Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Die Sicherheit auf Spaltenebene (CLS) ist ein Feature von OneLake-Sicherheit (Vorschau), mit dem Sie Zugriff auf ausgewählte Spalten in einer Tabelle haben können, anstatt vollzugriff auf die Tabelle. Mit CLS können Sie eine Teilmenge von Tabellen angeben, auf die Benutzer zugreifen können. Alle Spalten, die aus der Liste entfernt werden, sind für die Benutzenden nicht sichtbar.
Voraussetzungen
- Ein Element in OneLake mit aktivierter OneLake-Sicherheit. Weitere Informationen finden Sie unter Erste Schritte mit OneLake-Datenzugriffsrollen.
- Wechseln Sie den SQL-Analyseendpunkt im Lakehouse über die Registerkarte "Sicherheit" in den Identitätsmodus des Benutzers.
- Verwenden Sie zum Erstellen von semantischen Modellen die Schritte zum Erstellen eines DirectLake-Modells.
- Eine vollständige Liste der Einschränkungen finden Sie im Abschnitt "Bekannte Einschränkungen".
Erzwingen von Sicherheit auf Spaltenebene
OneLake-Sicherheits-CLS wird auf eine der folgenden beiden Arten erzwungen:
- Gefilterte Tabellen in Fabric-Engines: Abfragen an die Fabric-Engines, z. B. Spark-Notizbücher, führen dazu, dass dem Benutzer nur die Spalten angezeigt werden, die pro CLS-Regeln angezeigt werden dürfen.
- Blockierter Zugriff auf Tabellen: Tabellen mit aktiven Regeln für Sicherheit auf Spaltenebene können nicht außerhalb der unterstützten Fabric-Engines gelesen werden.
Für gefilterte Tabellen gelten die folgenden Verhaltensweisen:
- CLS-Regeln beschränken nicht den Zugriff auf Benutzer mit den Rollen "Administrator", "Mitglied" und "Mitwirkender".
- Wenn eine Regel für Sicherheit auf Spaltenebene einen Konflikt mit der Tabelle aufweist, für die sie definiert wurde, verursacht die Abfrage einen Fehler, und es werden keine Spalten zurückgegeben. Dies gilt z. B., wenn Sicherheit auf Spaltenebene für eine Spalte definiert ist, die nicht Teil der Tabelle ist.
- Abfragen für Tabellen mit Sicherheit auf Spaltenebene verursachen einen Fehler, wenn Benutzende Mitglieder von zwei verschiedenen Rollen sind, von denen für eine Sicherheit auf Zeilenebene (Row-Level Security, RLS) gilt.
- CLS-Regeln können nur für Delta-Holztischobjekte durchgesetzt werden.
- CLS-Regeln, die auf Nicht-Delta-Tabellenobjekte angewendet werden, blockieren den Zugriff auf die gesamte Tabelle für Elemente der Rolle.
- Wenn ein Benutzer eine
select *Abfrage für eine Tabelle ausführt, in der er nur Zugriff auf einige der Spalten hat, verhalten sich CLS-Regeln je nach Fabric-Modul anders.- Spark-Notebooks: Die Abfrage ist erfolgreich, und es werden nur die zulässigen Spalten angezeigt.
- SQL-Analyseendpunkt: Der Spaltenzugriff wird für die Spalten blockiert, auf die der Benutzer nicht zugreifen kann.
- Semantikmodelle: Der Spaltenzugriff wird für die Spalten blockiert, auf die die Benutzenden keinen Zugriff haben.
Definieren von Regeln für Sicherheit auf Spaltenebene
Sie können die Sicherheit auf Spaltenebene als Teil einer OneLake-Sicherheitsrolle für jeden Delta-Parketttisch im Abschnitt "Tabellen " eines Elements definieren. Sicherheit auf Spaltenebene wird immer für eine Tabelle angegeben und ist entweder aktiviert oder deaktiviert. Standardmäßig ist Sicherheit auf Spaltenebene deaktiviert, und Benutzende haben Zugriff auf alle Spalten. Benutzende können Sicherheit auf Spaltenebene aktivieren und Spalten aus der Liste entfernen, um den Zugriff zu widerrufen.
Wichtig
Durch das Widerrufen des Zugriffs auf eine Spalte wird der Zugriff auf diese Spalte jedoch nicht verweigert, wenn eine andere Rolle Zugriff darauf gewährt.
Führen Sie die folgenden Schritte aus, um Sicherheit auf Spaltenebene zu definieren:
Navigieren Sie zu Ihrem Datenelement, und wählen Sie "OneLake-Sicherheit verwalten" (Vorschau) aus.
Wählen Sie eine vorhandene Rolle aus, für die Sie die Tabellen- oder Ordnersicherheit definieren möchten, oder wählen Sie Neu aus, um eine neue Rolle zu erstellen.
Wählen Sie auf der Seite mit den Rollendetails weitere Optionen (...) neben der Tabelle aus, für die Sie Sicherheit auf Spaltenebene definieren möchten, und wählen Sie dann Spaltensicherheit (Vorschau) aus.
Standardmäßig ist Sicherheit auf Spaltenebene für eine Tabelle deaktiviert. Wählen Sie "CLS aktivieren" aus, oder erstellen Sie eine neue Regel , um sie zu aktivieren.
Die Benutzeroberfläche wird mit einer Liste der Spalten für diese Tabelle aufgefüllt, die den Benutzenden angezeigt werden. Standardmäßig werden alle Spalten angezeigt.
Um den Zugriff auf eine Spalte einzuschränken, aktivieren Sie das Kontrollkästchen neben dem Spaltennamen, und wählen Sie dann Entfernen aus. In der Liste der zulässigen Spalten muss mindestens eine Spalte verbleiben.
Wählen Sie Speichern aus, um die Rolle zu aktualisieren.
Wenn Sie eine entfernte Spalte hinzufügen möchten, wählen Sie "Neue Regel" aus. Mit dieser Aktion fügen Sie am Ende der Liste einen neuen Regeleintrag für Sicherheit auf Spaltenebene hinzu. Verwenden Sie anschließend die Dropdownliste, um die Spalte auszuwählen, die Sie in den Zugriff aufnehmen möchten.
Nachdem Sie die Änderungen abgeschlossen haben, wählen Sie Speichern aus.
Aktivieren der OneLake-Sicherheit für SQL-Analyseendpunkt
Bevor Sie oneLake-Sicherheit mit SQL Analytics-Endpunkt verwenden können, müssen Sie den Identitätsmodus des Benutzers aktivieren. Neu erstellte SQL-Analyseendpunkte werden standardmäßig im Identitätsmodus des Benutzers ausgeführt, daher müssen diese Schritte für vorhandene SQL-Analyseendpunkte befolgt werden.
Hinweis
Der Wechsel zum Identitätsmodus des Benutzers muss nur einmal pro SQL-Analyseendpunkt erfolgen. Endpunkte, die nicht zum Identitätsmodus des Benutzers gewechselt sind, verwenden weiterhin eine delegierte Identität, um Berechtigungen auszuwerten.
Navigieren Sie zum SQL-Analyseendpunkt.
Wählen Sie in der SQL Analytics-Endpunktoberfläche die Registerkarte "Sicherheit " im oberen Menüband aus.
Wählen Sie die Identität des Benutzers im OneLake-Zugriffsmodus aus.
Wählen Sie in der Eingabeaufforderung "Ja" aus, und verwenden Sie die Identität des Benutzers.
Jetzt ist der SQL-Analyseendpunkt bereit für die Verwendung mit OneLake-Sicherheit.
Kombinieren von Sicherheit auf Zeilenebene und Sicherheit auf Spaltenebene
Sicherheit auf Zeilen- und Spaltenebene können zusammen verwendet werden, um den Benutzerzugriff auf eine Tabelle einzuschränken. Die beiden Richtlinien müssen jedoch mit einer einzigen OneLake-Sicherheitsrolle angewendet werden. In diesem Szenario wird der Zugriff auf Daten gemäß den Regeln eingeschränkt, die in dieser einen Rolle festgelegt sind.
OneLake-Sicherheit unterstützt nicht die Kombination von zwei oder mehr Rollen, von denen eine Regeln für Sicherheit auf Zeilenebene und eine andere Regeln für Sicherheit auf Spaltenebene enthält. Benutzende, die versuchen, auf Tabellen zuzugreifen, die Teil einer nicht unterstützten Rollenkombination sind, erhalten Abfragefehler.