Sécurité des raccourcis OneLake
Les raccourcis OneLake servent de pointeurs vers des données résidant dans différents comptes de stockage, qu’ils se trouvent dans OneLake lui-même ou dans des systèmes externes, tels qu’Azure Data Lake Storage (ADLS). Cet article examine les autorisations requises pour créer des raccourcis et accéder aux données à l’aide de ces derniers.
Pour garantir la clarté des composants d’un raccourci, ce document utilise les termes suivants :
- Chemin cible : emplacement vers lequel pointe un raccourci.
- Chemin d'accès : l’emplacement où le raccourci s’affiche.
Créer et supprimer des raccourcis
Pour créer un raccourci, un utilisateur doit disposer d’une autorisation d’accès en écriture sur l’élément de structure où le raccourci est créé. En outre, l’utilisateur a besoin d’un accès en lecture aux données vers laquelle pointe le raccourci. Les raccourcis vers des sources externes peuvent nécessiter certaines autorisations dans le système externe. L’article Que sont les raccourcis ? contient la liste complète des types de raccourcis et des autorisations requises.
Fonctionnalité | Autorisation sur le chemin du raccourci | Autorisation sur le chemin cible |
---|---|---|
Créer un raccourci | Write | ReadAll1 |
Supprimer un raccourci | Write | N/A |
1 Si les rôles d’accès aux données OneLake sont activés, l’utilisateur doit se trouver dans un rôle qui accorde l’accès au chemin cible.
Accéder aux raccourcis
Une combinaison des autorisations dans le chemin de raccourci et le chemin cible régit les autorisations pour les raccourcis. Lorsqu’un utilisateur accède à un raccourci, l’autorisation la plus restrictive des deux emplacements est appliquée. Par conséquent, un utilisateur disposant d’autorisations de lecture/écriture dans lakehouse, mais uniquement les autorisations de lecture dans le chemin cible ne peuvent pas écrire dans le chemin cible. De même, un utilisateur disposant uniquement d’autorisations de lecture dans le lakehouse, mais en lecture/écriture dans le chemin cible ne peut pas écrire dans le chemin cible.
Le tableau suivant présente les autorisations relatives aux raccourcis pour chaque action de raccourci.
Fonctionnalité | Autorisation sur le chemin du raccourci | Autorisation sur le chemin cible |
---|---|---|
Lire le contenu du fichier/dossier du raccourci | ReadAll1 | ReadAll1 |
Écrire dans l’emplacement cible du raccourci | Écrire | Écrire |
Lire des données à partir de raccourcis dans la section table du lakehouse via le point de terminaison TDS | Lire | ReadAll2 |
1 Si les rôles d’accès aux données OneLake sont activés, l’utilisateur doit se trouver dans un rôle qui accorde l’accès aux données.
Important
2 Lors de l’accès aux raccourcis via des modèles sémantiques Power BI ou T-SQL, l’identité de l’utilisateur appelant n’est pas transmise au chemin cible du raccourci. L’identité du propriétaire de l’élément appelant est transmise à la place, en déléguant l’accès à l’utilisateur appelant.
Rôles d'accès aux données OneLake
Les rôles d’accès aux données OneLake sont une nouvelle fonctionnalité qui vous permet d’appliquer le contrôle d’accès en fonction du rôle (RBAC) à vos données stockées dans OneLake. Vous pouvez définir des rôles de sécurité qui accordent l’accès en lecture à des dossiers spécifiques au sein d’un élément Fabric et les assignent à des utilisateurs ou des groupes. Les autorisations d'accès déterminent les dossiers que les utilisateurs voient lors de l’accès à la vue en lac des données, via l’expérience utilisateur lakehouse, les notebooks ou les API OneLake. Pour les éléments avec la fonctionnalité d'évaluation activée, les rôles d’accès aux données OneLake déterminent également l’accès d’un utilisateur à un raccourci.
Les utilisateurs des rôles Administrateur, Membre et Contributeur ont un contrôle total sur les données lues à partir d’un raccourci, quels que soient les rôles d’accès aux données OneLake définis. Toutefois, ils ont toujours besoin d’un accès à la fois sur le chemin du raccourci et le chemin de la cible, comme indiqué dans les rôles d’espace de travail.
Les utilisateurs du rôle Visionneuse ou qui avaient un lakehouse partagé directement avec eux ont accès restreint en fonction du fait que l’utilisateur a accès via un rôle d’accès aux données OneLake. Pour plus d’informations sur le modèle de contrôle d’accès avec les raccourcis, consultez Modèle de contrôle d'accès aux données dans OneLake.