Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Les raccourcis OneLake servent de pointeurs vers des données résidant dans différents comptes de stockage, qu’ils se trouvent dans OneLake lui-même ou dans des systèmes externes, tels qu’Azure Data Lake Storage (ADLS). Cet article examine les autorisations requises pour créer des raccourcis et accéder aux données à l’aide de ces derniers.
Pour garantir la clarté des composants d’un raccourci, ce document utilise les termes suivants :
- Chemin cible : emplacement vers lequel pointe un raccourci.
- Chemin d'accès : l’emplacement où le raccourci s’affiche.
Créer et supprimer des raccourcis
Pour créer un raccourci, un utilisateur doit disposer d’une autorisation d’accès en écriture sur l’élément de structure où le raccourci est créé. En outre, l’utilisateur a besoin d’un accès en lecture aux données vers laquelle pointe le raccourci. Les raccourcis vers des sources externes peuvent nécessiter certaines autorisations dans le système externe. L’article Que sont les raccourcis ? contient la liste complète des types de raccourcis et des autorisations requises.
| Fonctionnalité | Autorisation sur le chemin du raccourci | Autorisation sur le chemin cible |
|---|---|---|
| Créer un raccourci | Écriture2 | ReadAll1 |
| Supprimer un raccourci | Écriture2 | N/A |
1 Si la sécurité OneLake est activée, l’utilisateur doit se trouver dans un rôle qui accorde l’accès au chemin cible. 2 Si les rôles d’accès aux données OneLake sont activés, l’utilisateur doit se trouver dans un rôle qui accorde l’accès au chemin cible.
Accéder aux raccourcis
Une combinaison des autorisations dans le chemin de raccourci et le chemin cible régit les autorisations pour les raccourcis. Lorsqu’un utilisateur accède à un raccourci, l’autorisation la plus restrictive des deux emplacements est appliquée. Par conséquent, un utilisateur disposant d’autorisations de lecture/écriture dans lakehouse, mais uniquement les autorisations de lecture dans le chemin cible ne peuvent pas écrire dans le chemin cible. De même, un utilisateur disposant uniquement d’autorisations de lecture dans le lakehouse, mais en lecture/écriture dans le chemin cible ne peut pas écrire dans le chemin cible.
Ce tableau affiche les autorisations nécessaires pour chaque action de raccourci.
| Fonctionnalité | Autorisation sur le chemin du raccourci | Autorisation sur le chemin cible |
|---|---|---|
| Lire le contenu du fichier/dossier du raccourci | ReadAll1 | ReadAll1 |
| Écrire dans l’emplacement cible du raccourci | Écriture2 | Écriture2 |
| Lire des données à partir de raccourcis dans la section table du lakehouse via le point de terminaison TDS | Lire | ReadAll3 |
1 Si la sécurité OneLake est activée, l’utilisateur doit se trouver dans un rôle qui accorde l’accès au chemin cible.
2 Alternativement, sécurité OneLake avec l’autorisation ReadWrite sur le chemin de raccourci.
Important
3Exception à la passe d’identité : tandis que la sécurité OneLake passe généralement par l’identité de l’utilisateur appelant pour appliquer des autorisations, certains moteurs de requête fonctionnent différemment. Lors de l’accès aux données de raccourci via des modèles sémantiques Power BI à l’aide de moteurs DirectLake sur SQL ou T-SQL configurés pour le mode d’identité déléguée, ces moteurs ne passent pas par l’identité de l’utilisateur appelant à la cible de raccourci. Au lieu de cela, ils utilisent l’identité du propriétaire de l’élément pour accéder aux données, puis appliquent des rôles de sécurité OneLake pour filtrer ce que l’utilisateur appelant peut voir.
En d’autres termes :
- La cible de raccourci est accessible à l’aide des autorisations du propriétaire de l’élément (et non des utilisateurs finaux)
- Les rôles de sécurité OneLake déterminent toujours les données que l’utilisateur final peut lire
- Toutes les autorisations configurées directement sur le chemin cible du raccourci pour l’utilisateur final sont contournées.
Sécurité OneLake
La sécurité OneLake (préversion) est une fonctionnalité qui vous permet d’appliquer le contrôle d’accès en fonction du rôle (RBAC) à vos données stockées dans OneLake. Vous pouvez définir des rôles de sécurité qui accordent l’accès en lecture à des tables et dossiers spécifiques au sein d’un élément Fabric, et les affecter à des utilisateurs ou des groupes. Les autorisations d’accès déterminent ce que les utilisateurs vont effectuer sur tous les moteurs de Fabric, ce qui garantit un contrôle d’accès cohérent.
Les utilisateurs des rôles Administrateur, Membre et Contributeur ont un contrôle total sur les données lues à partir d’un raccourci, quels que soient les rôles d’accès aux données OneLake définis. Toutefois, ils ont toujours besoin d’un accès à la fois sur le chemin du raccourci et le chemin de la cible, comme indiqué dans les rôles d’espace de travail.
Les utilisateurs du rôle Visionneuse ou qui avaient un lakehouse partagé directement avec eux ont accès restreint en fonction du fait que l’utilisateur a accès via un rôle d’accès aux données OneLake. Pour plus d’informations sur le modèle de contrôle d’accès avec les raccourcis, consultez Modèle de contrôle d'accès aux données dans OneLake.
Les utilisateurs des rôles Viewer peuvent créer des raccourcis s’ils disposent des autorisations ReadWrite sur le chemin d’accès où le raccourci est créé.
Le tableau suivant illustre les autorisations nécessaires pour effectuer des opérations de raccourci.
| Opération de raccourci | Autorisation sur le chemin du raccourci | Autorisation sur le chemin cible |
|---|---|---|
| Créer | Lecture du Fabric et sécurité OneLake en lecture-écriture | Lecture de la sécurité OneLake |
| Lecture (raccourcis GET/LIST) | Lecture de l’infrastructure et lecture de la sécurité OneLake | N/A |
| Mettre à jour | Lecture de la Fabric et sécurité de OneLake en lecture-écriture | Lecture de la sécurité OneLake pour la nouvelle cible |
| Supprimer | Lecture Fabric et sécurité OneLake ReadWrite | N/A |
Modèles d’authentification de raccourci
Les raccourcis utilisent deux modèles d’authentification avec la sécurité OneLake : passthrough et delegated.
Dans le modèle de passage, le raccourci accède aux données à l’emplacement cible en « transmettant » l’identité de l’utilisateur au système cible. Cela garantit que tout utilisateur accédant au raccourci est uniquement en mesure de voir ce qu’il a accès à dans la cible.
Avec les raccourcis OneLake vers OneLake, seul le mode passthrough est pris en charge. Cette conception garantit que le système source conserve un contrôle total sur ses données. Les organisations bénéficient d’une sécurité renforcée, car il n’est pas nécessaire de répliquer ou de redéfinir les contrôles d’accès pour le raccourci. Toutefois, il est important de comprendre que la sécurité des raccourcis OneLake ne peut pas être modifiée directement à partir de l’élément en aval. Toutes les modifications apportées aux autorisations d’accès doivent être apportées à l’emplacement source.
Les raccourcis délégués accèdent aux données à l’aide de certaines informations d’identification intermédiaires, telles qu’un autre utilisateur ou une clé de compte. Ces raccourcis permettent à la gestion des autorisations d’être séparées ou « déléguées » à une autre équipe ou à un utilisateur en aval à gérer. Les raccourcis délégués arrêtent toujours le flux de sécurité d’un système à un autre. Tous les raccourcis délégués dans OneLake peuvent avoir des rôles de sécurité OneLake définis pour eux.
Tous les raccourcis de OneLake vers des systèmes externes (raccourcis multiclouds) comme AWS S3 ou Google Cloud Storage sont délégués. Cela permet aux utilisateurs de se connecter au système externe sans avoir accès direct. La sécurité OneLake peut ensuite être configurée sur le raccourci pour limiter les données du système externe accessibles
Limitations de sécurité OneLake
- Outre l’accès de sécurité OneLake au chemin cible, l’accès aux raccourcis externes via Spark ou les appels d’API directes nécessite également des autorisations de lecture sur l’élément contenant le chemin de raccourci externe.