Zabezpečenie skratky OneLake
Skratky OneLake slúžia ako ukazovatele na údaje uložené na rôznych kontách úložiska, či už v rámci samotného OneLake alebo v externom systéme, ako je napríklad Azure Data Lake Storage (ADLS). Tento článok sa zaoberá povoleniami potrebnými na vytváranie skratiek a na prístup k údajom, ktoré sa používajú.
Na zabezpečenie prehľadnosti komponentov odkazu tento dokument používa nasledujúce výrazy:
- Cieľová cesta: umiestnenie, na ktoré odkaz odkazuje.
- Cesta k odkazu: umiestnenie, kde sa odkaz zobrazuje.
Vytvorenie a odstránenie skratiek
Ak chcete vytvoriť odkaz, používateľ musí mať povolenie na zápis v položke služby Fabric, v ktorej sa vytvára odkaz. Okrem toho používateľ potrebuje prístup na čítanie k údajom, na ktoré odkaz ukazuje. Odkazy na externé zdroje môžu vyžadovať určité povolenia v externom systéme. Článok Čo sú skratky? obsahuje úplný zoznam typov odkazov a požadovaných povolení.
| Schopnosť | Povolenie na ceste k odkazu | Povolenie na cieľovej ceste |
|---|---|---|
| Vytvorenie odkazu | Zapisovať | ČítaťVšetky1 |
| Odstránenie odkazu | Zapisovať | Nie je k dispozícii |
1 Ak je prístup k údajom OneLake povolený, používateľ musí byť v role, ktorá udelí prístup k cieľovej ceste.
Prístup k odkazom
Povolenia pre skratky sa riadia kombináciou povolení v ceste odkazu a cieľová cesta. Keď používateľ pristupuje k odkazu, použije sa najprísnejšie povolenie týchto dvoch umiestnení. Preto používateľ, ktorý má povolenia na čítanie a zápis v službe lakehouse, ale v cieľovej ceste má len povolenia na čítanie, nemôže písať do cieľovej cesty. Rovnako tak používateľ, ktorý má povolenia iba na čítanie v lakehouse, ale čítanie a zápis v cieľovej ceste tiež nemôže písať do cieľovej cesty.
V nasledujúcej tabuľke sú uvedené povolenia súvisiace s odkazmi pre každú akciu odkazu.
| Schopnosť | Povolenie na ceste k odkazu | Povolenie na cieľovej ceste |
|---|---|---|
| Načítať obsah súboru/priečinka odkazu | ČítaťVšetky1 | ČítaťVšetky1 |
| Zapisovať do cieľového umiestnenia odkazu | Zapisovať | Zapisovať |
| Čítať údaje z odkazov v sekcii tabuľky domovského jazera cez koncový bod TDS | Čítanie | ČítaťVšetky2 |
1 Ak sú povolené roly prístupu k údajom OneLake, používateľ musí byť v role, ktorá udeľuje prístup k údajom.
Dôležité
2 Pri prístupe k odkazom prostredníctvom sémantických modelov služby Power BI alebo T-SQL sa identita volajúceho používateľa neprenesie do cieľovej cesty odkazu. Namiesto toho sa odovzdáva identita vlastníka volajúceho položky, ktorá delegovala prístup volajúcemu používateľovi.
Roly prístupu k údajom OneLake
Roly prístupu k údajom OneLake sú novou funkciou, ktorá vám umožňuje použiť riadenie prístupu na základe rolí (RBAC) na údaje uložené v službe OneLake. Môžete definovať roly zabezpečenia, ktoré udelia prístup na čítanie ku konkrétnym priečinkom v rámci položky služby Fabric, a priraďovať ich používateľom alebo skupinám. Prístupové povolenia určujú, aké priečinky používatelia vidia pri prístupe k zobrazeniu údajov v jazere, a to buď cez používateľské rozhranie lakehouse, notebooky alebo rozhrania API OneLake. V prípade položiek, ktoré majú povolenú funkciu ukážky, roly prístupu k údajom OneLake tiež určujú prístup používateľa k odkazu.
Používatelia v rolách Správca, Člen a Prispievateľ majú úplný prístup k prečítaní údajov z odkazu bez ohľadu na definované roly prístupu k údajom OneLake. Naďalej však potrebujú prístup k ceste odkazu aj cieľovej ceste, ako sa uvádza v rolách pracovného priestoru.
Používatelia v role čitateľa alebo v prípade, že s nimi niekto zdieľal lakehouse, majú priamy prístup obmedzený na základe toho, či má používateľ prístup prostredníctvom roly prístupu k údajom OneLake. Ďalšie informácie o modeli riadenia prístupu s odkazmi nájdete v téme Model riadenia prístupu k údajom vo OneLake.