開始使用 OneLake 資料存取角色(預覽版)
概觀
OneLake 資料存取角色是一項新功能,是一項新功能,可讓您將以角色型存取控制 (RBAC) 套用至儲存在 OneLake 中的資料。 您可定義安全性角色來針對 Fabric 項目的特定資料夾授予讀取存取權,並將其指派給使用者或群組。 存取權限決定使用者透過 lakehouse UX、筆記本或 OneLake API 存取資料湖檢視時,可看到哪些資料夾。
管理員、成員或參與者角色的 Fabric 使用者可建立 OneLake 資料存取角色來開始使用,以便僅授予 lakehouse 特定資料夾的存取權。 若要授予 lakehouse 資料存取權,請新增使用者至資料存取角色。 不屬於資料存取角色的使用者無法在該 lakehouse 看到任何資料。
注意
資料存取角色安全性僅適用直接存取 OneLake 的使用者。 SQL 分析端點、語意模型與倉儲等 Fabric 項目具有自己的安全性模型,並透過委派身分識別存取 OneLake。 這代表若使用者獲得多個項目的存取權,則可在每個工作負載看到不同項目。
如何選擇退出
依預設,Fabric 所有 lakehouse 都會停用資料存取角色預覽版功能。 預覽版功能會根據每個 lakehouse 進行設定。 選擇加入控制項允許單一 lakehouse 嘗試預覽版,而無需在任何其他 lakehouse 或 Fabric 項目啟用。
若要啟用預覽版,您必須是工作區的管理員、成員或參與者。 導覽至 lakehouse,然後在功能區選取 管理 OneLake 資料存取(預覽版) 按鈕,開啟確認對話方塊。 資料存取角色預覽版不相容外部資料共用預覽版。 若您同意變更,請選取 繼續。 管理角色 UX 隨即開啟,且該功能現已啟用。
在啟用之後,無法關閉預覽版功能。
為確保流暢的選擇加入體驗,所有擁有 lakehouse 資料讀取權限的使用者都繼續具有讀取存取權。 移轉存取是透過建立名為「DefaultReader」的預設資料存取角色來完成。使用虛擬化角色成員資格,所有具有檢視 lakehouse 資料所需權限(ReadAll 權限)的使用者都會納入成為此預設角色的成員。 若要開始限制這些使用者的存取權,請確定已刪除 DefaultReader 角色,或從存取使用者移除 ReadAll 權限。
重要
請確定包含在資料存取角色的任何使用者並未同時屬於 DefaultReader 角色。 否則,其將維持資料完整存取權限。
可保護哪些類型資料?
OneLake 資料存取角色可用於管理 lakehouse 資料夾的 OneLake 讀取存取權。 可將讀取存取權授予 lakehouse 的任何資料夾,且預設狀態為無法存取資料夾。 資料存取角色設定的安全性僅適用 OneLake 或 OneLake 特定 API 的存取權。 如需詳細資訊,請參閱資料存取控制模型。
必要條件
若要設定 lakehouse 安全性,您必須是工作區的管理員、成員或參與者。 角色建立及成員資格指派會在儲存角色後立即生效,因此請務必先授予存取權,然後再新增某人至角色。
OneLake 資料存取角色僅支援 lakehouse 項目。
建立角色
- 開啟您要定義安全性的 lakehouse。
- 在 lakehouse 功能區右側,選取 管理 OneLake 資料存取(預覽版)。
- 在 管理 OneLake 資料存取 窗格左上角,選取 新角色,然後輸入所需角色名稱。 角色名稱具某些限制:
- 角色名稱只能包含英數字元字元。
- 角色名稱必須以字母開頭。
- 名稱不區分大小寫,必須是唯一。
- 最大名稱長度為 128 個字元。
- 若您希望將此角色套用至此 lakehouse 的所有資料夾,請選取 所有資料夾切換按鈕。
- 此選項包括未來新增的任何資料夾。
- 若您僅想將此角色套用至選定資料夾,請選取 選定資料夾。
- 針對您要套用角色的資料夾勾選旁邊的方塊。
- 角色會授予資料夾存取權。 若要允許使用者存取資料夾,請勾選資料夾旁邊的方塊。 若使用者不應該看到資料夾,請勿勾選該方塊。
- 在左下角,選取 儲存,建立角色。
- 選取左上角的 指派角色,開啟角色成員資格窗格。
- 新增人員、群組或電子郵件地址至 新增人員或群組 控制項。 如需詳細資訊,請參閱指派成員或群組。
- 選取 新增,將選取項目移至 已指派使用者 清單。 在選取 新增 之後,系統仍未儲存您的選取項目。
- 選取 儲存,等待角色已成功發布的通知。
- 選擇右上角的 X 退出該窗格。
編輯角色
- 開啟您要定義安全性的 lakehouse。
- 在 lakehouse 功能區右側,選取 管理 OneLake 資料存取(預覽版)。
- 在 管理 OneLake 資料存取 窗格,將滑鼠停留在要編輯的角色上方,然後選取該角色。
- 您可選取或取消選取每個資料夾旁邊的核取方塊來變更授予存取權的資料夾。
- 若要變更人員,請選取 指派角色。 如需詳細資訊,請參閱指派成員或群組。
- 若要新增更多人員,請在 新增人員或群組 方塊輸入名稱,然後選取 新增。
- 若要移除人員,請在 已指派使用者 選取其姓名,然後選取 移除。
- 選取 儲存,等待角色已成功發布的通知。
- 選擇右上角的 X 退出該窗格。
刪除角色
- 開啟您要定義安全性的 lakehouse。
- 在 lakehouse 功能區右側,選取 管理 OneLake 資料存取(預覽版)。
- 在 管理 OneLake 資料存取 窗格,針對您要刪除的角色勾選旁邊的方塊。
- 選取 刪除,等待已成功刪除角色的通知。
- 選擇右上角的 X 退出該窗格。
指派成員或群組
OneLake 資料存取角色支援兩種不同方法來新增使用者至角色。 主要方法是使用 [指派角色] 頁面的 新增人員或群組 方塊,直接新增使用者或群組至角色。 第二個方法是透過 根據 Lakehouse 權限新增使用者 控制項使用虛擬成員資格。
使用 新增人員或群組 方塊直接新增使用者至角色,會將使用者新增為角色的明確成員。 這些使用者的姓名與圖片會顯示在 已指派人員與群組 清單。
虛擬成員允許根據使用者的 Fabric 項目權限動態調整角色成員資格。 選取 根據 Lakehouse 權限新增使用者 方塊並選取權限,即可在 Fabric 工作區新增任何具有選定權限的使用者作為角色的隱含成員。 例如,若您選擇 ReadAll、寫入,則當 Fabric 工作區的任何使用者具有該項目的 ReadAll 與寫入權限時,都將被納入為該角色的成員。 您可以在 [指派的使用者] 清單中,尋找 [指派者] 數據行底下的 [Lakehouse 許可權] 值,以查看哪些使用者正在新增為虛擬成員。 無法手動移除這些成員,需要撤銷其對應 Fabric 權限才能取消指派。
無論哪種成員類型,資料存取角色都支援新增個別使用者、Microsoft Entra 群組與安全性主體。
指派成員
有兩種方式可進入指派成員頁面:
方法 1
- 選取您想要為其指派成員角色的名稱。
- 在角色詳細資料頁面頂端,選取 指派角色。
方法 2
- 從角色清單,針對要指派給成員的角色選擇旁邊的核取方塊。
- 選取 [指派]。
直接指派使用者
您可在 指派角色 頁面,輸入成員或群組名稱或電子郵件地址至 新增人員或群組 方塊,即可加以新增。 選取要包含該使用者的結果。 您可重複此步驟來指派任意數量的使用者。 若您選取了錯誤的使用者,您可選取其項目旁邊的 X 以將其從方塊移除,或選取 清除 來移除所有項目。 在完成之後,選取 新增,將所選使用者移至存取清單。 在新增使用者至清單之後,系統仍未儲存。 在新增這些使用者之後,這是角色成員清單的預覽,新增使用者的名稱旁邊會出現指標。
若要發佈存取更改,請選取窗格底部的 儲存。
指派虛擬成員
若要新增虛擬成員,請使用 根據 Lakehouse 權限新增使用者 方塊。 選取方塊以開啟下拉式選擇器,選擇要虛擬化的 Fabric 權限。 若使用者擁有所有已勾選權限,則會加以虛擬化。
可用於虛擬化的權限如下:
- 讀取
- 寫入
- Reshare
- 執行
- ReadAll
在選取權限之後,選取 新增,以便套用變更來更新 已指派使用者 清單。 使用者名稱旁邊若有文字,表示其由 lakehouse 權限進行指派。 無法從角色指派手動移除這些使用者。 請改為從 根據 Lakehouse 權限新增使用者 控制項移除對應權限,或移除 Fabric 權限。
已知問題
外部資料共用預覽版 功能不相容資料存取角色預覽版。 在 lakehouse 啟用資料存取角色預覽版時,任何現有外部資料共用均可能停止運作。