共用方式為


OneLake 安全性概觀

OneLake 是階層式資料湖,就像 Azure Data Lake Storage (ADLS) Gen2 或 Windows 檔案系統。 此結構可讓您在階層的不同層級設定安全性以管理存取權。 階層的某些層級因與 Fabric 概念相關而會受到特殊處理。

  • 工作區:用於建立及管理項目的協作環境。

  • 項目:集合一組功能為單一元件。 資料項目是項目子類型,允許使用 OneLake 將資料儲存在其中。

  • 資料夾:用於儲存及管理資料的項目內資料夾。

項目一律位於工作區,而工作區一律直接位於 OneLake 命名空間。 您可視覺化此結構,如下所示:

圖表顯示 OneLake 作為資料夾結構的階層式性質。以 OneLake/工作區/項目為例。

工作區權限

工作區權限允許針對該工作區內所有項目定義存取權。 有 4 種不同工作區角色,每個角色授與不同類型存取權。

角色 可否新增管理員? 可否新增成員? 可否寫入資料並建立項目? 可否讀取資料?
管理 Yes .是 .是 Yes
member No .是 .是 Yes
參與者 No .是 Yes
檢視者 No .是

注意

您可檢視具有讀寫角色的倉儲項目,但僅能使用 SQL 查詢寫入倉儲。

您可將 Fabric 工作區角色指派給安全性群組,簡化 Fabric 工作區角色的管理。 此方法可讓您透過新增或移除安全性群組的成員來控制存取。

項目權限

您可使用共用功能來向使用者授予項目直接存取權限。 使用者僅能在工作區看到該項目,且非任何工作區角色的成員。 項目權限授與連線至該項目的存取權,以及使用者可存取哪些項目端點。

權限 查看項目中繼資料? 查看 SQL 資料? 查看 OneLake 資料?
參閱 No
ReadData No .是 No
ReadAll No No 是*

*不適用啟用 OneLake 資料存取角色(預覽版)的項目。 若啟用預覽版,則僅在使用 DefaultReader 角色時,ReadAll 才會授與存取權。 若已編輯或刪除該角色,則會根據使用者所屬的資料存取角色授與存取權限。

另一種設定權限的方法是透過項目的管理權限 頁面。 您可使用此頁面來新增或移除使用者或群組的個別項目權限。 可用的確切權限由項目類型決定。

運算權限

您也可透過 Microsoft Fabric 的 SQL 運算引擎來授予資料存取權。 透過 SQL 授與的存取權僅適用透過 SQL 存取資料的使用者,但您可使用此安全性來向特定使用者提供更有選擇性的存取權。 在目前狀態,SQL 支援限制對特定資料表與結構描述的存取,以及資料列與資料行層級安全性。

透過 SQL 存取資料的使用者所看到的結果可能會與直接在 OneLake 存取資料的結果不同,具體取決於套用的運算權限。 若要防止這種情況,請確定使用者的項目權限設定為僅授與使用者存取權限以存取 SQL 分析端點(使用 ReadData)或 OneLake(使用 ReadAll 或資料存取角色預覽版)。

在下列範例,使用者會透過項目共用取得 lakehouse 的唯讀存取權限。 使用者會透過 SQL 分析端點取得資料表的 SELECT 權限。 當該使用者嘗試透過 OneLake API 讀取資料時,因其無足夠權限,將遭到拒絕存取。 使用者可成功讀取 SQL SELECT 陳述式。

圖表顯示使用者透過 SQL 存取資料,但直接查詢 OneLake 時遭到拒絕存取。

OneLake 資料存取角色(預覽版)

OneLake 資料存取角色是一項新功能,可讓您將角色型存取控制 (RBAC) 套用至儲存在 OneLake 的資料。 您可定義安全性角色來針對 Fabric 項目的特定資料夾授予讀取存取權,並將其指派給使用者或群組。 存取權限決定使用者透過 lakehouse UX、筆記本或 OneLake API 存取資料湖檢視時,可看到哪些資料夾。

管理員、成員或參與者角色的 Fabric 使用者可建立 OneLake 資料存取角色來開始使用,以便僅授予 lakehouse 特定資料夾的存取權。 若要授予 lakehouse 資料存取權,請新增使用者至資料存取角色。 不屬於資料存取角色的使用者無法在該 lakehouse 看到任何資料。

如欲深入了解如何建立資料存取角色,請參閱開始使用資料存取角色

深入了解存取角色安全性模型資料存取控制模型。

捷徑安全性

Microsoft Fabric 捷徑可簡化資料管理,但需要注意部分安全性考量。 如需管理捷徑安全性的資訊,請參閱本文件

對於 OneLake 資料存取角色(預覽版),捷徑會根據捷徑類型獲得特殊處理。 OneLake 捷徑存取權一律由捷徑目標的存取角色控制。 這代表對於從 LakehouseA 到 LakehouseB 的捷徑,LakehouseB 的安全性將生效。 LakehouseA 資料存取角色無法授與或編輯 LakehouseB 捷徑安全性。

對於 Amazon S3 或 ADLS Gen2 外部捷徑,安全性是透過 lakehouse 本身的資料存取角色進行設定。 從 LakehouseA 到 S3 貯體的捷徑可在 LakehouseA 設定資料存取角色。 請注意,僅捷徑根層級才能套用安全性。 指派對捷徑子資料夾的存取權將導致角色建立錯誤。

如欲深入了解捷徑安全性模型,請參閱資料存取控制模型