หมายเหตุ
การเข้าถึงหน้านี้ต้องได้รับการอนุญาต คุณสามารถลอง ลงชื่อเข้าใช้หรือเปลี่ยนไดเรกทอรีได้
การเข้าถึงหน้านี้ต้องได้รับการอนุญาต คุณสามารถลองเปลี่ยนไดเรกทอรีได้
ทางลัด OneLake ทําหน้าที่เป็นตัวชี้ไปยังข้อมูลที่อยู่ในบัญชีเก็บข้อมูลต่าง ๆ ไม่ว่าจะเป็นภายใน OneLake เองหรือในระบบภายนอกเช่น Azure Data Lake Storage (ADLS) บทความนี้จะดูที่สิทธิ์ที่จําเป็นในการสร้างทางลัดและเข้าถึงข้อมูลโดยใช้ปุ่มลัดเหล่านั้น
เพื่อให้แน่ใจว่ามีความชัดเจนรอบๆ คอมโพเนนต์ของทางลัดเอกสารนี้ใช้คําต่อไปนี้:
- เส้นทางเป้าหมาย: ตําแหน่งที่ทางลัดชี้ไป
- เส้นทางทางลัด: ตําแหน่งที่ทางลัดปรากฏขึ้น
สร้างและลบทางลัด
หากต้องการสร้างทางลัดผู้ใช้จะต้องมีสิทธิ์เขียนบน Fabric Item ที่สร้างปุ่มลัด นอกจากนี้ ผู้ใช้จําเป็นต้องมีการเข้าถึงแบบอ่านในข้อมูลที่มีการชี้ไปทางลัด ทางลัดไปยังแหล่งข้อมูลภายนอกอาจต้องมีสิทธิ์บางอย่างในระบบภายนอก บทความ ทางลัด คืออะไรมีรายการทั้งหมดของชนิดทางลัดและสิทธิ์ที่จําเป็น
| สมรรถนะ | สิทธิ์บนเส้นทางทางลัด | สิทธิ์บนเส้นทางเป้าหมาย |
|---|---|---|
| สร้างทางลัด | เขียน2 | ReadAll1 |
| ลบปุ่มลัด | เขียน2 | ไม่ระบุ |
1 ถ้าเปิดใช้งาน การรักษาความปลอดภัย OneLake ผู้ใช้จะต้องอยู่ในบทบาทที่ให้สิทธิ์การเข้าถึงเส้นทางเป้าหมาย 2 ถ้าเปิดใช้งาน บทบาทการเข้าถึงข้อมูล OneLake ผู้ใช้จะต้องอยู่ในบทบาทที่ให้สิทธิ์การเข้าถึงเส้นทางเป้าหมาย
การเข้าถึงทางลัด
การรวมกันของสิทธิ์ในเส้นทางทางลัดและเส้นทางเป้าหมายจะควบคุมสิทธิ์สําหรับทางลัด เมื่อผู้ใช้เข้าถึงทางลัด สิทธิ์ที่เข้มงวดที่สุดของทั้งสองตําแหน่งจะถูกนําไปใช้ ดังนั้น ผู้ใช้ที่มีสิทธิ์อ่าน/เขียนใน lakehouse แต่มีเพียงสิทธิ์การอ่านในเส้นทางเป้าหมายเท่านั้นที่ไม่สามารถเขียนไปยังเส้นทางเป้าหมายได้ ในทํานองเดียวกัน ผู้ใช้ที่มีสิทธิ์ในการอ่านใน lakehouse เท่านั้น แต่อ่าน/เขียนในเส้นทางเป้าหมายยังไม่สามารถเขียนไปยังเส้นทางเป้าหมายได้
ตารางนี้แสดงสิทธิ์ที่จําเป็นสําหรับการทํางานคําสั่งลัดแต่ละรายการ
| สมรรถนะ | สิทธิ์บนเส้นทางทางลัด | สิทธิ์บนเส้นทางเป้าหมาย |
|---|---|---|
| อ่านเนื้อหาไฟล์/โฟลเดอร์ของทางลัด | ReadAll1 | ReadAll1 |
| เขียนไปยังตําแหน่งเป้าหมายทางลัด | เขียน2 | เขียน2 |
| อ่านข้อมูลจากทางลัดในส่วนตารางของ lakehouse ผ่านจุดสิ้นสุด TDS | อ่าน | อ่านทั้งหมด3 |
1 ถ้าเปิดใช้งาน การรักษาความปลอดภัย OneLake ผู้ใช้จะต้องอยู่ในบทบาทที่ให้สิทธิ์การเข้าถึงเส้นทางเป้าหมาย
2 อีกวิธีหนึ่งคือการรักษาความปลอดภัยของ OneLake ที่มีสิทธิ์ ReadWrite บนเส้นทางลัด
สำคัญ
3ข้อยกเว้นในการส่งผ่านข้อมูลประจําตัว: แม้ว่าโดยทั่วไปแล้วการรักษาความปลอดภัยของ OneLake จะส่งผ่านข้อมูลประจําตัวของผู้ใช้ที่เรียกเพื่อบังคับใช้สิทธิ์ แต่กลไกการสืบค้นบางตัวจะทํางานแตกต่างกัน เมื่อเข้าถึงข้อมูลทางลัดผ่านแบบจําลองความหมายของ Power BI โดยใช้ DirectLake ผ่านกลไกจัดการ SQL หรือ T-SQL ที่กําหนดค่าสําหรับโหมดข้อมูลประจําตัวที่ได้รับมอบหมาย กลไกจัดการเหล่านี้จะไม่ส่งผ่านข้อมูลประจําตัวของผู้ใช้ที่เรียกไปยังเป้าหมายทางลัด พวกเขาใช้ ข้อมูลประจําตัวของเจ้าของสินค้า เพื่อเข้าถึงข้อมูล แล้วใช้บทบาทความปลอดภัย OneLake เพื่อกรองสิ่งที่ผู้ใช้ที่โทรสามารถเห็นได้
ซึ่งหมายความว่า:
- เป้าหมายทางลัดสามารถเข้าถึงได้โดยใช้สิทธิ์ของเจ้าของรายการ (ไม่ใช่ของผู้ใช้ปลายทาง)
- บทบาทความปลอดภัยของ OneLake ยังคงกําหนดข้อมูลที่ผู้ใช้สามารถอ่านได้
- สิทธิ์ใดๆ ที่กําหนดค่าโดยตรงที่เส้นทางเป้าหมายทางลัดสําหรับผู้ใช้ปลายทางจะถูกข้าม
ความปลอดภัยของ OneLake
การรักษาความปลอดภัยของ OneLake (พรีวิว) เป็นคุณลักษณะที่ช่วยให้คุณสามารถใช้การควบคุมการเข้าถึงตามบทบาท (RBAC) กับข้อมูลของคุณที่จัดเก็บไว้ใน OneLake คุณสามารถกําหนด Security role ที่ให้สิทธิ์การเข้าถึงการอ่านไปยังตารางและโฟลเดอร์เฉพาะภายในรายการ Fabric และกําหนดให้กับผู้ใช้หรือกลุ่ม สิทธิ์การเข้าถึงจะกําหนดสิ่งที่ผู้ใช้จะทําในเอ็นจิ้นทั้งหมดใน Fabric เพื่อให้มั่นใจว่ามีการควบคุมการเข้าถึงที่สอดคล้องกัน
ผู้ใช้ในบทบาทผู้ดูแลระบบ สมาชิก และผู้สนับสนุนสามารถเข้าถึงการอ่านข้อมูลจากทางลัดโดยไม่คํานึงถึงบทบาทการเข้าถึงข้อมูล OneLake ที่กําหนดไว้ อย่างไรก็ตาม พวกเขายังคงต้องเข้าถึงทั้งเส้นทางทางลัดและเส้นทางเป้าหมายตามที่กล่าวถึงใน บทบาทพื้นที่ทํางาน
ผู้ใช้ในบทบาทผู้ชมหรือที่มี lakehouse ที่ใช้ร่วมกันกับพวกเขาโดยตรงมีการจํากัดการเข้าถึง โดยขึ้นอยู่กับว่าผู้ใช้มีสิทธิ์เข้าถึงผ่านบทบาทการเข้าถึงข้อมูล OneLake หรือไม่ สําหรับข้อมูลเพิ่มเติมเกี่ยวกับแบบจําลองการควบคุมการเข้าถึงที่มีทางลัด โปรดดู แบบจําลองการควบคุมการเข้าถึงข้อมูลใน OneLake
ผู้ใช้ในบทบาท Viewer สามารถสร้างคําสั่งลัดได้หากพวกเขามีสิทธิ์ ReadWrite บนเส้นทางที่สร้างคําสั่งลัด
ตารางต่อไปนี้แสดงสิทธิ์ที่จําเป็นในการดําเนินการทางลัด
| การทํางานของทางลัด | สิทธิ์บนเส้นทางทางลัด | สิทธิ์บนเส้นทางเป้าหมาย |
|---|---|---|
| สร้าง | Fabric Read และ OneLake security ReadWrite | การรักษาความปลอดภัย OneLake อ่าน |
| อ่าน (ทางลัด GET/LIST) | การอ่าน Fabric และการ อ่านความปลอดภัยของ OneLake | ไม่ระบุ |
| อัปเดต | Fabric Read และ OneLake security ReadWrited | การรักษาความปลอดภัย OneLake อ่าน (ในเป้าหมายใหม่) |
| ลบ | Fabric Read และ OneLake security ReadWrite | ไม่ระบุ |
โมเดลการรับรองความถูกต้องทางลัด
ทางลัดใช้รูปแบบการรับรองความถูกต้องสองรูปแบบที่มีการรักษาความปลอดภัย OneLake: การส่งผ่านและผู้รับมอบสิทธิ์
ในโมเดลพาสทรู ทางลัดจะเข้าถึงข้อมูลในตําแหน่งเป้าหมายโดย 'ส่งผ่าน' ข้อมูลประจําตัวของผู้ใช้ไปยังระบบเป้าหมาย วิธีนี้ทําให้มั่นใจได้ว่าผู้ใช้ที่เข้าถึงทางลัดจะสามารถดูได้เฉพาะสิ่งที่ตนมีสิทธิ์เข้าถึงในเป้าหมายเท่านั้น
ด้วยทางลัด OneLake เป็น OneLake รองรับเฉพาะโหมดพาสทรูเท่านั้น การออกแบบนี้ช่วยให้มั่นใจได้ว่าระบบต้นทางยังคงควบคุมข้อมูลได้อย่างเต็มที่ องค์กรจะได้รับประโยชน์จากการรักษาความปลอดภัยที่เพิ่มขึ้น เนื่องจากไม่จําเป็นต้องทําซ้ําหรือกําหนดการควบคุมการเข้าถึงใหม่สําหรับทางลัด อย่างไรก็ตาม สิ่งสําคัญคือต้องเข้าใจว่าการรักษาความปลอดภัยสําหรับทางลัด OneLake ไม่สามารถแก้ไขได้โดยตรงจากรายการดาวน์สตรีม การเปลี่ยนแปลงสิทธิ์การเข้าถึงจะต้องทําที่ตําแหน่งที่ตั้งต้นทาง
คําสั่งลัดที่ได้รับมอบหมายจะเข้าถึงข้อมูลโดยใช้ข้อมูลประจําตัวระดับกลาง เช่น ผู้ใช้รายอื่นหรือคีย์บัญชี ทางลัดเหล่านี้ช่วยให้สามารถแยกการจัดการสิทธิ์หรือ 'มอบหมาย' ให้กับทีมอื่นหรือผู้ใช้ดาวน์สตรีมเพื่อจัดการ ทางลัดที่ได้รับมอบหมายจะทําลายการไหลของความปลอดภัยจากระบบหนึ่งไปยังอีกระบบหนึ่งเสมอ ทางลัดที่ได้รับมอบหมายทั้งหมดใน OneLake สามารถกําหนดบทบาทความปลอดภัย OneLake ไว้ได้
ทางลัดทั้งหมดจาก OneLake ไปยังระบบภายนอก (ทางลัดมัลติคลาวด์) เช่น AWS S3 หรือ Google Cloud Storage ได้รับมอบหมาย สิ่งนี้ทําให้ผู้ใช้สามารถเชื่อมต่อกับระบบภายนอกได้โดยไม่ต้องเข้าถึงโดยตรง จากนั้นสามารถกําหนดค่าความปลอดภัยของ OneLake บนทางลัดเพื่อจํากัดข้อมูลในระบบภายนอกที่สามารถเข้าถึงได้
ข้อจํากัดด้านความปลอดภัยของ OneLake
- นอกเหนือจากการเข้าถึงความปลอดภัยของ OneLake ไปยังเส้นทางเป้าหมายแล้ว การเข้าถึงทางลัดภายนอกผ่าน Spark หรือการเรียก API โดยตรงยังต้องมีสิทธิ์ในการอ่านในรายการที่มีเส้นทางทางลัดภายนอก