Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Skróty oneLake służą jako wskaźniki do danych znajdujących się na różnych kontach magazynu, zarówno w usłudze OneLake, jak i w systemach zewnętrznych, takich jak Azure Data Lake Storage (ADLS). W tym artykule przedstawiono uprawnienia wymagane do tworzenia skrótów i uzyskiwania do nich dostępu do danych.
Aby zapewnić przejrzystość składników skrótu, ten dokument używa następujących terminów:
- Ścieżka docelowa: lokalizacja wskazująca skrót.
- Ścieżka skrótu: lokalizacja, w której pojawia się skrót.
Tworzenie i usuwanie skrótów
Aby utworzyć skrót, użytkownik musi mieć uprawnienia do zapisu w elemencie sieci szkieletowej, w którym jest tworzony skrót. Ponadto użytkownik musi mieć dostęp do odczytu do danych wskazywanych przez skrót. Skróty do źródeł zewnętrznych mogą wymagać pewnych uprawnień w systemie zewnętrznym. Artykuł Co to są skróty? zawiera pełną listę typów skrótów i wymaganych uprawnień.
| Zdolność | Uprawnienie do ścieżki skrótu | Uprawnienie do ścieżki docelowej |
|---|---|---|
| Tworzenie skrótu | Zapis2 | ReadAll1 |
| Usuwanie skrótu | Zapis2 | Nie dotyczy |
1 Jeśli włączono zabezpieczenia usługi OneLake , użytkownik musi być w roli, która udziela dostępu do ścieżki docelowej. 2 Jeślirola dostępu do danych usługi OneLake jest włączona, użytkownik musi być w roli, która udziela dostępu do ścieżki docelowej.
Uzyskiwanie dostępu do skrótów
Kombinacja uprawnień w ścieżce skrótu i ścieżka docelowa rządzi uprawnieniami skrótów. Gdy użytkownik uzyskuje dostęp do skrótu, stosowane jest najbardziej restrykcyjne uprawnienie do dwóch lokalizacji. W związku z tym użytkownik, który ma uprawnienia do odczytu/zapisu w usłudze Lakehouse, ale tylko uprawnienia do odczytu w ścieżce docelowej nie mogą zapisywać w ścieżce docelowej. Podobnie użytkownik, który ma tylko uprawnienia do odczytu w usłudze Lakehouse, ale odczyt/zapis w ścieżce docelowej również nie może zapisywać w ścieżce docelowej.
W tej tabeli przedstawiono uprawnienia wymagane dla każdej akcji skrótu.
| Zdolność | Uprawnienie do ścieżki skrótu | Uprawnienie do ścieżki docelowej |
|---|---|---|
| Odczytywanie zawartości pliku/folderu skrótu | ReadAll1 | ReadAll1 |
| Zapisywanie w lokalizacji docelowej skrótu | Zapis2 | Zapis2 |
| Odczytywanie danych ze skrótów w sekcji tabeli magazynu lakehouse za pośrednictwem punktu końcowego TDS | Przeczytaj | CzytajWszystko3 |
1 Jeślizabezpieczenia oneLake są włączone, użytkownik musi być w roli, która udziela dostępu do ścieżki docelowej.
2 Alternatywnie zabezpieczenia OneLake z uprawnieniami ReadWrite na ścieżce skrótu.
Ważne
3Wyjątek od przekazywania tożsamości: Chociaż zabezpieczenia OneLake zazwyczaj przekazują tożsamość użytkownika wywołującego dla wymuszenia uprawnień, niektóre silniki zapytań działają inaczej. Podczas uzyskiwania dostępu do danych skrótów za pośrednictwem modeli semantycznych usługi Power BI przy użyciu usługi DirectLake nadsilnikami SQL lub T-SQL skonfigurowanymi dla trybu tożsamości delegowanej, te silniki nie przekazują tożsamości wywołującego użytkownika do celu skrótu. Zamiast tego używają tożsamości właściciela elementu , aby uzyskać dostęp do danych, a następnie stosują role zabezpieczeń OneLake, aby filtrować, co może zobaczyć użytkownik wywołujący.
Oznacza to:
- Dostęp do obiektu docelowego skrótu jest uzyskiwany przy użyciu uprawnień właściciela elementu (a nie użytkownika końcowego)
- Role zabezpieczeń usługi OneLake nadal określają, jakie dane użytkownik końcowy może odczytać
- Wszystkie uprawnienia skonfigurowane bezpośrednio w ścieżce docelowej skrótu dla użytkownika końcowego są pomijane
Zabezpieczenia usługi OneLake
Zabezpieczenia oneLake (wersja zapoznawcza) to funkcja umożliwiająca stosowanie kontroli dostępu opartej na rolach (RBAC) do danych przechowywanych w usłudze OneLake. Role zabezpieczeń, które udzielają dostępu do odczytu do określonych tabel i folderów w elemencie sieci szkieletowej, i przypisywać je do użytkowników lub grup. Uprawnienia dostępu określają, którzy użytkownicy będą korzystać ze wszystkich aparatów w sieci szkieletowej, zapewniając spójną kontrolę dostępu.
Użytkownicy w rolach Administrator, Członek i Współautor mają pełny dostęp do odczytu danych ze skrótu niezależnie od zdefiniowanych ról dostępu do danych OneLake. Jednak nadal potrzebują dostępu zarówno w ścieżce skrótu, jak i ścieżce docelowej, jak wspomniano w rolach obszaru roboczego.
Użytkownicy w roli Osoba przeglądająca lub z udostępnionym im magazynem lakehouse mają bezpośredni dostęp ograniczony w zależności od tego, czy użytkownik ma dostęp za pośrednictwem roli dostępu do danych Usługi OneLake. Aby uzyskać więcej informacji na temat modelu kontroli dostępu za pomocą skrótów, zobacz Model kontroli dostępu do danych w usłudze OneLake.
Użytkownicy w rolach przeglądarki mogą tworzyć skróty, jeśli mają uprawnienia ReadWrite w ścieżce, w której jest tworzony skrót.
W poniższej tabeli przedstawiono niezbędne uprawnienia do realizacji operacji skrótów.
| Operacja skrótu klawiszowego | Uprawnienie do ścieżki skrótu | Uprawnienie do ścieżki docelowej |
|---|---|---|
| Utwórz | Odczyt tkaniny i zabezpieczenia OneLake ReadWrite | Odczyt ustawień zabezpieczeń w usłudze OneLake |
| Odczyt (skróty GET/LIST) | Odczyt Fabric i odczyt zabezpieczeń OneLake | Nie dotyczy |
| Update | Odczyt sieci szkieletowej i zabezpieczenia oneLake ReadWrited | Odczyt zabezpieczeń usługi OneLake (w nowym obiekcie docelowym) |
| Delete | Odczyt struktur danych i zabezpieczenia OneLake: Odczyt i zapis | Nie dotyczy |
Modele uwierzytelniania skrótów
Skróty używają dwóch modeli uwierzytelniania z zabezpieczeniami OneLake: passthrough i delegated.
W modelu przekazywania skrót uzyskuje dostęp do danych w lokalizacji docelowej przez przekazanie tożsamości użytkownika do systemu docelowego. Dzięki temu każdy użytkownik, który uzyskuje dostęp do skrótu, będzie mógł zobaczyć tylko to, do czego mają dostęp w obiekcie docelowym.
W przypadku skrótów OneLake do oneLake obsługiwany jest tylko tryb przekazywania. Dzięki temu system źródłowy zachowuje pełną kontrolę nad danymi. Organizacje korzystają z zwiększonych zabezpieczeń, ponieważ nie trzeba replikować ani ponownie definiować kontroli dostępu dla skrótu. Należy jednak pamiętać, że nie można modyfikować zabezpieczeń skrótów OneLake bezpośrednio z elementu podrzędnego. Wszelkie zmiany uprawnień dostępu muszą zostać wprowadzone w lokalizacji źródłowej.
Delegowane skróty uzyskują dostęp do danych przy użyciu niektórych poświadczeń pośrednich, takich jak inny użytkownik lub klucz konta. Te skróty umożliwiają oddzielenie lub delegowanie zarządzania uprawnieniami do innego zespołu lub podrzędnego użytkownika do zarządzania. Skróty delegowane zawsze przerywają przepływ zabezpieczeń z jednego systemu do innego. Wszystkie delegowane skróty w usłudze OneLake mogą mieć zdefiniowane dla nich role zabezpieczeń OneLake.
Wszystkie skróty z usługi OneLake do systemów zewnętrznych (skrótów wielochmurowych), takich jak AWS S3 lub Google Cloud Storage, są delegowane. Dzięki temu użytkownicy mogą łączyć się z systemem zewnętrznym bez uzyskiwania bezpośredniego dostępu. Zabezpieczenia oneLake można następnie skonfigurować na skrótach, aby ograniczyć dostęp do danych w systemie zewnętrznym
Ograniczenia zabezpieczeń usługi OneLake
- Oprócz dostępu zabezpieczeń usługi OneLake do ścieżki docelowej, uzyskiwanie dostępu do skrótów zewnętrznych za pośrednictwem platformy Spark lub bezpośrednich wywołań interfejsu API wymaga również uprawnień do odczytu elementu zawierającego zewnętrzną ścieżkę skrótu.