OneLake snarvei sikkerhet
OneLake-snarveier fungerer som pekere til data som er bosatt i ulike lagringskontoer, enten i OneLake eller i eksterne systemer som Azure Data Lake Storage (ADLS). Denne artikkelen ser på tillatelsene som kreves for å opprette snarveier og få tilgang til data ved hjelp av dem.
For å sikre klarhet rundt komponentene i en snarvei bruker dette dokumentet følgende termer:
- Målbane: Plasseringen som en snarvei peker til.
- Snarveisbane: Plasseringen der snarveien vises.
Opprette og slette snarveier
Hvis du vil opprette en snarvei, må en bruker ha skrivetillatelse på stoffelementet der snarveien opprettes. I tillegg trenger brukeren lesetilgang til dataene snarveien peker til. Snarveier til eksterne kilder kan kreve bestemte tillatelser i det eksterne systemet. Artikkelen Hva er snarveier? inneholder den fullstendige listen over snarveistyper og nødvendige tillatelser.
| Evne | Tillatelse for snarveisbane | Tillatelse på målbane |
|---|---|---|
| Opprette en snarvei | Skriv | ReadAll1 |
| Slette en snarvei | Skriv | Ikke tilgjengelig |
1 Hvis OneLake-datatilgangsroller er aktivert, må brukeren være i en rolle som gir tilgang til målbanen.
Få tilgang til snarveier
En kombinasjon av tillatelsene i hurtigbanen og målbanen styrer tillatelsene for snarveier. Når en bruker får tilgang til en snarvei, brukes den mest restriktive tillatelsen til de to plasseringene. Derfor kan ikke en bruker som har lese-/skrivetillatelser i lakehouse, men bare lesetillatelser i målbanen, skrive til målbanen. På samme måte kan ikke en bruker som bare har lesetillatelser i lakehouse, men lese/skrive i målbanen, skrive til målbanen.
Tabellen nedenfor viser snarveisrelaterte tillatelser for hver snarveishandling.
| Evne | Tillatelse for snarveisbane | Tillatelse på målbane |
|---|---|---|
| Les fil-/mappeinnholdet i snarveien | ReadAll1 | ReadAll1 |
| Skriv til målplassering for snarvei | Skriv | Skriv |
| Les data fra snarveier i tabelldelen av lakehouse via TDS-endepunktet | Lest | ReadAll2 |
1 Hvis OneLake-datatilgangsroller er aktivert, må brukeren være i en rolle som gir tilgang til dataene.
Viktig
2 Når du åpner snarveier gjennom Semantiske Power BI-modeller eller T-SQL, sendes ikke anropsbrukerens identitet til snarveiens målbane. Eieren av anropselementet sendes i stedet, og delegerer tilgang til anropsbrukeren.
OneLake-datatilgangsroller
OneLake-datatilgangsroller er en ny funksjon som gjør det mulig å bruke rollebasert tilgangskontroll (RBAC) på dataene som er lagret i OneLake. Du kan definere sikkerhetsroller som gir lesetilgang til bestemte mapper i et Stoff-element, og tilordne dem til brukere eller grupper. Tilgangstillatelsene bestemmer hvilke mapper brukerne ser når de får tilgang til lake-visningen av dataene, enten gjennom lakehouse UX, notatblokker eller OneLake API-er. For elementer med forhåndsvisningsfunksjonen aktivert, bestemmer OneLake-datatilgangsroller også en brukers tilgang til en snarvei.
Brukere i rollene Administrator, Medlem og Bidragsyter har full tilgang til å lese data fra en snarvei uavhengig av rollene for Datatilgang for OneLake som er definert. Men de trenger fortsatt tilgang på både snarveisbanen og målbanen som nevnt i arbeidsområderoller.
Brukere i Seer-rollen eller som hadde et lakehouse delt med dem, har direkte tilgang begrenset basert på om brukeren har tilgang gjennom en OneLake-datatilgangsrolle. Hvis du vil ha mer informasjon om tilgangskontrollmodellen med snarveier, kan du se DataTilgangskontrollmodell i OneLake.