OneLake 快捷方式安全性
OneLake 快捷方式充当驻留在各种存储帐户中的数据的指针,无论是在 OneLake 本身还是在 Azure Data Lake Storage (ADLS) 等外部系统中。 本文介绍了创建快捷方式和使用快捷方式访问数据所需的权限。
为了确保快捷方式的组成部分清晰明了,本文档使用了以下术语:
- 目标路径:快捷方式指向的位置。
- 快捷方式路径:快捷方式出现的位置。
创建和删除快捷方式
若要创建快捷方式,用户需要对为其创建快捷方式的 Fabric 项具有写入权限。 此外,用户需要对快捷方式所指向的数据具有读取访问权限。 指向外部源的快捷方式可能需要外部系统中的某些权限。 什么是快捷方式?一文包含快捷方式类型和所需权限的完整列表。
| 功能 | 快捷方式路径的权限 | 目标路径的权限 |
|---|---|---|
| 创建快捷方式 | 写 | ReadAll1 |
| 删除快捷方式 | 写 | 空值 |
1 如果启用了 OneLake 数据访问角色,则用户需要担任授予对目标路径访问权限的角色。
访问快捷方式
快捷方式的权限由快捷方式路径和目标路径中的权限组合进行控制。 当用户访问快捷方式时,会应用这两个位置的最严格权限。 因此,如果用户在湖屋中具有读/写权限,但在目标路径中仅具有读取权限,则无法写入目标路径。 同样,如果用户在湖屋中仅具有读取权限,但在目标路径中拥有读/写权限,则也无法写入目标路径。
下表显示了每个快捷方式操作的与快捷方式相关的权限。
| 功能 | 快捷方式路径的权限 | 目标路径的权限 |
|---|---|---|
| 读取快捷方式的文件/文件夹内容 | ReadAll1 | ReadAll1 |
| 写入快捷方式目标位置 | 写入 | 写入 |
| 通过 TDS 终结点从湖屋表部分中的快捷方式读取数据 | 读取 | ReadAll2 |
1 如果启用了 OneLake 数据访问角色,则用户需要担任授予对数据访问权限的角色。
重要
2 在通过 Power BI 语义模型或 T-SQL 访问快捷方式时,调用用户的标识不会传递到快捷方式目标路径。相反,将会传递调用项所有者的标识,从而将访问权限委派给调用用户。
OneLake 数据访问角色
OneLake 数据访问角色是一项新功能,可用于将基于角色的访问控制 (RBAC) 应用于 OneLake 中存储的数据。 你可以定义安全角色,授予对 Fabric 项中特定文件夹的读取访问权限,并将其分配给用户或组。 访问权限决定了用户通过湖屋 UX、笔记本或 OneLake API 访问数据湖视图时看到的文件夹。 对于启用了预览功能的项,OneLake 数据访问角色也决定了用户对快捷方式的访问权限。
无论定义的 OneLake 数据访问角色如何,具有管理员、成员和参与者角色的用户都具有从快捷方式读取数据的完全访问权限。 但是,他们仍然需要访问工作区角色中提到的快捷方式路径和目标路径。
具有查看者角色或直接与其共享湖屋的用户的访问权限将受到限制,具体取决于用户是否有权通过 OneLake 数据访问角色进行访问。 有关具有快捷方式的访问控制模型的更多信息,请参阅 OneLake 中的数据访问控制模型。