Prise en main de OneLake Security (préversion)

La sécurité OneLake vous permet d’appliquer le contrôle d’accès en fonction du rôle (RBAC) à vos données stockées dans OneLake. Vous pouvez définir des rôles de sécurité qui accordent l’accès à des dossiers spécifiques au sein d’un élément Fabric, puis attribuer ces rôles aux utilisateurs ou aux groupes. Les rôles peuvent également contenir une sécurité au niveau des lignes ou des colonnes pour limiter davantage l’accès. Les autorisations de sécurité OneLake déterminent les données que l’utilisateur peut voir dans toutes les expériences dans Fabric.

Les utilisateurs fabric disposant d’autorisations d’écriture et de partage (généralement les utilisateurs d’espace de travail administrateur et membre) peuvent commencer à créer des rôles de sécurité OneLake pour accorder l’accès à des dossiers ou tables spécifiques uniquement dans un élément de données Fabric. Pour accorder l’accès aux données d’un élément, ajoutez des utilisateurs à un rôle d’accès aux données. Les utilisateurs qui ne font pas partie d’un rôle d’accès aux données ne voient aucune donnée dans cet élément.

Prerequisites

Pour configurer la sécurité OneLake, vous devez être administrateur ou membre dans l’espace de travail, ou disposer d’autorisations d’écriture et de partage. La création de rôle et l’attribution d’appartenance prennent effet dès que le rôle est enregistré. Veillez donc à accorder l’accès avant d’ajouter une personne à un rôle.

Le tableau suivant décrit les éléments de données qui prennent en charge la sécurité OneLake :

Comment choisir

La sécurité OneLake est actuellement en préversion et, par conséquent, est désactivée par défaut. La fonctionnalité d’aperçu est configurée par élément. Le contrôle d’inscription permet à un seul élément d’essayer l’aperçu sans l’activer sur d’autres éléments Fabric.

La fonctionnalité d’aperçu ne peut pas être désactivée une fois activée.

1. Accédez à un lakehouse et sélectionnez Gérer la sécurité OneLake (préversion).
2. Passez en revue la boîte de dialogue de confirmation. La préversion des rôles d’accès aux données n’est pas compatible avec la préversion du partage de données externe. Si vous êtes ok avec la modification, sélectionnez Continuer.

Pour garantir une expérience d’adhésion fluide, tous les utilisateurs disposant d’une autorisation de lecture pour les données de l’élément continuent d’avoir un accès en lecture via un rôle d’accès aux données par défaut appelé DefaultReader. Avec les appartenances aux rôles virtualisés, tous les utilisateurs disposant des autorisations nécessaires pour afficher les données dans le lakehouse (autorisation ReadAll) sont inclus en tant que membres de ce rôle par défaut. Pour commencer à restreindre l’accès à ces utilisateurs, supprimez le rôle DefaultReader ou supprimez l’autorisation ReadAll des utilisateurs accédants.

Quels types de données peuvent être sécurisés ?

Utilisez des rôles de sécurité OneLake pour gérer l’accès en lecture OneLake à toutes les tables ou dossiers d’un élément. L’accès aux tables peut être plus restreint à l’aide de la sécurité au niveau des lignes et/ou des colonnes. Tout jeu de sécurité s’applique à l’accès à partir de tous les moteurs dans Fabric. Pour plus d’informations, consultez le modèle de contrôle d’accès aux données.

Pour des types d’éléments spécifiques, l’accès ReadWrite peut également être configuré. Cette autorisation permet aux utilisateurs de modifier des données dans un lakehouse sur des tables ou dossiers spécifiés sans leur donner accès pour créer ou gérer des éléments Fabric. L’accès ReadWrite permet aux utilisateurs d’effectuer des opérations d’écriture via des notebooks Spark, l’Explorateur de fichiers OneLake ou les API OneLake. Les opérations d'écriture via l'interface utilisateur de Lakehouse pour les utilisateurs ne sont pas prises en charge.

Créer un rôle

Procédez comme suit pour créer un rôle de sécurité OneLake.

1. Ouvrez l’élément Fabric dans lequel vous souhaitez définir la sécurité.

2. Sélectionnez Gérer la sécurité OneLake (préversion) dans le menu élément.

3. Dans le volet Sécurité OneLake (préversion), sélectionnez Nouveau.

4. Fournissez un nom pour le nouveau rôle qui répond aux instructions suivantes :

   • Le nom du rôle ne peut contenir que des caractères alphanumériques.
   • Le nom du rôle doit commencer par une lettre.
   • Les noms ne respectent pas la casse et doivent être uniques.
   • La longueur maximale du nom est de 128 caractères.

5. Sélectionnez Autorisation en tant que type de rôle.

6. Choisissez les autorisations que vous souhaitez accorder. La lecture est sélectionnée au minimum et vous pouvez éventuellement choisir ReadWrite.

7. Si vous souhaitez que ce rôle s’applique à toutes les tables et fichiers de ce lakehouse, sélectionnez le bouton bascule Toutes les données .

   Cette sélection permet également d’accéder à tous les dossiers ajoutés à l’avenir.

8. Si vous souhaitez que ce rôle s’applique uniquement à un groupe sélectionné de tables et de dossiers, sélectionnez le bouton bascule Données sélectionnées . Ensuite, procédez comme suit pour définir les données approuvées pour ce rôle.

   1. Sélectionnez Parcourir Lakehouse ou l’équivalent pour l’élément sur lequel vous travaillez.

      

   2. Développez les répertoires Tables et fichiers pour afficher les données dans votre lakehouse.

   3. Cochez les cases en regard des tables et fichiers auxquels vous souhaitez appliquer le rôle.

   4. Sélectionnez Ajouter des données pour ajouter les éléments sélectionnés à votre rôle.

9. Utilisez la zone de texte Ajouter des membres à votre zone de texte de rôle pour entrer manuellement les noms ou adresses e-mail des utilisateurs que vous souhaitez inclure dans le rôle. Vous pouvez également sélectionner Configuration avancée et suivre les instructions de l’affectation de membres virtuels.

   Pour ajouter manuellement des membres :

   1. Entrez le nom ou l’adresse e-mail d’un utilisateur.
   2. Sélectionnez le nom correct dans la liste suggérée.
   3. Sélectionnez l’icône de vérification pour confirmer votre sélection ou l’icône X pour effacer la sélection.

10. Passez en revue les résumés des rôles d’aperçu .

    1. Pour modifier l’aperçu des données, sélectionnez Parcourir Lakehouse et mettez à jour les tables et dossiers sélectionnés.
    2. Pour supprimer un utilisateur de la préversion des membres, sélectionnez plus d’options (...) en regard de leur nom, puis Supprimez du rôle.

11. Sélectionnez Créer un rôle et attendez la notification indiquant que le rôle a été correctement publié.

Modifier un rôle

Procédez comme suit pour modifier un rôle de sécurité OneLake existant.

1. Ouvrez l’élément dans lequel vous souhaitez définir la sécurité.

2. Sélectionnez Gérer la sécurité OneLake (préversion) dans le menu élément.

3. Dans le volet Sécurité OneLake (préversion), sélectionnez le rôle que vous souhaitez modifier.

   Cette action ouvre la page des détails du rôle, qui comprend deux onglets : Données dans le rôle et Membres dans le rôle.

4. Passez en revue les informations de l’onglet Données dans le rôle :

   Cet onglet affiche toutes les données auxquelles les membres du rôle peuvent accéder.

   Le nom du rôle vous indique le rôle que vous examinez. Pour modifier le nom du rôle, sélectionnez la liste déroulante Modifier dans le coin supérieur droit, sélectionnez Mettre à jour le nom du rôle, entrez un nouveau nom, puis confirmez avec la coche. Vous pouvez ignorer vos modifications en sélectionnant le X.

   L’élément Autorisations en haut vous indique quelles autorisations le rôle accorde actuellement. Pour modifier les autorisations de rôle, sélectionnez la liste déroulante Modifier dans le coin supérieur droit, sélectionnez Modifier les autorisations de rôle, modifiez les autorisations sélectionnées avec la liste déroulante, puis confirmez avec la coche. Vous pouvez ignorer vos modifications en sélectionnant le X.

   La colonne Données affiche le nom des tables ou dossiers qui font partie de l’accès au rôle. Vous pouvez développer et réduire les schémas pour afficher les éléments en dessous. Pointez sur une entrée pour afficher le chemin d’accès complet de la table ou du dossier. Pointez sur le ... pour afficher les options permettant de configurer la sécurité au niveau des lignes ou la sécurité au niveau des colonnes. Les guides de sécurité au niveau des lignes et de sécurité au niveau des colonnes fournissent plus d’informations sur le fonctionnement.

   La colonne Type vous indique le type d’élément sélectionné. Les valeurs sont les suivantes : Schéma, Table ou Dossier.

   La colonne d’accès aux données indique si des restrictions au niveau des lignes ou des colonnes sont appliquées à l’élément. Une icône avec un verrou et des lignes horizontales indique que la sécurité au niveau des lignes est appliquée, tandis qu’une icône avec un verrou et des lignes verticales indique que la sécurité au niveau des colonnes est appliquée.

5. Pour modifier les données incluses dans le rôle, sélectionnez Ajouter des données.

   Cette action ouvre la boîte de dialogue de sélection de la table et du dossier.

6. Vérifiez et décochez les tables ou dossiers pour les ajouter ou les supprimer du rôle.

7. Sélectionnez Ajouter des données pour confirmer vos sélections.

8. Sélectionnez l’onglet Membres dans le rôle pour afficher les membres du rôle.

   La colonne Members affiche l’image de profil et le nom du membre.

   La colonne Type indique si le membre est un utilisateur ou un groupe.

   L’ajout à l’aide de la colonne indique si un utilisateur a été ajouté via son e-mail en tant que membre du rôle ou inclus dans le cadre d’un groupe d’autorisations lakehouse. Pour plus d’informations sur l’ajout d’utilisateurs à l’aide d’autorisations d’élément, consultez Affecter des membres virtuels.

9. Pour modifier les membres du rôle, sélectionnez Ajouter des membres.

10. Pour ajouter manuellement des membres, entrez un nom ou un e-mail dans la zone de texte Ajouter des membres à votre zone de texte de rôle . Sélectionnez le nom correct dans la liste suggérée. Ensuite, sélectionnez l’icône de vérification pour confirmer votre sélection, ou sélectionnez l’icône X pour effacer la sélection.

11. Pour supprimer les utilisateurs du rôle, sélectionnez d’autres options (...) en regard de leur nom, puis sélectionnez Supprimer du rôle.

Apporter des modifications à l’appartenance aux rôles met à jour le rôle immédiatement. Une notification note la réussite ou l’échec de toutes les modifications.

Supprimer un rôle

Procédez comme suit pour supprimer un rôle d’accès aux données OneLake.

1. Ouvrez le lakehouse où vous souhaitez définir la sécurité.

2. Sélectionnez Gérer la sécurité OneLake (préversion) dans le menu Lakehouse.

3. Dans le volet Sécurité OneLake (préversion), cochez la case en regard des rôles que vous souhaitez supprimer.

4. Sélectionnez Supprimer et attendez la notification indiquant que les rôles sont correctement supprimés.

Affecter un membre ou un groupe

Le rôle de sécurité OneLake prend en charge deux méthodes d’ajout d’utilisateurs à un rôle. La méthode principale consiste à ajouter des utilisateurs ou des groupes directement à un rôle à l’aide de la zone Ajouter des personnes ou des groupes dans la page Attribuer un rôle . La deuxième consiste à créer des appartenances virtuelles avec des groupes d’autorisations à l’aide du contrôle de configuration avancé .

L’ajout d’utilisateurs directement à un rôle ajoute les utilisateurs en tant que membres explicites du rôle. Ces utilisateurs apparaissent avec leur nom et leur image affichés dans la liste Membres .

Les membres virtuels permettent d’ajuster dynamiquement l’appartenance du rôle en fonction des autorisations d’élément Fabric des utilisateurs. En sélectionnant Configuration avancée et en sélectionnant une autorisation, vous ajoutez n’importe quel utilisateur dans l’espace de travail Fabric qui dispose de toutes les autorisations sélectionnées en tant que membre implicite du rôle. Par exemple, si vous avez choisi ReadAll, écrivez alors un utilisateur de l’espace de travail Fabric disposant des autorisations ReadAll et Write pour l’élément serait inclus en tant que membre du rôle. Vous pouvez voir quels utilisateurs sont ajoutés par un groupe d’autorisations en examinant la colonne Ajout à l’aide de la colonne Membres dans l’onglet Rôle. Ces membres ne peuvent pas être supprimés manuellement directement. Pour supprimer un membre ajouté via un groupe d’autorisations, supprimez le groupe d’autorisations du rôle.

Quel que soit le type d’appartenance que vous utilisez, les rôles de sécurité OneLake prennent en charge l’ajout d’utilisateurs individuels, de groupes Microsoft Entra et de principaux de sécurité.

Affecter des membres virtuels

Les autorisations qui peuvent être utilisées pour les membres virtuels sont les suivantes :

• Lire
• Write
• Repartage
• Execute
• LireTout

Pour affecter des utilisateurs avec des groupes d’autorisations, procédez comme suit :

1. Sélectionnez le nom du rôle auquel vous souhaitez affecter des membres.

2. Dans la page des détails du rôle, sélectionnez l’onglet Membres dans l’onglet Rôle .

3. Sélectionnez Ajouter des membres.

4. Sélectionnez Configuration avancée.

   

5. Dans la zone Groupes d’autorisations , cochez la case en regard de chaque autorisation pour laquelle vous souhaitez inclure des utilisateurs.

   Chaque groupe d’autorisations affiche le nombre d’utilisateurs inclus dans ce groupe.

   La sélection de plusieurs groupes d’autorisations inclut les utilisateurs disposant de toutes les autorisations requises sélectionnées.

6. Sélectionnez Ajouter pour inclure les groupes et enregistrer le rôle.

Contenu connexe

• Vue d’ensemble de la sécurité fabric
• Vue d’ensemble de la sécurité fabric et OneLake
• Modèle de contrôle d’accès aux données