Condividi tramite


Per altre informazioni, vedere Introduzione ai ruoli di accesso ai dati di OneLake (anteprima)

Panoramica

I ruoli di accesso ai dati di OneLake sono una nuova funzionalità che consente di applicare il controllo degli accessi in base al ruolo ai dati archiviati su OneLake. È possibile definire ruoli di sicurezza che concedono l'accesso in lettura a cartelle specifiche all'interno di un elemento di Fabric e assegnarli a utenti o gruppi. Le autorizzazioni di accesso determinano le cartelle che gli utenti vedono quando accedono alla vista lake dei dati attraverso l'UX del lakehouse, i notebook o le API di OneLake.

Gli utenti di Fabric nei ruoli Amministratore, Membro o Collaboratore possono iniziare creando ruoli di accesso ai dati di OneLake per concedere l'accesso solo a cartelle specifiche in una lakehouse. Per concedere l'accesso ai dati in una lakehouse, aggiungere utenti a un ruolo di accesso ai dati. Gli utenti che non fanno parte di un ruolo di accesso ai dati non vedranno dati in tale lakehouse.

Nota

La sicurezza dei ruoli di accesso ai dati si applica solo agli utenti che accedono direttamente a OneLake. Gli elementi di Fabric, ad esempio gli endpoint di analisi SQL, modelli semantici e i warehouse, hanno modelli di sicurezza personalizzati e accedono a OneLake tramite un'identità delegata. Ciò significa che gli utenti possono visualizzare elementi diversi in ogni carico di lavoro se hanno accesso a più elementi.

Come acconsentire esplicitamente

Tutti i lakehouse in Fabric hanno la funzionalità di anteprima dei ruoli di accesso ai dati disabilitata per impostazione predefinita. La funzionalità di anteprima viene configurata per ogni lakehouse. Il controllo di consenso esplicito consente a un unico lakehouse di provare l'anteprima senza abilitarla in altri lakehouse o elementi di Fabric.

Per abilitare l'anteprima, è necessario essere Amministratore, Membro o Collaboratore nell'area di lavoro. Spostarsi in un lakehouse e selezionare il pulsante Gestisci accesso ai dati OneLake (anteprima) nella barra multifunzione per aprire la finestra di dialogo di conferma. L'anteprima dei ruoli di accesso ai dati non è compatibile con l'anteprima di condivisione dei dati esterni. Per accettare la modifica, selezionare Continua. Viene aperta l'esperienza utente dei ruoli di gestione e la funzionalità a questo punto è abilitata.

La funzionalità di anteprima non può essere spenta una volta abilitata.

Per garantire un'esperienza di consenso esplicito uniforme, tutti gli utenti con permessi di lettura per i dati nel lakehouse continuano ad avere accesso in lettura. La migrazione dell'accesso viene eseguita tramite la creazione di un ruolo di accesso ai dati predefinito denominato "DefaultReader". Usando le adesioni ai ruoli virtualizzate, tutti gli utenti che hanno le autorizzazioni necessarie per visualizzare i dati nel lakehouse (autorizzazione ReadAll) vengono inclusi come membri di questo ruolo predefinito. Per iniziare a limitare l'accesso a tali utenti, assicurarsi che il ruolo DefaultReader venga eliminato o che l'autorizzazione ReadAll venga rimossa agli utenti che accedono.

Importante

Assicurarsi che tutti gli utenti inclusi in un ruolo di accesso ai dati non facciano parte del ruolo DefaultReader. In caso contrario, manterranno l'accesso completo ai dati.

Quali tipi di dati possono essere protetti?

I ruoli di accesso ai dati di OneLake possono essere usati per gestire l'accesso in lettura di OneLake alle cartelle in un lakehouse. L'accesso in lettura può essere assegnato a qualsiasi cartella in un lakehouse e nessun accesso a una cartella è lo stato predefinito. Le impostazioni di sicurezza impostate dai ruoli di accesso ai dati si applica esclusivamente all'accesso a OneLake o alle API specifiche di OneLake. Per altre informazioni, vedere Modello per il Controllo dell'accesso all'hub IoT.

Prerequisiti

Per configurare la sicurezza per un lakehouse, è necessario essere un amministratore, un membro o un collaboratore per l'area di lavoro. La creazione di ruoli e l'assegnazione di appartenenza diventano effettive non appena il ruolo viene salvato, quindi assicurarsi di voler concedere l'accesso prima di aggiungere un utente a un ruolo.

I ruoli di accesso ai dati OneLake sono supportati solo per gli elementi lakehouse.

Creare un ruolo

  1. Aprire il lakehouse in cui si vuole definire la sicurezza.
  2. Sul lato destro del nastro del lakehouse, selezionare Gestisci accesso ai dati OneLake (anteprima).
  3. In alto a sinistra del riquadro Gestisci accesso ai dati OneLake selezionare Nuovo ruolo e digitare il nome del ruolo desiderato. Il nome del ruolo presenta alcune restrizioni:
    1. Il nome del ruolo può contenere solo caratteri alfanumerici.
    2. Il nome del ruolo deve iniziare con una lettera.
    3. I nomi delle regole devono essere univoci e non fanno distinzione tra maiuscole e minuscole.
    4. La lunghezza massima del nome è di 128 caratteri.
  4. Selezionare il tasto di alternanza Tutte le cartelle se si vuole applicare questo ruolo a tutte le cartelle in questo lakehouse.
    1. Questa selezione include tutte le cartelle aggiunte in futuro.
  5. Selezionare le cartelle selezionate se si vuole applicare questo ruolo solo a tali cartelle.
    1. Selezionare le caselle accanto alle cartelle a cui applicare il ruolo.
    2. I ruoli concedono l'accesso alle cartelle. Per consentire a un utente di accedere a una cartella, selezionare la casella accanto. Se un utente non deve visualizzare una cartella, non selezionare la casella.
    3. In basso a sinistra, selezionare Salva per creare il ruolo.
  6. In alto a sinistra, selezionare Assegna ruolo per aprire il riquadro adesione al ruolo.
  7. Aggiungere persone, gruppi o indirizzi di posta elettronica al controllo Aggiungi persone o gruppi. Per altre informazioni, vedere Assegna un membro o un gruppo.
  8. Selezionare Aggiungi per spostare la selezione nell'elenco Utenti assegnati. Se si seleziona Aggiungi, la selezione non viene ancora salvata.
  9. Selezionare Salva e attendere la notifica che i ruoli sono stati pubblicati correttamente.
  10. Selezionare la X in alto a destra nel riquadro per chiuderlo.

Modificare una regola

  1. Aprire il lakehouse in cui si vuole definire la sicurezza.
  2. Sul lato destro del nastro del lakehouse, selezionare Gestisci accesso ai dati OneLake (anteprima).
  3. Nel riquadro Gestisci accesso ai dati OneLake, passare il puntatore del mouse sul ruolo che si vuole modificare e selezionarlo.
  4. È possibile modificare le cartelle a cui viene concesso l'accesso selezionando o deselezionando le caselle di controllo accanto a ogni cartella.
  5. Per modificare le persone, selezionare Assegna ruolo. Per altre informazioni, vedere Assegna un membro o un gruppo.
  6. Per aggiungere altri utenti, digitare i nomi nella casella Aggiungi persone o gruppi e seleziona Aggiungi.
  7. Per rimuovere le persone, selezionare il nome in Utenti assegnati e selezionare Rimuovi.
  8. Selezionare Salva e attendere la notifica che i ruoli sono stati pubblicati correttamente.
  9. Selezionare la X in alto a destra nel riquadro per chiuderlo.

Eliminare una regola

  1. Aprire il lakehouse in cui si vuole definire la sicurezza.
  2. Sul lato destro del nastro del lakehouse, selezionare Gestisci accesso ai dati OneLake (anteprima).
  3. Nel riquadro Gestisci accesso ai dati OneLake selezionare la casella accanto ai ruoli da eliminare.
  4. Selezionare Elimina e attendere la notifica che i ruoli sono stati eliminati correttamente.
  5. Selezionare la X in alto a destra nel riquadro per chiuderlo.

Assegnare un membro o un gruppo

I ruoli di accesso ai dati di OneLake supportano due diversi metodi di aggiunta di utenti a un ruolo. Il metodo principale consiste nell'aggiungere utenti o gruppi direttamente a un ruolo usando la casella Aggiungi persone o gruppi nella pagina Assegna ruolo. Il secondo consiste nell'usare le adesioni virtuali con il comando di controllo Aggiungi utenti in base alle autorizzazioni del lakehouse.

L'aggiunta di utenti direttamente a un ruolo con la casella Aggiungi persone o gruppo aggiunge gli utenti come membri espliciti del ruolo. Questi utenti vengono visualizzati con il nome e l'immagine visualizzati nell'elenco Persone e gruppi assegnati.

I membri virtuali consentono di regolare dinamicamente l'adesione del ruolo in base alle autorizzazioni dell'elemento di Fabric degli utenti. Selezionando la casella Aggiungi utenti in base alle autorizzazioni del lakehouse e selezionando un'autorizzazione, si aggiunge qualsiasi utente nell'area di lavoro di Fabric con tutte le autorizzazioni selezionate come membro implicito del ruolo. Ad esempio, se si sceglie ReadAll, Scrittura, qualsiasi utente dell'area di lavoro di Fabric con autorizzazioni ReadAll E Scrittura per l'elemento verrebbe incluso come membro del ruolo. È possibile vedere quali utenti vengono aggiunti come membri virtuali cercando il valore "Autorizzazioni lakehouse" nella colonna Assegnato da nell'elenco Utenti assegnati. Questi membri non possono essere rimossi manualmente e per annullare l'assegnazione, devono avere l'autorizzazione di Fabric corrispondente revocata.

Indipendentemente dal tipo di adesione, i ruoli di accesso ai dati supportano l'aggiunta di singoli utenti, gruppi di Microsoft Entra ed entità di sicurezza.

Assegnare membri

Per accedere alla pagina Assegna membri, esistono due modi:

Metodo 1

  1. Selezionare i membri a cui assegnare il ruolo.
  2. Nella parte superiore della pagina dei dettagli, selezionare Assegna ruolo.

Metodo 2

  1. Nell'elenco dei ruoli selezionare la casella di controllo accanto al ruolo a cui assegnare i membri.
  2. Selezionare Assegna.

Assegnare gli utenti direttamente

Nella pagina Assegna ruolo è possibile aggiungere membri o gruppi digitando il nome o l'indirizzo di posta elettronica nella casella Aggiungi persone o gruppi. Selezionare il risultato da includere per tale utente. È possibile ripetere questo passaggio per tutti gli utenti desiderati. Se sono stati selezionati gli utenti errati, è possibile selezionare la X accanto alla voce per rimuoverli dalla casella oppure selezionare Cancella per rimuovere tutte le voci. Al termine, selezionare Aggiungi per spostare gli utenti selezionati nell'elenco di accesso. L'aggiunta di tali utenti nell'elenco non viene ancora salvata. Si tratta di un'anteprima dell'elenco di adesione ai ruoli dopo l'aggiunta di tali utenti e gli utenti appena aggiunti avranno un indicatore accanto al nome.

Per pubblicare le modifiche di accesso, selezionare Salva nella parte inferiore del riquadro.

Assegnare membri virtuali

Per aggiungere membri virtuali, usare la casella Aggiungi utenti in base alle autorizzazioni del lakehouse. Selezionare la casella per aprire la selezione a discesa per scegliere le autorizzazioni di Fabric da virtualizzare. Gli utenti vengono virtualizzati se dispongono di tutte le autorizzazioni controllate.

Le autorizzazioni che possono essere usate per la virtualizzazione sono:

  • Lettura
  • Scrittura
  • Ricondivisione
  • Execute
  • ReadAll

Dopo aver selezionato le autorizzazioni, selezionare Aggiungi per aggiornare l'elenco Utenti assegnati con le modifiche. Il testo visualizzato accanto al nome degli utenti indica che tali utenti sono stati assegnati dalle autorizzazioni del lakehouse. Questi utenti non possono essere rimossi manualmente dall'assegnazione di ruolo. Rimuovere invece le autorizzazioni corrispondenti dal controllo Aggiungi utenti in base al controllo autorizzazioni del lakehouse o rimuovere l'autorizzazione di Fabric.

Problemi noti

La funzionalità di anteprima della condivisione dei dati esterna non è compatibile con l'anteprima dei ruoli di accesso ai dati. Quando si abilita l'anteprima dei ruoli di accesso ai dati in un lakehouse, le condivisioni dati esterne esistenti potrebbero smettere di funzionare.