OneLake-snelkoppelingsbeveiliging
OneLake-snelkoppelingen fungeren als aanwijzers naar gegevens die zich in verschillende opslagaccounts bevinden, ongeacht of oneLake zelf of in externe systemen, zoals Azure Data Lake Storage (ADLS). In dit artikel wordt gekeken naar de machtigingen die nodig zijn om snelkoppelingen te maken en toegang te krijgen tot gegevens.
Voor meer duidelijkheid over de onderdelen van een snelkoppeling gebruikt dit document de volgende termen:
- Doelpad: de locatie waarnaar een snelkoppeling verwijst.
- Snelkoppelingspad: de locatie waar de snelkoppeling wordt weergegeven.
Snelkoppelingen maken en verwijderen
Als u een snelkoppeling wilt maken, moet een gebruiker schrijfmachtigingen hebben voor het fabric-item waar de snelkoppeling wordt gemaakt. Bovendien heeft de gebruiker leestoegang nodig tot de gegevens die de snelkoppeling aanwijst. Snelkoppelingen naar externe bronnen vereisen mogelijk bepaalde machtigingen in het externe systeem. Het artikel Wat zijn snelkoppelingen? bevat de volledige lijst met sneltoetsen en vereiste machtigingen.
| Mogelijkheid | Machtiging voor snelkoppelingspad | Machtiging voor doelpad |
|---|---|---|
| Een snelkoppeling maken | Schrijven | ReadAll1 |
| Een snelkoppeling verwijderen | Schrijven | N.v.t. |
1 Als OneLake-rollen voor gegevenstoegang zijn ingeschakeld, moet de gebruiker een rol hebben die toegang verleent tot het doelpad.
Snelkoppelingen openen
Een combinatie van de machtigingen in het snelkoppelingspad en het doelpad bepaalt de machtigingen voor snelkoppelingen. Wanneer een gebruiker een snelkoppeling opent, wordt de meest beperkende machtiging van de twee locaties toegepast. Daarom kan een gebruiker met lees-/schrijfmachtigingen in lakehouse, maar alleen leesmachtigingen in het doelpad niet naar het doelpad schrijven. Op dezelfde manier kan een gebruiker die alleen leesmachtigingen heeft in lakehouse, maar lezen/schrijven in het doelpad ook niet naar het doelpad schrijven.
In de volgende tabel ziet u de snelkoppelingsmachtigingen voor elke snelkoppelingsactie.
| Mogelijkheid | Machtiging voor snelkoppelingspad | Machtiging voor doelpad |
|---|---|---|
| Bestands-/mapinhoud van snelkoppeling lezen | ReadAll1 | ReadAll1 |
| Schrijven naar doellocatie voor snelkoppeling | Schrijven | Schrijven |
| Gegevens lezen uit snelkoppelingen in de tabelsectie van het lakehouse via TDS-eindpunt | Read | ReadAll2 |
1 Als OneLake-rollen voor gegevenstoegang zijn ingeschakeld, moet de gebruiker een rol hebben die toegang verleent tot de gegevens.
Belangrijk
2 Wanneer u snelkoppelingen opent via semantische Power BI-modellen of T-SQL, wordt de identiteit van de aanroepende gebruiker niet doorgegeven aan het snelkoppelingsdoelpad. De identiteit van de eigenaar van het aanroepende item wordt doorgegeven, waarbij de toegang tot de aanroepende gebruiker wordt overgedragen.
Rollen voor OneLake-gegevenstoegang
OneLake-rollen voor gegevenstoegang is een nieuwe functie waarmee u op rollen gebaseerd toegangsbeheer (RBAC) kunt toepassen op uw gegevens die zijn opgeslagen in OneLake. U kunt beveiligingsrollen definiƫren die leestoegang verlenen tot specifieke mappen in een Fabric-item en deze toewijzen aan gebruikers of groepen. De toegangsmachtigingen bepalen welke mappen gebruikers zien bij het openen van de lake-weergave van de gegevens, hetzij via de Lakehouse UX, notebooks of OneLake-API's. Voor items waarvoor de preview-functie is ingeschakeld, bepalen OneLake-rollen voor gegevenstoegang ook de toegang van een gebruiker tot een snelkoppeling.
Gebruikers in de rollen Beheerder, Lid en Inzender hebben volledige toegang tot het lezen van gegevens via een snelkoppeling, ongeacht de gedefinieerde Rollen voor OneLake-gegevenstoegang. Ze hebben echter nog steeds toegang nodig op zowel het snelkoppelingspad als het doelpad, zoals vermeld in werkruimterollen.
Gebruikers in de rol Viewer of die een lakehouse met hen hebben gedeeld, hebben rechtstreeks toegang beperkt op basis van of de gebruiker toegang heeft via een Toegangsrol voor OneLake-gegevens. Zie Data Access Control Model in OneLake voor meer informatie over het toegangsbeheermodel met sneltoetsen.