänvalvoja | Jäsen | Osallistuja | Katselija |
|---|---|---|---|---|
| Näytä tiedostot OneLakessa | Aina* Kyllä | Aina* Kyllä | Aina* Kyllä | Oletusarvoisesti ei. Käytä OneLake RBAC -rbac-paketin myöntämistä. |
| Tiedostojen kirjoittaminen OneLakessa | Aina* Kyllä | Aina* Kyllä | Aina* Kyllä | En |
Muistiinpano
*Koska työtilan järjestelmänvalvoja, jäsen- ja osallistujaroolit myöntävät automaattisesti Kirjoitusoikeudet OneLakelle, se ohittaa kaikki OneLake RBAC -lukuoikeudet.
| Työtilan rooli | Käyttääkö OneLake RBAC-lukuoikeuksia? |
|---|---|
| Järjestelmänvalvoja, osallistuja, jäsen | Ei, OneLake-suojaus ohittaa kaikki OneLaken RBC-lukuoikeudet |
| Katselija | Kyllä, jos määritetty, OneLake RBAC -lukuoikeudet otetaan käyttöön |
OneLake RBAC- ja Lakehouse-käyttöoikeudet
Työtilassa Fabric-kohteille voidaan määrittää käyttöoikeudet erillään työtilan rooleista. Voit määrittää käyttöoikeudet joko jakamalla kohteen tai hallitsemalla kohteen käyttöoikeuksia. Seuraavat käyttöoikeudet määrittävät käyttäjän kyvyn suorittaa toimintoja OneLaken tiedoille.
Lakehousen käyttöoikeudet
| Lakehousen käyttöoikeus | Voivatko tarkastella tiedostoja OneLakessa? | Voiko OneLakessa kirjoittaa tiedostoja? | Voiko tietoja lukea SQL-analytiikan päätepisteen kautta? |
|---|---|---|---|
| Luettu | Oletuksena ei, myönnä käyttöoikeus OneLake RBAC -rbac-parametrin avulla. | En | En |
| ReadAll | Oletusarvoisesti Kyllä. Rajoita käyttöoikeuksia OneLake RBAC:n avulla. | En | En |
| Kirjoitus | Kyllä | Kyllä | Kyllä |
| Suorita, jaa uudelleen, ViewOutput, ViewLogs | N/A - ei voida myöntää yksinään | N/A - ei voida myöntää yksinään | N/A - ei voida myöntää yksinään |
OneLake RBAC- ja Lakehouse SQL Analytics -päätepisteiden käyttöoikeudet
SQL Analytics -päätepiste on varasto, joka luodaan automaattisesti Microsoft Fabricin Lakehousesta. Asiakas voi siirtyä Lakehouse-näkymästä (joka tukee tietotekniikkaa ja Apache Sparkia) SAMAN Lakehousen SQL-näkymään. Lue lisää SQL-analytiikan päätepisteestä Data Warehouse -dokumentaatiosta : SQL-analytiikan päätepiste.
OneLake RBAC ja Default Lakehousen semanttisen mallin käyttöoikeudet
Kun käyttäjä luo Lakehousen Microsoft Fabricissa, järjestelmä myös määrittää siihen liittyvän semanttisen oletusmallin. Semanttisen oletusmallin lakehouse-tietojen päällä on mittareita. Semanttisen mallin avulla Power BI voi ladata tiedot raportointia varten.
| Semanttisen mallin oletuskäyttöoikeus | Voivatko tarkastella tiedostoja OneLakessa? | Voiko OneLakessa kirjoittaa tiedostoja? | Voiko semanttisen mallin rakenne olla näkyvissä? | Voiko tietoja lukea semanttisessa mallissa? |
|---|---|---|---|---|
| Luettu | Oletuksena ei, myönnä käyttöoikeus OneLake RBAC -rbac-parametrin avulla. | En | En | Oletusarvoisesti Kyllä. Voidaan rajoittaa Power BI:n objektitason suojauksen ja Power BI -rivitason suojauksen avulla |
| Build | Oletusarvoisesti Kyllä. Rajoita käyttöoikeuksia OneLake RBAC:n avulla. | Kyllä | Kyllä | Kyllä |
| Kirjoitus | Kyllä | Kyllä | Kyllä | Kyllä |
| Jaa uudelleen | N/A - ei voida myöntää yksinään | N/A - ei voida myöntää yksinään | N/A - ei voida myöntää yksinään | N/A - ei voida myöntää yksinään |
Lakehouse-jakamisen ja OneLaken RBAC-käyttöoikeudet
Kun käyttäjä jakaa Lakehousen, hän myöntää muille käyttäjille tai ryhmälle käyttäjäryhmän käyttöoikeuden Lakehouse-järjestelmään antamatta käyttöoikeutta työtilaan ja muihin sen kohteisiin. Jaettu lakehouse löytyy Data Hubin tai Microsoft Fabricsin Jaettu kanssani -osion kautta.
Kun joku jakaa Lakehousen, hän voi myös myöntää käyttöoikeuden SQL-analytiikan päätepisteeseen ja siihen liittyvään semanttiseen oletusmalliin.
| Jakamisvaihtoehto | Voivatko tarkastella tiedostoja OneLakessa? | Voiko OneLakessa kirjoittaa tiedostoja? | Voiko tietoja lukea SQL-analytiikan päätepisteen kautta? | Voiko semanttisia malleja tarkastella ja luoda? |
|---|---|---|---|---|
| Ei lisäkäyttöoikeuksia valittuna | Oletuksena ei, myönnä käyttöoikeus OneLake RBAC -rbac-parametrin avulla. | En | No | En |
| Lue kaikki Apache Spark | Oletusarvoisesti Kyllä. Rajoita käyttöoikeuksia OneLake RBAC:n avulla. | En | No | En |
| Kaikkien SQL-päätepisteiden tietojen luku | Oletuksena ei, myönnä käyttöoikeus OneLake RBAC -rbac-parametrin avulla. | Ei | Kyllä | En |
| Raporttien luominen oletustietojoukon perusteella | Oletusarvoisesti Kyllä. Rajoita käyttöoikeuksia OneLake RBAC:n avulla. | En | No | Kyllä |
Lue lisää tietojen jakamisen käyttöoikeusmallista:
Pikakuvakkeet
OneLake RBAC sisäisissä pikakuvakkeissa
Kaikkien Lakehouse-kansioiden RBAC-käyttöoikeudet perivät aina kaikki sisäiset pikakuvakkeet , joissa tämä kansio on määritetty kohteeksi.
Kun käyttäjä käyttää tietoja toisen OneLake-sijainnin pikakuvakkeen kautta, kutsuvan käyttäjän käyttäjätietoja käytetään käyttöoikeuksien myöntämiseen pikakuvakkeen kohdepolussa*. Tämän vuoksi tällä käyttäjällä on oltava OneLake RBAC -käyttöoikeudet kohdesijainnissa tietojen lukemiseksi.
Tärkeä
Kun käytät pikakuvakkeita power BI:n semanttisten mallien tai T-SQL:n kautta, kutsuvan käyttäjän käyttäjätietoja ei välitetä pikakuvakekohteeseen. Kutsuvan kohteen omistajan käyttäjätiedot välitetään sen sijaan, ja se delegoi käyttöoikeuden kutsuvan käyttäjän.
Sisäisen pikakuvakkeen RBAC-käyttöoikeuksien määrittäminen ei ole sallittua, ja se on määritettävä kohdekohteessa sijaitsevassa kohdekansiossa. Koska RBAC-käyttöoikeuksien määrittäminen on rajoitettu vain Lakehouse-kohteisiin, OneLake ottaa käyttöön RBAC-käyttöoikeudet vain pikakuvakkeisiin, jotka on kohdistettu Lakehouse-kohteiden kansioihin.
Seuraavassa taulukossa on määritetty, tuetaanko vastaavaa pikakuvakeskenaariota OneLaken RBAC-käyttöoikeuksien määrittämisessä.
| Sisäinen pikakuvakeskenaario | Tuetaanko OneLaken RBAC-käyttöoikeuksia? | Kommentit |
|---|---|---|
| Pikakuvake lakehouse1:ssä, joka osoittaa kansioon 2, joka sijaitsee samassa Lakehousessa. | Tuettu. | Jos haluat rajoittaa tietojen käyttöä pikakuvakkeessa, määritä OneLake RBAC kansioon 2. |
| Pikakuvake lakehouse1:ssä osoittamassa kansiota2, joka sijaitsee toisessa Lakehouse2:ssa | Tuettu. | Jos haluat rajoittaa tietojen käyttöä pikakuvakkeessa, määritä OneLake RBAC kansiolle2 Lakehouse2. |
| Pikakuvake lakehousessa, joka osoittaa tietoohjelmistotalossa sijaitsevaan taulukkoon | Ei tueta. | OneLake ei tue RBAC-käyttöoikeuksien määrittämistä datawarehouse-palveluissa. Käyttöoikeus määritetään sen sijaan ReadAll-käyttöoikeuden perusteella. |
| Lakehousen pikakuvake, joka osoittaa KQL-tietokannassa sijaitsevaan taulukkoon | Ei tueta. | OneLake ei tue RBAC-käyttöoikeuksien määrittämistä KQL-tietokannoissa. Käyttöoikeus määritetään sen sijaan ReadAll-käyttöoikeuden perusteella. |
OneLake RBAC in External Shortcuts (ADLS, S3, Dataverse)
OneLake tukee RBAC-käyttöoikeuksien määrittämistä pikakuvakkeille, kuten ADLS, S3 ja Dataverse-pikakuvakkeet. Tässä tapauksessa RBAC-mallia käytetään tämäntyyppiselle pikakuvakkeelle käytetyn delegoidun valtuutusmallin lisäksi .
Oletetaan, että käyttäjä1 luo S3-pikakuvakkeen lakehousessa, joka osoittaa AWS S3 -säilön kansioon. Käyttäjä2 yrittää käyttää tämän pikakuvakkeen tietoja.
| Valtuuttaako S3-yhteys käyttöoikeuden delegoidulle käyttäjälle1? | Valtuuttaako OneLake RBAC käyttöoikeuden pyytävälle käyttäjälle2? | Tulos: Voiko käyttäjä2 käyttää S3-pikakuvakkeen tietoja? |
|---|---|---|
| Kyllä | Kyllä | Kyllä |
| No | No | No |
| No | Kyllä | No |
| Kyllä | No | En |
RBAC-käyttöoikeudet on määritettävä pikakuvakkeen koko laajuudelle (koko kohdekansio), mutta ne perivät rekursiivisesti kaikille alikansioilleen ja tiedostoilleen.
Lue lisää S3:sta, ADLS:stä ja Dataverse-pikakuvakkeista OneLake-pikakuvakkeista.
OneLake RBAC -rajoitukset
Seuraavassa taulukossa on joitakin rajoituksia OneLake-tietojen käytön rooleille.
| Skenaario | Raja |
|---|---|
| OneLake RBAC -roolien enimmäismäärä Fabric-kohdetta kohden | Enintään 250 roolia kullekin Lakehouse-kohteelle. |
| Jäsenten enimmäismäärä OneLake RBAC -roolia kohden | Enintään 500 käyttäjää ja käyttäjäryhmää roolia kohden. |
| Käyttöoikeuksien enimmäismäärä OneLake RBAC -roolia kohden | Enintään 500 käyttöoikeutta roolia kohden |
Viiveet OneLake RBAC:ssa
- Jos muutat OneLaken RBAC-roolimääritystä, OneLaken päivitettyjen määritelmien käyttöön ottaminen kestää noin viisi minuuttia.
- Jos muutat käyttäjäryhmää OneLake RBAC -roolissa, OneLakelta kestää noin tunnin ottaa käyttöön roolin käyttöoikeudet päivitetyssä käyttäjäryhmässä.