หมายเหตุ
การเข้าถึงหน้านี้ต้องได้รับการอนุญาต คุณสามารถลอง ลงชื่อเข้าใช้หรือเปลี่ยนไดเรกทอรีได้
การเข้าถึงหน้านี้ต้องได้รับการอนุญาต คุณสามารถลองเปลี่ยนไดเรกทอรีได้
การรักษาความปลอดภัยของ Direct Lake ช่วยให้มั่นใจได้ว่าเฉพาะผู้ใช้ที่ได้รับอนุญาตเท่านั้นที่สามารถสืบค้นตารางเดลต้าใน OneLake ได้ คุณสามารถจัดการสิทธิ์การเข้าถึงข้อมูลผ่านบทบาทพื้นที่ทํางาน ผู้สนับสนุนพื้นที่ทํางาน สมาชิก และผู้ดูแลระบบสามารถอ่านข้อมูลใน OneLake ได้ คุณยังสามารถให้สิทธิ์การเข้าถึงข้อมูลใน OneLake ผ่านสิทธิ์ระดับรายการและการคํานวณ ตัวเลือกที่สามคือการใช้ประโยชน์จากการรักษาความปลอดภัยของ OneLake เพื่อบังคับใช้การรักษาความปลอดภัยตามบทบาทแบบละเอียดในเอ็นจิ้นการประมวลผล Fabric ทั้งหมด บทความนี้อธิบายวิธีการจัดแนวแบบจําลองสิทธิ์ เลือกการลงชื่อเข้าระบบครั้งเดียว (SSO) หรือข้อมูลประจําตัวแบบคงที่ และใช้ประโยชน์จากการรักษาความปลอดภัยระดับวัตถุ (OLS) และการรักษาความปลอดภัยระดับแถว (RLS) เรียนรู้เพิ่มเติมในภาพรวมความปลอดภัยของ OneLake
แนวคิดหลักและคําศัพท์
บทความนี้ถือว่าคุณคุ้นเคยกับแนวคิดเหล่านี้:
- Direct Lake ใช้นิพจน์ M ที่ใช้ร่วมกันในเมตาดาต้าของแบบจําลองความหมายเพื่ออ้างอิงแหล่งข้อมูลผ่านฟังก์ชันการเข้าถึงข้อมูล Power Query: AzureStorage.DataLake for Direct Lake บน OneLake และ Sql.Database for Direct Lake บนจุดสิ้นสุด SQL อย่างไรก็ตาม Direct Lake ไม่ได้ใช้ฟังก์ชันเหล่านี้เพื่ออ่านตารางเดลต้าต้นทาง มันอ่านตารางเดลต้าโดยตรงผ่าน OneLake API
- เพื่อให้แน่ใจว่าเฉพาะผู้ใช้ที่ได้รับอนุญาตเท่านั้นที่สืบค้นข้อมูล Direct Lake จะตรวจสอบสิทธิ์การเข้าถึงข้อมูลของข้อมูลประจําตัวที่มีผลบังคับใช้ ข้อมูลประจําตัวที่มีผลบังคับใช้ขึ้นอยู่กับการกําหนดค่าการเชื่อมต่อข้อมูล ตามค่าเริ่มต้น Direct Lake ใช้ SSO (Microsoft Entra ID) และใช้ข้อมูลประจําตัวของผู้ใช้ปัจจุบันที่คิวรีแบบจําลองความหมาย คุณยังสามารถผูกโมเดล Direct Lake กับการเชื่อมต่อระบบคลาวด์ที่ชัดเจนเพื่อให้ข้อมูลประจําตัวคงที่
- หากคุณให้สิทธิ์การเข้าถึงข้อมูลผ่านบทบาทพื้นที่ทํางาน เฉพาะสมาชิกของบทบาทผู้สนับสนุน (หรือสูงกว่า) เท่านั้นที่สามารถอ่านข้อมูลใน OneLake ได้ อย่างไรก็ตาม ผู้ชมพื้นที่ทํางานไม่มีสิทธิ์ ในการอ่าน ใน OneLake ผู้ชมและผู้ใช้ที่ไม่ใช่สมาชิกของบทบาทพื้นที่ทํางานสามารถรับสิทธิ์ การอ่าน ผ่านการรวมกันของสิทธิ์รายการ สิทธิ์การคํานวณ หรือบทบาทความปลอดภัย OneLake
- การรักษาความปลอดภัยของ OneLake ช่วยให้สมาชิกของบทบาทผู้ดูแลระบบพื้นที่ทํางานและสมาชิกพื้นที่ทํางานกําหนดการรักษาความปลอดภัยตามบทบาทแบบละเอียดสําหรับผู้ใช้ในบทบาท ผู้ชม ระบุตารางที่ผู้ชมหรือผู้ใช้ที่มีสิทธิ์ อ่าน อย่างชัดเจนสามารถเข้าถึงและยกเว้นแถวหรือคอลัมน์ที่ระบุได้ เมื่อต้องการเรียนรู้เพิ่มเติมเกี่ยวกับบทบาทความปลอดภัยของ OneLake โปรดดู ความปลอดภัยของตารางใน OneLake, การรักษาความปลอดภัยระดับคอลัมน์ใน OneLake และ RLS ใน OneLake
การกําหนดค่าการเชื่อมต่อ
กําหนดค่าการเชื่อมต่อข้อมูลสําหรับแบบจําลอง Direct Lake ในลักษณะเดียวกับชนิดแบบจําลองความหมายอื่นๆ ดู เชื่อมต่อกับแหล่งข้อมูลระบบคลาวด์ในบริการของ Power BI สําหรับรายละเอียด
การกําหนดค่า SSO (Microsoft Entra ID) เริ่มต้นมักจะใช้งานได้ ดังนั้นคุณจึงไม่จําเป็นต้องผูกแบบจําลองความหมายกับการเชื่อมต่อข้อมูลที่ชัดเจน วิธีการนี้ช่วยลดความซับซ้อนของการกําหนดค่าและลดค่าใช้จ่ายในการจัดการ
ด้วย SSO (Microsoft Entra ID) Direct Lake จะตรวจสอบว่าผู้ใช้ปัจจุบันที่สอบถามแบบจําลองความหมายมีสิทธิ์ อ่าน ข้อมูล เฉพาะผู้ใช้ที่มีสิทธิ์ อ่าน เท่านั้นที่สามารถสืบค้นข้อมูลได้ ภาพหน้าจอต่อไปนี้แสดงแบบจําลอง Direct Lake โดยใช้การกําหนดค่า SSO เริ่มต้น
เมื่อคุณใช้การเชื่อมต่อข้อมูลที่ชัดเจนด้วยข้อมูลประจําตัวคงที่แทน SSO Direct Lake ไม่ต้องการให้ผู้ใช้ทุกคนมีสิทธิ์ ในการอ่าน ข้อมูลเบื้องต้น หาก Microsoft Entra SSO ยังคงปิดใช้งานในการเชื่อมต่อข้อมูล สิทธิ์ของข้อมูลประจําตัวคงที่จะกําหนดข้อมูลที่ Direct Lake สามารถเข้าถึงได้
Note
คุณกําหนดค่าการเชื่อมต่อข้อมูลให้ใช้ทั้ง SSO และข้อมูลประจําตัวแบบคงที่ได้ Direct Lake ตรวจสอบสิทธิ์ของผู้ใช้ปัจจุบัน ณ เวลาคิวรี และใช้ข้อมูลประจําตัวคงที่สําหรับการจัดเฟรมและการแปลงรหัสในเวลารีเฟรช หากต้องการใช้ข้อมูลประจําตัวแบบคงที่สําหรับทั้งการสืบค้นและการรีเฟรช ให้ตรวจสอบว่า SSO ถูกปิดใช้งานในการกําหนดค่าการเชื่อมต่อข้อมูล
ข้อกําหนดในการรับรองความถูกต้อง
โมเดล Direct Lake ใช้การรับรองความถูกต้องของ Microsoft Entra ID ในการกําหนดค่าการเชื่อมต่อข้อมูล ให้เลือก OAuth 2.0, Service Principal หรือ Workspace Identity เป็นวิธีการรับรองความถูกต้อง วิธีการอื่นๆ เช่น คีย์หรือการรับรองความถูกต้อง SAS อาจปรากฏใน UI การกําหนดค่า แต่ไม่ได้รับการสนับสนุนสําหรับแบบจําลอง Direct Lake
ข้อกําหนดสิทธิ์
ข้อกําหนดสิทธิ์จะแตกต่างกันระหว่าง Direct Lake บนจุดสิ้นสุด SQL และ Direct Lake บน OneLake เนื่องจาก Direct Lake บนตําแหน่งข้อมูล SQL อาศัยตําแหน่งข้อมูล SQL Analytics ของแหล่งข้อมูลเป้าหมาย ในขณะที่ Direct Lake บน OneLake ใช้ OneLake API สําหรับการตรวจสอบสิทธิ์
Direct Lake บนจุดสิ้นสุด SQL
Direct Lake บนตําแหน่งข้อมูล SQL ดําเนินการตรวจสอบสิทธิ์ผ่านตําแหน่งข้อมูลการวิเคราะห์ SQL เพื่อพิจารณาว่าข้อมูลประจําตัวที่มีประสิทธิภาพที่พยายามเข้าถึงข้อมูลมีสิทธิ์การเข้าถึงข้อมูลที่จําเป็นหรือไม่ โดยเฉพาะอย่างยิ่ง ข้อมูลประจําตัวที่มีผลบังคับใช้ไม่จําเป็นต้องได้รับอนุญาตในการอ่านตารางเดลต้าโดยตรงใน OneLake การเข้าถึงการ อ่าน สิ่งประดิษฐ์ Fabric เช่น เลคเฮาส์ และสิทธิ์ SELECT บนตารางผ่านจุดสิ้นสุดการวิเคราะห์ SQL ก็เพียงพอแล้ว นั่นเป็นเพราะ Fabric ให้สิทธิ์ที่จําเป็นแก่โมเดลความหมายเพื่ออ่านตารางเดลต้าและไฟล์ Parquet ที่เกี่ยวข้อง (เพื่อ โหลดข้อมูลคอลัมน์ ลงในหน่วยความจํา) แบบจําลองความหมายมีสิทธิ์ในการอ่านตําแหน่งข้อมูลการวิเคราะห์ SQL เป็นระยะ ๆ เพื่อตรวจสอบว่าผู้ใช้ที่สืบค้น (หรือข้อมูลประจําตัวคงที่) สามารถเข้าถึงข้อมูลใดได้บ้าง
Direct Lake บน OneLake
Direct Lake บน OneLake ไม่ได้ใช้ตําแหน่งข้อมูลการวิเคราะห์ SQL สําหรับการตรวจสอบสิทธิ์ ใช้ความปลอดภัยของ OneLake เมื่อเปิดใช้งาน OneLake Security Direct Lake บน OneLake จะใช้ผู้ใช้ปัจจุบัน (หรือข้อมูลประจําตัวคงที่) เพื่อแก้ไขบทบาท OneLake Security และบังคับใช้ OLS และ RLS บนสิ่งประดิษฐ์ Fabric เป้าหมาย หากไม่ได้เปิดใช้งาน OneLake Security Direct Lake บน OneLake ต้องการข้อมูลประจําตัวที่มีประสิทธิภาพเพื่อมีสิทธิ์ Read และ ReadAll บนสิ่งประดิษฐ์ Fabric เป้าหมายเพื่อเข้าถึงตารางเดลต้าใน OneLake สําหรับข้อมูลเพิ่มเติมเกี่ยวกับสิทธิ์ Read และ ReadAll โปรดดู ส่วน สิทธิ์ของรายการ ในบทความภาพรวมความปลอดภัยของ OneLake
Note
ผู้สนับสนุน (หรือสูงกว่า) มีสิทธิ์ Read และ ReadAll ใน OneLake ผู้ชมและผู้ใช้ที่ไม่ใช่สมาชิกของบทบาทพื้นที่ทํางานต้องได้รับสิทธิ์ อ่าน และ อ่านทั้งหมด หรือเพิ่มลงในกลุ่มความปลอดภัย OneLake สําหรับข้อมูลเพิ่มเติมเกี่ยวกับการจัดการกลุ่มความปลอดภัย OneLake โปรดดู แบบจําลองการควบคุมการเข้าถึงข้อมูล OneLake
ผู้ใช้ Direct Lake
สถานการณ์ต่อไปนี้แสดงรายการข้อกําหนดสิทธิ์ขั้นต่ํา
| สถานการณ์สมมติ | Direct Lake บนจุดสิ้นสุด SQL | Direct Lake บน OneLake | Comments |
|---|---|---|---|
| ผู้ใช้สามารถดูรายงาน | - ให้สิทธิ์ การอ่าน สําหรับรายงานและสิทธิ์ การอ่าน สําหรับแบบจําลองความหมาย - หาก Direct Lake ใช้ SSO ให้สิทธิ์การ อ่าน แก่ผู้ใช้เป็นอย่างน้อยสําหรับสิ่งประดิษฐ์ Fabric เป้าหมายและสิทธิ์ SELECT สําหรับตาราง |
- ให้สิทธิ์ การอ่าน สําหรับรายงานและสิทธิ์ การอ่าน สําหรับแบบจําลองความหมาย - หาก Direct Lake ใช้ SSO ให้สิทธิ์การ อ่าน แก่ผู้ใช้เป็นอย่างน้อยสําหรับสิ่งประดิษฐ์ Fabric เป้าหมาย และเพิ่มผู้ใช้ไปยังบทบาทความปลอดภัย OneLake หรือให้สิทธิ์ ReadAll แก่ผู้ใช้ |
รายงานไม่จําเป็นต้องอยู่ในพื้นที่ทํางานเดียวกันเป็นแบบจําลองความหมาย สําหรับข้อมูลเพิ่มเติม ดูกลยุทธ์สําหรับผู้ใช้แบบอ่านอย่างเดียว |
| ผู้ใช้สามารถสร้างรายงาน | - ให้สิทธิ์ ในการสร้าง สําหรับโมเดลความหมาย - หาก Direct Lake ใช้ SSO ให้สิทธิ์การ อ่าน แก่ผู้ใช้เป็นอย่างน้อยสําหรับสิ่งประดิษฐ์ Fabric เป้าหมายและสิทธิ์ SELECT สําหรับตาราง |
- ให้สิทธิ์ ในการสร้าง สําหรับโมเดลความหมาย - หาก Direct Lake ใช้ SSO ให้สิทธิ์การ อ่าน แก่ผู้ใช้เป็นอย่างน้อยสําหรับสิ่งประดิษฐ์ Fabric เป้าหมาย และเพิ่มผู้ใช้ไปยังบทบาทความปลอดภัย OneLake หรือให้สิทธิ์ ReadAll แก่ผู้ใช้ |
ผู้ใช้สามารถสร้างรายงานบนตารางและคอลัมน์ที่พวกเขามีสิทธิ์เข้าถึงเท่านั้น นี่อาจเป็นชุดย่อยของชุดตารางและคอลัมน์ทั้งหมดในแบบจําลอง สําหรับข้อมูลเพิ่มเติม ดูกลยุทธ์สําหรับผู้สร้างเนื้อหา |
| ผู้ใช้สามารถสืบค้นแบบจําลองความหมายได้ แต่ถูกปฏิเสธไม่ให้สืบค้นตําแหน่งข้อมูลการวิเคราะห์เลคเฮาส์หรือ SQL | - ผูกโมเดล Direct Lake กับการเชื่อมต่อระบบคลาวด์ที่มีข้อมูลประจําตัวคงที่และปิดใช้งาน SSO ทิ้งไว้ - ให้สิทธิ์ การอ่าน ข้อมูลประจําตัวคงที่เป็นอย่างน้อยสําหรับสิ่งประดิษฐ์ Fabric เป้าหมายและสิทธิ์ SELECT สําหรับตาราง - อย่าให้สิทธิ์ใดๆ แก่ผู้ใช้สําหรับสิ่งประดิษฐ์ Fabric เป้าหมาย |
- ผูกโมเดล Direct Lake กับการเชื่อมต่อระบบคลาวด์ที่มีข้อมูลประจําตัวคงที่และปิดใช้งาน SSO ทิ้งไว้ - ให้สิทธิ์การอ่านข้อมูลประจําตัวคงที่เป็นอย่างน้อยสําหรับสิ่งประดิษฐ์ Fabric เป้าหมาย และเพิ่มลงใน Security role ของ OneLake หรือให้สิทธิ์ ReadAll - อย่าให้สิทธิ์ใดๆ แก่ผู้ใช้สําหรับสิ่งประดิษฐ์ Fabric เป้าหมาย |
เหมาะสําหรับการเชื่อมต่อระบบคลาวด์ใช้ข้อมูลประจําตัวคงที่เท่านั้น |
| ผู้ใช้สามารถสืบค้นแบบจําลองความหมายและจุดสิ้นสุดการวิเคราะห์ SQL ได้ แต่ถูกปฏิเสธไม่ให้สืบค้นเลคเฮาส์ | - ให้สิทธิ์ Read และ ReadData สําหรับสิ่งประดิษฐ์ Fabric เป้าหมาย | N/A | สําคัญ: การสืบค้นที่ส่งไปยังตําแหน่งข้อมูลการวิเคราะห์ SQL จะข้ามสิทธิ์การเข้าถึงข้อมูลที่บังคับใช้โดยแบบจําลองความหมาย |
| จัดการแบบจําลองความหมาย รวมถึงการตั้งค่าการรีเฟรช | - ต้องมีความเป็นเจ้าของโมเดลความหมาย | - ต้องมีความเป็นเจ้าของโมเดลความหมาย | สําหรับข้อมูลเพิ่มเติม โปรดดู ความเป็นเจ้าของแบบจําลองความหมาย |
สําคัญ
ทดสอบสิทธิ์เสมอก่อนที่จะเผยแพร่แบบจําลองความหมายและรายงานไปยังการผลิต
สําหรับข้อมูลเพิ่มเติม ให้ดู สิทธิ์แบบจําลองเชิงความหมาย
เจ้าของทะเลสาบโดยตรง
นอกเหนือจากข้อมูลประจําตัวที่มีผลบังคับใช้ (ผู้ใช้ปัจจุบันหรือข้อมูลประจําตัวคงที่) Direct Lake ยังกําหนดให้เจ้าของแบบจําลองความหมายมีสิทธิ์ อ่าน ตารางต้นทาง เพื่อให้ Direct Lake สามารถจัดเฟรมแบบจําลองความหมายเป็นส่วนหนึ่งของการรีเฟรชข้อมูล ไม่ว่าใครจะรีเฟรชโมเดล Direct Lake Direct Lake จะตรวจสอบสิทธิ์ของเจ้าของเพื่อให้แน่ใจว่าโมเดลได้รับอนุญาตให้เข้าถึงข้อมูล ข้อกําหนดสิทธิ์การเข้าถึงข้อมูลของเจ้าของจะเหมือนกับสําหรับผู้ใช้ที่สอบถามแบบจําลอง
หากเจ้าของโมเดลความหมายไม่มีสิทธิ์การเข้าถึงข้อมูลที่จําเป็น Direct Lake จะทําให้เกิดข้อผิดพลาดต่อไปนี้ระหว่างการวางเฟรม: We cannot refresh this semantic model because one or multiple source tables either do not exist or access was denied. Please contact a data source admin to verify that the tables exist and ensure that the owner of this semantic model does have read access to these tables. Some restricted tables including fully restricted and partially restricted (indicating column constraints): '\<list of tables\>'.
ทางลัดไปยังตารางต้นทาง
ทางลัดคือออบเจ็กต์ OneLake ที่คุณเพิ่มลงในเลคเฮาส์ Fabric หรือสิ่งประดิษฐ์ Fabric อื่นๆ เพื่อชี้ไปยังตําแหน่งที่เก็บข้อมูลภายในหรือภายนอก ในแบบจําลอง Direct Lake ตารางเดลต้าที่เพิ่มผ่านทางลัดจะปรากฏเป็นแบบเนทีฟในสิ่งประดิษฐ์ Fabric ที่เชื่อมต่อ เนื่องจากทางลัดจะโปร่งใสเมื่อคุณเข้าถึงข้อมูลผ่าน OneLake API
เมื่อคุณเข้าถึงทางลัดผ่าน Direct Lake ผ่านจุดสิ้นสุด SQL Direct Lake จะตรวจสอบก่อนว่าข้อมูลประจําตัวที่มีประสิทธิภาพ (ผู้ใช้ปัจจุบันหรือข้อมูลประจําตัวคงที่) สามารถเข้าถึงตารางในแหล่งข้อมูลของแบบจําลองความหมายได้ สําหรับทางลัดภายใน หลังจากผ่านการตรวจสอบแล้ว Direct Lake จะใช้ข้อมูลประจําตัวของเจ้าของแหล่งข้อมูลเพื่ออ่านตารางเดลต้าผ่านทางลัดที่สิ่งประดิษฐ์ Fabric ของตาราง เจ้าของแหล่งข้อมูลต้องมีสิทธิ์การเข้าถึงในตําแหน่งที่ตั้ง OneLake เป้าหมาย สําหรับทางลัดภายนอก เจ้าของแหล่งข้อมูลยังต้องมีสิทธิ์ ใช้บนการเชื่อมต่อระบบคลาวด์กับระบบภายนอกที่โฮสต์ตารางเดลต้า สําหรับข้อมูลเพิ่มเติม ให้ดู ทางลัด OneLake
Direct Lake ผ่าน OneLake มีข้อกําหนดสิทธิ์ที่แตกต่างกันเนื่องจากไม่มีส่วนเกี่ยวข้องกับปลายทาง SQL Analytics เมื่อผู้ใช้เข้าถึงข้อมูลผ่านทางลัดภายในไปยังตําแหน่งที่ตั้ง OneLake อื่น ข้อมูลประจําตัวที่มีผลบังคับใช้ (ผู้ใช้ปัจจุบันหรือข้อมูลประจําตัวคงที่) จะต้องมีสิทธิ์ในตําแหน่งเป้าหมาย ข้อมูลประจําตัวที่มีผลบังคับใช้ต้องเป็นผู้สนับสนุน (หรือสูงกว่า) มีสิทธิ์ Read และ ReadAll หรืออยู่ใน Security role ของ OneLake ที่ให้สิทธิ์การเข้าถึงการอ่าน
การรักษาความปลอดภัยระดับวัตถุ (OLS) และการรักษาความปลอดภัยระดับแถว (RLS)
ทั้งรุ่น OneLake Security และ Direct Lake รองรับ OLS และ RLS OLS ช่วยให้เจ้าของสิ่งประดิษฐ์และผู้ดูแลระบบสามารถรักษาความปลอดภัยตารางหรือคอลัมน์ที่เฉพาะเจาะจงได้ สามารถใช้ RLS เพื่อจํากัดการเข้าถึงข้อมูลที่ระดับแถวตามตัวกรอง คุณสามารถกําหนด OLS และ RLS ใน OneLake Security ในแบบจําลอง Direct Lake หรือในทั้งสองตําแหน่งที่ตั้ง
สําคัญ
Direct Lake ไม่รองรับ SQL Analytics Endpoint OLS/RLS เมื่อต้องการส่งกลับข้อมูลที่ถูกต้อง Direct Lake ผ่านจุดสิ้นสุด SQL จะกลับไปที่โหมด DirectQuery ถ้าสิ่งประดิษฐ์ Fabric ใช้ OLS หรือ RLS ถ้าปิดใช้งาน DirectQuery สํารอง คิวรีผ่านจุดสิ้นสุด SQL จะล้มเหลวเมื่อมีการกําหนด OLS/RLS ที่จุดสิ้นสุด SQL Analytics ทะเลสาบโดยตรงเหนือ OneLake หลีกเลี่ยงข้อจํากัดนี้
Direct Lake บน OneLake OLS/RLS ด้วย OneLake Security OLS/RLS
Direct Lake บน OneLake จะประเมินการเข้าถึงอ็อบเจ็กต์ที่ปลอดภัย OLS/RLS โดยการแก้ไขบทบาท OneLake Security ของข้อมูลประจําตัวที่มีผลบังคับใช้ และใช้กฎ OLS/RLS ที่กําหนดไว้ บทบาท OneLake Security ได้รับการจัดการเหมือนกับบทบาท Direct Lake ถ้าข้อมูลประจําตัวที่มีผลบังคับใช้เป็นของหลายบทบาทใน OneLake Security และ Direct Lake Direct Lake จะรวมบทบาท OneLake Security ก่อน จากนั้นจึงตัดผลลัพธ์กับบทบาท Direct Lake
ตารางนี้แสดงสถานการณ์การแก้ไขปัญหาทั่วไปที่เกิดจากกฎ OneLake Security และ Direct Lake ที่ขัดแย้งกัน
| สถานการณ์สมมติ | Comments |
|---|---|
| ไม่มีแถวที่ส่งคืนเนื่องจากการกรอง RLS | หากข้อมูลประจําตัวที่มีผลบังคับใช้ไม่มีสิทธิ์การเข้าถึงระดับแถว การสืบค้นสามารถส่งคืนผลลัพธ์ที่ว่างเปล่าได้ ลักษณะการทํางานนี้คาดว่าจะเกิดขึ้นเมื่อตัวกรอง RLS ไม่รวมแถวทั้งหมดสําหรับผู้ใช้ปัจจุบัน |
| ไม่พบตาราง ไม่พบคอลัมน์ แก้ไขชื่อไม่สําเร็จ ไม่ใช่ชื่อตาราง ตัวแปร หรือฟังก์ชันที่ถูกต้อง |
ข้อผิดพลาดเหล่านี้มักเกิดขึ้นเมื่อสิทธิ์ของวัตถุหายไปหลังจากใช้บทบาท OneLake Security |
ความแตกต่างของขอบเขต OLS/RLS
การบังคับใช้ OLS และ RLS ใน OneLake Security จะใช้กฎในกลไกการคํานวณทั้งหมด และรับประกันการควบคุมการเข้าถึงแบบครบวงจรสําหรับผู้ใช้ ซึ่งหมายความว่า โดยไม่คํานึงถึงกลไกการคํานวณ เช่น เลคเฮาส์ คลังสินค้า แบบจําลองความหมาย หรือสิ่งประดิษฐ์อื่นๆ กฎ OneLake Security จะควบคุมการเข้าถึงข้อมูลของผู้ใช้ ในทางตรงกันข้าม OLS/RLS ที่กําหนดไว้ในแบบจําลองความหมายของ Direct Lake จะใช้ภายในขอบเขตของแบบจําลองนั้นเท่านั้น กลไกการคํานวณอื่นๆ ไม่ได้ใช้กฎความปลอดภัย Direct Lake เหล่านี้ ซึ่งสามารถสร้างผลลัพธ์ที่แตกต่างกันเมื่อผู้ใช้เข้าถึงข้อมูลผ่านเส้นทางอื่น
สําคัญ
เมื่อคุณใช้ทั้ง OneLake Security OLS/RLS และ Direct Lake OLS/RLS ผู้ใช้ที่มีสิทธิ์เข้าถึง OneLake ยังคงสามารถดึงข้อมูลและทํางานกับข้อมูลได้ แม้ว่ากฎแบบจําลอง Direct Lake จะจํากัดข้อมูลเพิ่มเติมก็ตาม เนื่องจากกฎระดับแบบจําลองไม่ได้ขยายออกไปนอกเหนือจากแบบจําลอง ใช้ OneLake Security สําหรับการควบคุมการเข้าถึงที่ครอบคลุมในกลไกการคํานวณทั้งหมด
OneLake OLS และข้อมูลเมตาของโมเดลความหมาย
ข้อมูลเมตาของแบบจําลองความหมายประกอบด้วยคําจํากัดความของตาราง คอลัมน์ ความสัมพันธ์ และองค์ประกอบ Schema อื่นๆ ผู้ใช้ที่มีสิทธิ์ ในการสร้าง หรือสูงกว่าสามารถดูข้อมูลเมตาของโมเดลผ่าน XML for Analysis (XMLA) และ REST API สําหรับข้อมูลเพิ่มเติม ให้ดู สิทธิ์แบบจําลองเชิงความหมาย
เมื่อต้องการปกป้องชื่อตารางและคอลัมน์ที่ละเอียดอ่อนใน OneLake ด้วย OneLake OLS โปรดจําไว้ว่า OneLake Security ใช้กับสมาชิกของบทบาท ผู้ชมพื้นที่ทํางานเท่านั้น OneLake OLS ไม่ได้ป้องกันไม่ให้สมาชิกของบทบาทพื้นที่ทํางานผู้สนับสนุน (หรือสูงกว่า) ค้นพบตารางหรือคอลัมน์ที่ปลอดภัย เนื่องจากพวกเขามีสิทธิ์เขียนสิ่งประดิษฐ์พื้นที่ทํางานทั้งหมดอยู่แล้ว สมาชิกของบทบาท ผู้ชม ที่มีสิทธิ์ ในการสร้าง หรือสูงกว่าในแบบจําลอง Direct Lake สามารถค้นหาข้อมูล Schema ที่ละเอียดอ่อนผ่านข้อมูลเมตาของโมเดลความหมาย ผู้ชมที่มีสิทธิพิเศษสูงกว่าเหล่านี้ยังไม่มีการเข้าถึงข้อมูล แต่จะเห็นว่ามีตารางและคอลัมน์ที่ปลอดภัยอยู่
โมเดล Direct Lake อาจมีอยู่ในพื้นที่ทํางานเดียวกันกับสิ่งประดิษฐ์ต้นทางหรือในพื้นที่ทํางานแยกต่างหาก ให้สิทธิ์ผู้ชม ในการสร้างพื้นที่ทํางาน เดียวกัน (หรือสูงกว่า) เข้าถึงโมเดล Direct Lake ผ่านสิทธิ์ของรายการ ในพื้นที่ทํางานแยกต่างหาก ผู้ใช้อาจเป็นผู้สนับสนุน (หรือสูงกว่า) หรือมีสิทธิ์สร้าง (หรือสูงกว่า) เพื่อเข้าถึงข้อมูลเมตาของแบบจําลอง
การรวม OneLake OLS และ Git
การรวม Git ช่วยให้นักพัฒนาสามารถรวมกระบวนการการจัดการวงจรชีวิตของแอปพลิเคชัน (ALM) เข้ากับแพลตฟอร์ม Fabric ที่เก็บ Git จะรักษาโครงสร้างพื้นที่ทํางาน รวมถึงสิ่งประดิษฐ์ที่รองรับทั้งหมด นักพัฒนาสามารถมองเห็นข้อมูลเมตาของรายการทั้งหมดในที่เก็บ Git ได้อย่างเต็มที่ เมตาดาต้าแบบจําลอง Direct Lake ช่วยให้พวกเขาเห็นว่ามีตารางหรือคอลัมน์ที่ปลอดภัยอยู่ แม้ว่าพวกเขาจะไม่สามารถเข้าถึงแหล่งข้อมูลเป้าหมายในพื้นที่ทํางานอื่นก็ตาม สําหรับข้อมูลเพิ่มเติม ดู การรวม Microsoft Fabric Git คืออะไร
ข้อควรพิจารณาและข้อจำกัด
พิจารณาข้อจํากัดด้านความปลอดภัยของ Direct Lake เหล่านี้
Note
ความสามารถและคุณสมบัติของโมเดลความหมายของ Direct Lake และการรักษาความปลอดภัย OneLake พัฒนาอย่างรวดเร็ว กลับมาตรวจสอบการอัปเดตเป็นระยะ
- กําหนดบทบาทความปลอดภัย OneLake ให้กับผู้ชมพื้นที่ทํางานที่ให้สิทธิ์การเข้าถึงการ อ่าน ไปยังสิ่งประดิษฐ์ Fabric ต้นทาง หากอาร์ติแฟกต์ต้นทางมีทางลัดไปยังอาร์ติแฟกต์ Fabric อื่น ผู้ใช้ยังต้อง อ่าน สิทธิ์การเข้าถึงอาร์ติแฟกต์ Fabric เป้าหมายของทางลัดแต่ละรายการด้วย
- ใช้ข้อมูลประจําตัวคงที่เพื่อแยกผู้ใช้ออกจากสิ่งประดิษฐ์ Fabric ต้นทาง ผูกโมเดล Direct Lake กับการเชื่อมต่อระบบคลาวด์ ปิดใช้งาน SSO ในการเชื่อมต่อระบบคลาวด์เพื่อใช้ข้อมูลประจําตัวแบบคงที่สําหรับการรีเฟรชและการสืบค้น
- โมเดลความหมายของ Direct Lake ที่อาศัยการรักษาความปลอดภัยของ Fabric OneLake บนสิ่งประดิษฐ์ต้นทางไม่รองรับการดําเนินการสํารองข้อมูล
- ความสัมพันธ์แบบสองทิศทางไม่ได้รับการสนับสนุนในแบบจําลอง Direct Lake หากสิ่งประดิษฐ์ Fabric ต้นทางอาศัย RLS ความปลอดภัยของ OneLake
- ในระหว่างการแสดงตัวอย่างสาธารณะ ความปลอดภัยของ OneLake รองรับเฉพาะ RLS แบบคงที่บนตารางเดียว
- ในระหว่างการแสดงตัวอย่างสาธารณะ ความปลอดภัยของ OneLake ไม่สนับสนุนข้อกําหนดแบบไดนามิกหรือการกําหนดค่าบทบาทที่ซับซ้อน เช่น การรวมบทบาท OLS และ RLS หลายบทบาทในตารางที่เกี่ยวข้อง
- รวมสิทธิ์ RLS และ OLS ด้านความปลอดภัยของ OneLake ไว้ในหนึ่งบทบาทต่อผู้ใช้แทนการกําหนดหลายบทบาท
- หากการกําหนดค่าความปลอดภัย OneLake เปลี่ยนแปลง เช่น เนื่องจากการเปลี่ยนแปลงทางลัดในสิ่งประดิษฐ์เป้าหมาย ให้รีเฟรช Direct Lake บนโมเดล OneLake ที่เข้าถึงสิ่งประดิษฐ์นั้น หากเปิดใช้งานการซิงค์อัตโนมัติ บริการมักจะรีเฟรชโดยอัตโนมัติ มิฉะนั้น ให้รีเฟรชโมเดลด้วยตนเอง
- หากเลคเฮาส์มีระบบรักษาความปลอดภัย OneLake:
- โดยค่าเริ่มต้น ตําแหน่งข้อมูลการวิเคราะห์ SQL เป็นข้อมูลประจําตัวคงที่สําหรับเจ้าของ Lakehouse ดังนั้นการรักษาความปลอดภัยของ OneLake ปลายทางการวิเคราะห์ SQL จึงเหมือนกับเจ้าของ (ไม่มีข้อจํากัด) Direct Lake บน SQL จะยังคงใช้ Direct Lake เว้นแต่จะมีการเพิ่มบทบาทการเข้าถึงแบบละเอียดของ SQL เพิ่มเติม
- ตําแหน่งข้อมูลการวิเคราะห์ SQL สามารถเปลี่ยนเป็น SSO ได้ เมื่อสิ่งนี้เกิดขึ้น Security role ของ OneLake จะถูกเพิ่มเป็นกฎการควบคุมการเข้าถึงแบบละเอียดของ SQL และผู้ใช้จะถูกบล็อกไม่ให้แก้ไขโดยตรงบนจุดสิ้นสุดการวิเคราะห์ SQL ณ จุดนี้ Direct Lake บน SQL จะถอยกลับไปที่ DirectQuery 100% ของเวลา