Sicurezza dei collegamenti OneLake
I collegamenti OneLake fungono da puntatori ai dati che risiedono in vari account di archiviazione, sia all'interno di OneLake stesso che in sistemi esterni come Azure Data Lake Storage (ADLS). Questo articolo esamina le autorizzazioni necessarie per creare collegamenti e accedere ai dati usandoli.
Per garantire maggiore chiarezza sui componenti di un collegamento, questo documento usa i termini seguenti:
- Percorso della destinazione: posizione a cui punta un collegamento.
- Percorso del collegamento: posizione in cui viene visualizzato il collegamento.
Creare ed eliminare collegamenti
Per creare un collegamento, un utente deve disporre dell'autorizzazione di scrittura per l'elemento di Fabric in cui viene creato il collegamento. Inoltre, l'utente deve avere l’accesso in lettura ai dati a cui punta il collegamento. I collegamenti a origini esterne possono richiedere determinate autorizzazioni nel sistema esterno. L'articolo Che cosa sono i collegamenti? include l'elenco completo dei tipi di collegamento e delle autorizzazioni necessarie.
| Funzionalità | Autorizzazione per il percorso del collegamento | Autorizzazione per il percorso della destinazione |
|---|---|---|
| Creare un collegamento | Scrittura | ReadAll1 |
| Eliminare un collegamento | Scrittura | N/D |
1 Se i ruoli di accesso ai dati di OneLake sono abilitati, l'utente deve ricoprire un ruolo che conceda l'accesso al percorso della destinazione.
Accesso ai collegamenti
Una combinazione delle autorizzazioni nel percorso del collegamento e nel percorso della destinazione regola le autorizzazioni per i collegamenti. Quando un utente accede a un collegamento, viene applicata l'autorizzazione più restrittiva delle due posizioni. Pertanto, un utente che dispone di autorizzazioni di lettura/scrittura nella lakehouse, ma solo di autorizzazioni di lettura nel percorso della destinazione, non può scrivere nel percorso della destinazione. Analogamente, un utente che dispone solo di autorizzazioni di lettura nella lakehouse, ma di lettura/scrittura nel percorso della destinazione, non può scrivere nel percorso della destinazione.
Nella tabella seguente vengono illustrate le autorizzazioni relative ai collegamenti per ogni azione di collegamento.
| Funzionalità | Autorizzazione per il percorso del collegamento | Autorizzazione per il percorso della destinazione |
|---|---|---|
| Leggere il contenuto di file/cartelle di collegamento | ReadAll1 | ReadAll1 |
| Scrivere nella posizione di destinazione del collegamento | Scrittura | Scrittura |
| Leggere i dati dai collegamenti nella sezione della tabella della lakehouse tramite l'endpoint TDS | Lettura | ReadAll2 |
1 Se i ruoli di accesso ai dati di OneLake sono abilitati, l'utente deve ricoprire un ruolo che conceda l'accesso ai dati.
Importante
2 Quando si accede ai collegamenti tramite modelli semantici di Power BI o T-SQL, l'identità dell'utente chiamante non viene passata al percorso della destinazione del collegamento. Viene invece passata l'identità del proprietario dell'elemento chiamante, delegando l'accesso all'utente chiamante.
Ruoli di accesso ai dati OneLake
I ruoli di accesso ai dati di OneLake sono una nuova funzionalità che consente di applicare il controllo degli accessi in base al ruolo ai dati archiviati su OneLake. È possibile definire ruoli di sicurezza che concedono l'accesso in lettura a cartelle specifiche all'interno di un elemento di Fabric e assegnarli a utenti o gruppi. Le autorizzazioni di accesso determinano le cartelle che gli utenti vedono quando accedono alla vista lake dei dati attraverso l'UX del lakehouse, i notebook o le API di OneLake. Per gli elementi con la funzionalità di anteprima abilitata, i ruoli di accesso ai dati di OneLake determinano anche l'accesso di un utente a un collegamento.
Gli utenti con ruolo di Amministratore, Membro e Collaboratore hanno accesso completo per leggere i dati da un collegamento indipendentemente dai ruoli di accesso ai dati di OneLake definiti. Tuttavia, hanno ancora bisogno di accedere sia al percorso del collegamento che al percorso della destinazione, come indicato in Ruoli dell'area di lavoro.
Gli utenti con ruolo Visualizzatore o che avevano condiviso direttamente una lakehouse hanno accesso limitato in base a se l'utente ha accesso tramite un ruolo di accesso ai dati OneLake. Per altre informazioni sul modello di controllo di accesso con i collegamenti, vedere Modello di controllo di accesso ai dati in OneLake.