Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
OneLake-Verknüpfungen dienen als Zeiger auf Daten, die sich in verschiedenen Speicherkonten befinden, ob in OneLake selbst oder in externen Systemen wie Azure Data Lake Storage (ADLS). Dieser Artikel befasst sich mit den erforderlichen Berechtigungen zum Erstellen von Verknüpfungen und Zugreifen auf Daten mit diesen.
Um Klarheit über die Komponenten einer Verknüpfung zu gewährleisten, verwendet dieses Dokument die folgenden Begriffe:
- Zielpfad: Der Standort, auf den eine Verknüpfung verweist.
- Verknüpfungpfad: Der Standort, wo die Verknüfpung erscheint.
Erstellen und Löschen von Verknüpfungen
Um eine Verknüpfung zu erstellen, müssen Benutzer*innen über Schreibberechtigungen für den Fabric-Artikel verfügen, in dem die Verknüpfung erstellt wird. Darüber hinaus benötigten Benutzer*innen Lesezugriff auf die Daten, auf die die Verknüpfung verweist. Verknüpfungen zu externen Quellen könnten bestimmte Berechtigungen im externen System erfordern. Der Artikel Was sind Verknüpfungen? enthält die vollständige Liste der Verknüpfungstypen und erforderlichen Berechtigungen.
| Funktion | Berechtigung für Verknüpfungspfad | Berechtigung für Zielpfad |
|---|---|---|
| Eine Verknüpfung erstellen | Schreiben2 | ReadAll1 |
| Eine Verknüpfung löschen | Schreiben2 | N/V |
1 Wenn OneLake-Sicherheit aktiviert ist, muss der Benutzer in einer Rolle sein, die Zugriff auf den Zielpfad gewährt. 2 Wenn OneLake-Datenzugriffsrollen aktiviert sind, muss sich der Benutzer in einer Rolle befinden, die Zugriff auf den Zielpfad gewährt.
Zugreifen auf Verknüpfungen
Eine Kombination aus den Berechtigungen im Verknüpfungspfad und im Zielpfad regelt die Berechtigungen für Verknüpfungen. Wenn ein Benutzer auf eine Verknüpfung zugreift, wird die restriktivste Berechtigung der beiden Speicherorte angewendet. Daher dürfen Benutzer*innen, die über Lese-/Schreibberechtigungen im Lakehouse verfügen, aber nur über Leseberechtigungen im Zielpfad, nicht in den Zielpfad schreiben. Ebenso dürfen Benutzer*innen, die nur über Leseberechtigungen im Lakehouse verfügen, aber über Lese-/Schreibberechtigungen im Zielpfad, auch nicht in den Zielpfad schreiben.
In dieser Tabelle sind die Berechtigungen aufgeführt, die für jede Tastenkombination erforderlich sind.
| Funktion | Berechtigung für Verknüpfungspfad | Berechtigung für Zielpfad |
|---|---|---|
| Lesen von Datei-/Ordnerinhalten der Verknüpfung | ReadAll1 | ReadAll1 |
| Schreiben an den Zielspeicherort der Verknüpfung | Schreiben2 | Schreiben2 |
| Lesen von Daten aus Verknüpfungen im Tabellenabschnitt (table) des Lakehouse über den TDS-Endpunkt | Lesen Sie | AllesLesen3 |
1 Wenn OneLake-Sicherheit aktiviert ist, muss der Benutzer in einer Rolle sein, die Zugriff auf den Zielpfad gewährt.
2 Alternativ: OneLake-Sicherheit mit ReadWrite-Berechtigung auf dem Verknüpfungspfad.
Wichtig
3Ausnahme bei der Identitätsdurchführung: Während die OneLake-Sicherheitsmechanismen in der Regel die Identität des aufrufenden Benutzers durchlaufen, um Berechtigungen durchzusetzen, arbeiten bestimmte Abfrage-Engines unterschiedlich. Beim Zugriff auf Verknüpfungsdaten über Power BI-Semantikmodelle mit DirectLake über SQL - oder T-SQL-Engines, die für den delegierten Identitätsmodus konfiguriert sind, übergeben diese Module nicht die Identität des aufrufenden Benutzers an das Verknüpfungsziel. Stattdessen verwenden sie die Identität des Elementbesitzers , um auf die Daten zuzugreifen, und wenden dann OneLake-Sicherheitsrollen an, um zu filtern, was der aufrufende Benutzer sehen kann.
Dies bedeutet:
- Auf das Verknüpfungsziel wird mithilfe der Berechtigungen des Elementbesitzers (nicht der Endbenutzer) zugegriffen.
- OneLake-Sicherheitsrollen bestimmen weiterhin, welche Daten der Endbenutzer lesen kann
- Alle Berechtigungen, die direkt im Verknüpfungszielpfad für den Endbenutzer konfiguriert sind, werden umgangen.
OneLake-Sicherheit
OneLake-Sicherheit (Vorschau) ist ein Feature, mit dem Sie rollenbasierte Zugriffssteuerung (RBAC) auf Ihre in OneLake gespeicherten Daten anwenden können. Sie können Sicherheitsrollen definieren, die Lesezugriff auf bestimmte Tabellen und Ordner innerhalb eines Fabric-Elements gewähren und diese Benutzern oder Gruppen zuweisen. Die Zugriffsberechtigungen bestimmen, welche Benutzer über alle Module in Fabric verfügen, um eine konsistente Zugriffssteuerung sicherzustellen.
Benutzer in den Rollen Administrator, Mitglied und Mitwirkender haben vollständigen Zugriff auf Daten aus einer Verknüpfung, unabhängig von den definierten OneLake-Datenzugriffsrollen. Sie benötigen jedoch weiterhin Zugriff sowohl auf den Verknüpfungspfad als auch auf den Zielpfad, wie in Arbeitsbereichsrollen erwähnt.
Benutzer in der Rolle Zuschauer oder die ein für sie freigegebenes Lakehouse haben, haben Zugriffseinschränkung, je nachdem, ob der Benutzer über eine OneLake-Datenzugriffsrolle Zugriff hat. Weitere Informationen zum Zugriffssteuerungsmodell mit Verknüpfungen finden Sie unter Modell zur Datenzugriffssteuerung in OneLake.
Benutzer in Viewer-Rollen können Verknüpfungen erstellen, wenn sie Über ReadWrite-Berechtigungen für den Pfad verfügen, in dem die Verknüpfung erstellt wird.
In der folgenden Tabelle sind die erforderlichen Berechtigungen zum Ausführen von Verknüpfungsvorgängen dargestellt.
| Schnellzugriff | Berechtigung für Verknüpfungspfad | Berechtigung für Zielpfad |
|---|---|---|
| Erstellen | Fabric Read und OneLake-Sicherheit Lese/Schreibzugriff | OneLake-Sicherheit anzeigen |
| Lesen (GET/LIST-Tastenkombinationen) | Fabric-Lesezugriff und OneLake-Sicherheitslesezugriff | N/V |
| Update | Fabric Read und OneLake-Sicherheit ReadWrite | OneLake-Sicherheit abrufen (auf das neue Ziel) |
| Löschen | Fabric Read und OneLake Security Read Write | N/V |
Authentifizierungsmodelle für Tastenkombinationen
Kurzbefehle verwenden zwei Authentifizierungsmodelle mit OneLake-Sicherheit: Passthrough und Delegiert.
Im Passthrough-Modell greift die Abkürzung auf Daten am Zielort zu, indem die Benutzeridentität an das Zielsystem übergeben wird. Dadurch wird sichergestellt, dass jeder Benutzer, der auf die Verknüpfung zugreift, nur alles sehen kann, was er im Ziel hat.
Bei OneLake zu OneLake-Tastenkombinationen wird nur der Passthroughmodus unterstützt. Dieser Entwurf stellt sicher, dass das Quellsystem die volle Kontrolle über seine Daten behält. Organisationen profitieren von verbesserter Sicherheit, da keine Zugriffssteuerungen für die Verknüpfung repliziert oder neu definiert werden müssen. Es ist jedoch wichtig zu verstehen, dass die Sicherheit für OneLake-Tastenkombinationen nicht direkt aus dem nachgeschalteten Element geändert werden kann. Alle Änderungen an Zugriffsberechtigungen müssen am Quellspeicherort vorgenommen werden.
Delegierte Tastenkombinationen greifen auf Daten mithilfe einiger Zwischenanmeldeinformationen zu, z. B. einem anderen Benutzer oder einem Kontoschlüssel. Mit diesen Tastenkombinationen kann die Berechtigungsverwaltung getrennt oder an ein anderes Team oder einen nachgeschalteten Benutzer zur Verwaltung delegiert werden. Delegierte Tastenkombinationen unterbrechen immer den Sicherheitsfluss von einem System zu einem anderen. Alle delegierten Tastenkombinationen in OneLake können oneLake-Sicherheitsrollen für sie definiert haben.
Alle Tastenkombinationen von OneLake zu externen Systemen (Multicloud-Verknüpfungen) wie AWS S3 oder Google Cloud Storage werden delegiert. Auf diese Weise können Benutzer eine Verbindung mit dem externen System herstellen, ohne direkten Zugriff zu erhalten. OneLake-Sicherheit kann dann auf der Verknüpfung konfiguriert werden, um zu begrenzen, auf welche Daten im externen System zugegriffen werden kann
OneLake-Sicherheitsbeschränkungen
- Zusätzlich zum OneLake-Sicherheitszugriff auf den Zielpfad benötigen der Zugriff auf externe Verknüpfungen über Spark- oder direkte API-Aufrufe auch Leseberechtigungen für das Element, das den externen Verknüpfungspfad enthält.