Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Mit der OneLake-Sicherheit können Sie rollenbasierte Zugriffssteuerung (RBAC) auf Ihre in OneLake gespeicherten Daten anwenden. Sie können Sicherheitsrollen definieren, die Zugriff auf bestimmte Ordner innerhalb eines Fabric-Elements gewähren, und diese Rollen dann Benutzern oder Gruppen zuweisen. Rollen können auch Sicherheitsmaßnahmen auf Zeilen- oder Spaltenebene enthalten, um den Zugriff weiter einzuschränken. Die OneLake-Sicherheitsberechtigungen bestimmen, welche Daten der Benutzer über alle Erfahrungen in Fabric hinweg sehen kann.
Fabric-Benutzer mit Schreib- und Freigabeberechtigungen (im Allgemeinen Administrator- und Mitgliederarbeitsbereichsbenutzer) können beginnen, indem Sie OneLake-Sicherheitsrollen erstellen, um nur bestimmten Ordnern oder Tabellen in einem Fabric-Datenelement Zugriff zu gewähren. Um Den Zugriff auf Daten in einem Element zu gewähren, fügen Sie Benutzer zu einer Datenzugriffsrolle hinzu. Benutzer, die nicht Teil einer Datenzugriffsrolle sind, sehen keine Daten in diesem Element.
Welche Datentypen können gesichert werden?
Verwenden Sie OneLake-Sicherheitsrollen zum Verwalten des OneLake-Lesezugriffs auf tabellen oder Ordner in einem unterstützten Datenelement. Der Zugriff auf Tabellen kann mithilfe der Sicherheit auf Zeilen- und/oder Spaltenebene weiter eingeschränkt werden. Jede Sicherheitskonfiguration gilt für den Zugriff von allen Engines in Fabric. Weitere Informationen finden Sie im Datenzugriffssteuerungsmodell.
Für bestimmte Elementtypen können Sie auch den ReadWrite-Zugriff konfigurieren. Mit dieser Berechtigung können Benutzer Daten in einem Lakehouse in bestimmten Tabellen oder Ordnern bearbeiten, ohne ihnen die Berechtigung zum Erstellen oder Verwalten von Fabric-Elementen zu gewähren. Der ReadWrite-Zugriff ermöglicht Benutzern das Ausführen von Schreibvorgängen über Spark-Notizbücher, den OneLake-Datei-Explorer oder OneLake-APIs. Schreibvorgänge über die Lakehouse-UX für Viewer werden nicht unterstützt.
Die folgenden Datenelemente unterstützen die OneLake-Sicherheit:
| Gewebe-Element | Unterstützte Berechtigungen |
|---|---|
| Lakehouse | Lesen, LesenSchreiben |
| Azure Databricks Spiegelkatalog | Lesen Sie |
| Gespiegelte Datenbanken | Lesen Sie |
Standardeinstellungen
Wenn Sie ein neues Element erstellen, enthält es eine Reihe von Standardrollen. Standardrollen stellen sicher, dass privilegierte Benutzer Daten im neu erstellten Element anzeigen und mit ihnen interagieren können. Je nach den Anwendungsfällen des jeweiligen Elements haben verschiedene Standardrollen, die meisten enthalten jedoch eine DefaultReader-Rolle. Durch die Verwendung virtualisierter Rollenmitgliedschaften werden alle Benutzer, die über die erforderlichen Berechtigungen zum Anzeigen von Daten im Element verfügen (z. B. die ReadAll-Berechtigung), als Mitglieder dieser Standardrolle eingeschlossen. Um für diese Benutzer den Zugriff einzuschränken, löschen Sie die DefaultReader-Rolle, oder entfernen Sie die ReadAll-Berechtigung von diesen Benutzern.
Neu erstellte Elemente mit einem entsprechenden SQL-Analyseendpunkt beginnen standardmäßig im Identitätsmodus des Benutzers . Administratoren und Mitglieder können den Modus jederzeit in den Einstellungen des Endpunkts ändern.
Von Bedeutung
Wenn Sie einen Benutzer zu einer Datenzugriffsrolle hinzufügen, stellen Sie sicher, dass Sie sie aus der DefaultReader-Rolle entfernen. Andernfalls behalten sie den vollständigen Zugriff auf die Daten bei.
Aktivieren der OneLake-Sicherheit für SQL-Analyseendpunkt
Bevor Sie oneLake-Sicherheit mit SQL Analytics-Endpunkt verwenden können, müssen Sie sie so konfigurieren, dass der Identitätszugriffsmodus des Benutzers verwendet wird.
Note
Sie müssen nur einmal pro SQL-Analyseendpunkt zum Identitätszugriffsmodus des Benutzers wechseln. Endpunkte, die nicht zum Identitätsmodus des Benutzers gewechselt sind, verwenden weiterhin eine delegierte Identität, um Berechtigungen auszuwerten.
Wechseln Sie zum SQL-Analyseendpunkt.
Wählen Sie in der SQL Analytics-Endpunktoberfläche die Registerkarte "Sicherheit " aus.
Wählen Sie " Datenzugriffsmodus anzeigen" (Vorschau)>Einstellungen für den Datenzugriffsmodus aus.
Wählen Sie " OneLake-Sicherheit für Tabellen verwenden" (Identitätszugriffsmodus des Benutzers) und dann " Übernehmen" aus.
Wählen Sie "Weiter" aus, um Ihre Auswahl zu bestätigen.
Jetzt ist der SQL-Analyseendpunkt bereit für die Verwendung mit OneLake-Sicherheit.