Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Безопасность OneLake позволяет применять управление доступом на основе ролей (RBAC) к данным, хранящимся в OneLake. Вы можете определить роли безопасности, предоставляющие доступ к определенным папкам в элементе Fabric, а затем назначать эти роли пользователям или группам. Роли также могут содержать безопасность на уровне строк или столбцов для дальнейшего ограничения доступа. Разрешения системы безопасности OneLake определяют, какие данные пользователи могут просматривать во всех интерфейсах Fabric.
Пользователи Fabric с разрешениями на запись и повторное предоставление общего доступа (как правило, администратор и пользователи рабочей области участников) могут приступить к созданию ролей безопасности OneLake для предоставления доступа только к определенным папкам или таблицам в элементе данных Fabric. Чтобы предоставить доступ к данным в элементе, добавьте пользователей в роль доступа к данным. Пользователи, которые не являются частью роли доступа к данным, не видят данных в этом элементе.
Какие типы данных можно защитить?
Используйте роли безопасности OneLake для управления доступом на чтение OneLake к любым таблицам или папкам в поддерживаемом элементе данных. Доступ к таблицам можно дополнительно ограничить с помощью безопасности на уровне строк или столбцов. Любой набор безопасности применяется ко всем обработчикам в Fabric. Дополнительные сведения см . в модели управления доступом к данным.
Для определенных типов элементов также можно настроить доступ ReadWrite. Это разрешение позволяет пользователям редактировать данные в "lakehouse" в указанных таблицах или папках без предоставления им доступа к созданию или управлению элементами Fabric. Доступ readWrite позволяет пользователям выполнять операции записи с помощью записных книжек Spark, проводника OneLake или API OneLake. Операции записи через пользовательский интерфейс Lakehouse для пользователей не поддерживаются.
Следующие элементы данных поддерживают безопасность OneLake:
| Элемент Fabric | Состояние | Поддерживаемые разрешения |
|---|---|---|
| Lakehouse | Preview | Чтение, ReadWrite |
| Зеркальный каталог Azure Databricks | Preview | Читайте |
| Зеркальная база данных | Preview | Читайте |
Включение безопасности OneLake
Безопасность OneLake в настоящее время находится в предварительной версии и в результате отключена по умолчанию. Предварительная версия компонента настраивается на основе каждого элемента. Элемент управления "Согласие" позволяет одному элементу попробовать предварительный просмотр, не включив его в другие элементы Fabric.
После включения функции предварительной версии нельзя отключить.
- Перейдите к озеру и выберите "Управление безопасностью OneLake" (предварительная версия).
- Просмотрите диалоговое окно подтверждения. Предварительная версия ролей доступа к данным несовместима с предварительной версией внешнего общего доступа к данным. Если вы в порядке с изменением, нажмите кнопку "Продолжить".
- После включения безопасности OneLake вы можете создавать роли безопасности OneLake и управлять ими для защиты доступа к элементам OneLake.
Чтобы обеспечить плавное согласие, все пользователи с разрешением на чтение данных в элементе продолжают иметь доступ на чтение с помощью роли доступа к данным по умолчанию с именем DefaultReader. При использовании членства в виртуализированных ролях все пользователи с необходимыми разрешениями для просмотра данных в Lakehouse (разрешение ReadAll) включаются в качестве членов этой роли по умолчанию. Чтобы начать ограничение доступа к этим пользователям, удалите роль DefaultReader или удалите разрешение ReadAll от пользователей, обращаюющихся к пользователям.
Это важно
Убедитесь, что все пользователи, включенные в роль доступа к данным, удаляются из роли DefaultReader. В противном случае они поддерживают полный доступ к данным.