Rol tabanlı erişim denetimi (RBAC)
OneLake RBAC, üyelerine izin uygulamak için rol atamalarını kullanır. Kişilere veya güvenlik gruplarına, Microsoft 365 gruplarına ve dağıtım listelerine rol atayabilirsiniz. Kullanıcı grubundaki her üye atanan rolü alır.
Birisi iki veya daha fazla güvenlik grubunda veya Microsoft 365 grubundaysa, roller tarafından sağlanan en yüksek izin düzeyine sahip olur. Kullanıcı gruplarını iç içe yerleştirip bir gruba rol atarsanız, tüm kapsanan kullanıcıların izinleri olur.
OneLake RBAC, kullanıcıların yalnızca Lakehouse Öğeleri için veri erişim rolleri tanımlamasını sağlar.
OneLake RBAC, Çalışma Alanı Görüntüleyicisi veya göl evi okuma erişimi olan kullanıcılar için veri erişimini kısıtlar. Çalışma Alanı Yöneticileri, Üyeler veya Katkıda Bulunanlar için geçerli değildir. Sonuç olarak, OneLake RBAC yalnızca Okuma izin düzeyini destekler.
RBAC rolleri oluşturma
Lakehouse veri erişim ayarlarınız aracılığıyla OneLake RBAC rollerini tanımlayabilir ve yönetebilirsiniz.
Veri Erişimi Rollerini Kullanmaya Başlama bölümünde daha fazla bilgi edinin.
Lakehouse'ta varsayılan RBAC Rolü
Kullanıcı yeni bir göl evi oluşturduğunda, OneLake adlı Default Readersbir varsayılan RBAC Rolü oluşturur. Bu rol, ReadAll izni olan tüm kullanıcıların Öğe'deki tüm klasörleri okumasına olanak tanır.
Varsayılan Rol tanımı aşağıdadır:
| Doku Öğesi | Rol Adı | İzin | Eklenen klasörler | Atanan üyeler |
|---|---|---|---|---|
| Göl evi | DefaultReader |
ReadAll | ve altındaki Tables/ tüm klasörler Files/ |
ReadAll izni olan tüm kullanıcılar |
Not
Erişimi belirli kullanıcılar veya belirli klasörlerle kısıtlamak için varsayılan rolü değiştirmeniz veya kaldırmanız ve yeni bir özel rol oluşturmanız gerekir.
OneLake RBAC'de devralma
Belirli bir klasör için OneLake RBAC izinleri her zaman klasörün dosyalarının ve alt klasörlerinin tüm hiyerarşisine devralır.
Örneğin, OneLake'de aşağıdaki bir göl evi hiyerarşisi göz önünde bulundurulduğunda.
Tables/
──── (empty folder)
Files/
────folder1
│ │ file11.txt
│ │
│ └───subfolder11
│ │ file1111.txt
| │
│ └───subfolder111
| │ file1111.txt
│
└───folder2
│ file21.txt
Verilen hiyerarşi için OneLake RBAC izinleri ve Role1 devralma işlemleri Role2 aşağıdaki şekilde gerçekleştirilir:
| Rol | İzin | İzin'te tanımlanan klasör | İzin'i devralan klasörler ve dosyalar |
| Rol1 | Okumak | klasör1 |
|
| Rol2 | Okumak | klasör2 |
|
OneLake RBAC'de dolaşma ve listeleme
OneLake RBAC, verilerin kolayca bulunmasını sağlamak için üst öğelerin otomatik geçişini sağlar. Kullanıcıya Alt klasör11'e Okuma izni vermek, kullanıcıya üst dizin klasörünü listeleme ve çapraz geçiş yapma olanağı verir1. Bu işlev, bir alt klasöre erişim vermenin üst dizinler için bulma ve çapraz geçiş sağladığı Windows klasör izinlerine benzer. Üst öğeye verilen liste ve geçiş, diğer klasörlerin güvenli tutulmasını sağlayarak doğrudan üst öğelerin dışındaki diğer öğelere genişletilmez.
Örneğin, OneLake'de aşağıdaki bir göl evi hiyerarşisi göz önünde bulundurulduğunda.
Tables/
──── (empty folder)
Files/
────folder1
│ │ file11.txt
│ │
│ └───subfolder11
│ │ file111.txt
| │
│ └───subfolder111
| │ file1111.txt
│
└───folder2
│ file21.txt
Verilen hiyerarşi için ,'Rol1' için OneLake RBAC izinleri aşağıdaki erişimi sağlar. file11.txt erişimin, alt klasörün üst klasörü olmadığı için görünür olmadığını unutmayın11. Role2 için de benzer şekilde, file111.txt de görünmez.
| Rol | İzin | İzin'te tanımlanan klasör | İzin'i devralan klasörler ve dosyalar |
| Rol1 | Okumak | alt klasör11 |
|
| Rol2 | Okumak | alt klasör111 |
|
Kısayollar için listeleme davranışı biraz farklıdır. Dış veri kaynaklarına yönelik kısayollar klasörlerle aynı şekilde davranır, ancak diğer OneLake konumlarına yönelik kısayolların özel davranışları vardır. OneLake kısayolu erişimi, kısayolun hedef izinleri tarafından belirlenir. Kısayolları listelerken, hedef erişimi denetlemek için çağrı yapılmaz. Sonuç olarak, bir dizin listelendiğinde, kullanıcının hedefe erişimi ne olursa olsun tüm iç kısayollar döndürülür. Kullanıcı kısayolu açmaya çalıştığında erişim denetimi değerlendirilir ve kullanıcı yalnızca görmek için gerekli izinlere sahip olduğu verileri görür. Kısayollar hakkında daha fazla bilgi için kısayolların güvenlik bölümüne bakın.
Aşağıdaki örneklerde aşağıdaki klasör hiyerarşisi kullanılır.
Files/
────folder1
│
└───shortcut2
|
└───shortcut3
| Rol | İzin | İzin'te tanımlanan klasör | Dosyaları listelemenin sonucu |
| Rol1 | Okumak | klasör1 |
|
| Rol2 | YOK | YOK |
|
OneLake RBAC izinleri Doku izinleriyle nasıl değerlendirilir?
Çalışma alanı ve Öğe izinleri, verilen Öğe için OneLake'teki verilere "daha ayrıntılı" erişim vermenizi sağlar. OneLake RBAC izinleri, OneLake'teki veri erişimini yalnızca belirli klasörlerle kısıtlamanıza olanak tanır.
OneLake RBAC ve Çalışma Alanı izinleri
Çalışma alanı izinleri, OneLake içindeki veriler için ilk güvenlik sınırıdır. Her çalışma alanı, ekiplerin veriler üzerinde işbirliği yapabilecekleri tek bir etki alanını veya proje alanını temsil eder. Yapı çalışma alanı rolleri aracılığıyla çalışma alanında güvenliği yönetirsiniz. Doku rol tabanlı erişim denetimi (RBAC) hakkında daha fazla bilgi edinin: Çalışma alanı rolleri
Doku'daki çalışma alanı rolleri OneLake'te aşağıdaki izinleri verir.
| İzin | Yönetici | Üye | Katkıda Bulunan | Görüntüleyici |
|---|---|---|---|---|
| OneLake'te dosyaları görüntüleme | Her Zaman* Evet | Her Zaman* Evet | Her Zaman* Evet | Varsayılan olarak hayır. Erişim vermek için OneLake RBAC kullanın. |
| OneLake'te dosya yazma | Her Zaman* Evet | Her Zaman* Evet | Her Zaman* Evet | Hayır |
Not
*Çalışma Alanı Yöneticisi, Üye ve Katkıda Bulunan Rolleri otomatik olarak OneLake'e Yazma izinleri verdiğinden, tüm OneLake RBAC Okuma izinlerini geçersiz kılar.
| Çalışma Alanı Rolü | OneLake RBAC Okuma izinleri uyguluyor mu? |
|---|---|
| Yönetici, Katkıda Bulunan, Üye | Hayır, OneLake Security tüm OneLake RBC Okuma izinlerini yoksayar |
| İzleyici | Evet, tanımlanırsa OneLake RBAC Okuma izinleri uygulanır |
OneLake RBAC ve Lakehouse izinleri
Çalışma alanı içinde, Doku öğeleri çalışma alanı rollerinden ayrı olarak yapılandırılmış izinlere sahip olabilir. bir öğeyi paylaşarak veya öğenin izinlerini yöneterek izinleri yapılandırabilirsiniz. Aşağıdaki izinler, kullanıcının OneLake'deki veriler üzerinde eylem gerçekleştirebilmesini belirler.
Lakehouse izinleri
| Lakehouse İzni | OneLake'te dosyaları görüntüleyebilir misiniz? | OneLake'te dosya yazabilir mi? | SQL analytics uç noktası üzerinden veri okuyabilir misiniz? |
|---|---|---|---|
| Okundu | Varsayılan olarak hayır, erişim vermek için OneLake RBAC kullanın. | Hayır | Hayır |
| ReadAll | Varsayılan olarak Evet'i seçin. Erişimi kısıtlamak için OneLake RBAC kullanın. | Hayır | Hayır |
| Write | Yes | Yes | Yes |
| Yürütme, Yeniden Paylaşma, ViewOutput, ViewLogs | Yok - kendi başına verilemiyor | Yok - kendi başına verilemiyor | Yok - kendi başına verilemiyor |
OneLake RBAC ve Lakehouse SQL Analytics Uç Nokta izinleri
SQL analiz uç noktası, Microsoft Fabric'teki bir Lakehouse'dan otomatik olarak oluşturulan bir ambardır. Müşteri Lakehouse'un "Göl" görünümünden (veri mühendisliğini ve Apache Spark'ı destekleyen) aynı Lakehouse'un "SQL" görünümüne geçiş yapabilir. Veri Ambarı belgelerinde SQL analiz uç noktası hakkında daha fazla bilgi edinin: SQL analiz uç noktası.
| SQL Analytics Uç Nokta İzni | Kullanıcılar OneLake Uç Noktası aracılığıyla dosyaları görüntüleyebilir mi? | Kullanıcılar OneLake Uç Noktası aracılığıyla dosya yazabilir mi? | Kullanıcılar SQL analytics uç noktası aracılığıyla verileri okuyabilir mi? |
|---|---|---|---|
| Okundu | Varsayılan olarak hayır, erişim vermek için OneLake RBAC kullanın. | Hayır | Varsayılan olarak hayır, ancak SQL ayrıntılı izinleriyle yapılandırılabilir |
| ReadData | Varsayılan olarak hayır. Erişim vermek için OneLake RBAC kullanın. | Hayır | Yes |
| Write | Yes | Yes | Yes |
OneLake RBAC ve Default Lakehouse Semantic Model izinleri
Microsoft Fabric'te, kullanıcı bir lakehouse oluşturduğunda, sistem ilişkili varsayılan anlam modelini de sağlar. Varsayılan semantik modelde lakehouse verilerinin üzerinde ölçümler bulunur. Anlam modeli, Power BI'ın raporlama için veri yüklemesine olanak tanır.
| Varsayılan Anlam Modeli İzni | OneLake'te dosyaları görüntüleyebilir misiniz? | OneLake'te dosya yazabilir mi? | Semantik Model'de şemayı görebiliyor musunuz? | Anlam Modeli'nde verileri okuyabilir misiniz? |
|---|---|---|---|---|
| Okundu | Varsayılan olarak hayır, erişim vermek için OneLake RBAC kullanın. | Hayır | Hayır | Varsayılan olarak Evet'i seçin. Power BI nesne düzeyinde güvenlik ve Power BI satır düzeyi güvenlik ile kısıtlanabilir |
| Derleme | Varsayılan olarak Evet'i seçin. Erişimi kısıtlamak için OneLake RBAC kullanın. | Yes | Yes | Yes |
| Write | Yes | Yes | Yes | Yes |
| Yeniden paylaş | Yok - kendi başına verilemiyor | Yok - kendi başına verilemiyor | Yok - kendi başına verilemiyor | Yok - kendi başına verilemiyor |
Lakehouse Sharing ve OneLake RBAC İzinleri
Kullanıcı bir göl evi paylaştığında, diğer kullanıcılara veya bir grup kullanıcıya çalışma alanına ve kalan öğelerine erişim vermeden göl evi erişimi verir. Paylaşılan göl evi, Microsoft Fabrics'teki Data Hub veya Benimle Paylaşılan bölümü aracılığıyla bulunabilir.
Birisi bir göl evi paylaştığında, SQL analiz uç noktasına ve ilişkili varsayılan anlam modeline erişim de verebilir.
| Paylaşım Seçeneği | OneLake'te dosyaları görüntüleyebilir misiniz? | OneLake'te dosya yazabilir mi? | SQL analytics uç noktası üzerinden veri okuyabilir misiniz? | Anlam Modellerini görüntüleyebilir ve derleyebilir misiniz? |
|---|---|---|---|---|
| Seçili ek izin yok | Varsayılan olarak hayır, erişim vermek için OneLake RBAC kullanın. | Hayır | Hayır | Hayır |
| Tüm Apache Spark'ı okuma | Varsayılan olarak Evet'i seçin. Erişimi kısıtlamak için OneLake RBAC kullanın. | Hayır | Hayır | Hayır |
| Tüm SQL uç noktası verilerini okuma | Varsayılan olarak hayır, erişim vermek için OneLake RBAC kullanın. | Hayır | Yes | Hayır |
| Varsayılan veri kümesinde raporlar oluşturma | Varsayılan olarak Evet'i seçin. Erişimi kısıtlamak için OneLake RBAC kullanın. | Hayır | Hayır | Yes |
Veri paylaşımı izin modeli hakkında daha fazla bilgi edinin:
Kısayollar
İç Kısayollarda OneLake RBAC
Göl evindeki herhangi bir klasör için, RBAC izinleri her zaman bu klasörün hedef olarak tanımlandığı tüm İç kısayollara devralır.
Kullanıcı başka bir OneLake konumuna giden bir kısayol aracılığıyla verilere eriştiğinde, çağıran kullanıcının kimliği, kısayolun hedef yolundaki verilere erişimi yetkilendirmek için kullanılır*. Sonuç olarak, bu kullanıcının verileri okuyabilmesi için hedef konumda OneLake RBAC izinlerine sahip olması gerekir.
Önemli
Power BI anlam modelleri veya T-SQL aracılığıyla kısayollara erişirken, çağıran kullanıcının kimliği kısayol hedefine geçirilir. Bunun yerine çağıran öğe sahibinin kimliği geçirilir ve arayan kullanıcıya erişim yetkisi velanır.
İç kısayol için RBAC izinlerinin tanımlanmasına izin verilmez ve hedef öğede bulunan hedef klasörde tanımlanmalıdır. RBAC izinlerini tanımlamak yalnızca lakehouse öğeleriyle sınırlı olduğundan, OneLake RBAC izinlerini yalnızca lakehouse öğelerindeki klasörleri hedefleyen kısayollar için etkinleştirir.
Sonraki tablo, OneLake RBAC izinlerini tanımlamak için ilgili kısayol senaryosunun desteklenip desteklenmediğini belirtir.
| İç Kısayol senaryosu | OneLake RBAC izinleri destekleniyor mu? | Açıklamalar |
|---|---|---|
| Aynı göl evinde bulunan klasör2'ye işaret eden bir lakehouse1 kısayolu. | Destekleniyor. | Kısayoldaki verilere erişimi kısıtlamak için klasör2 için OneLake RBAC tanımlayın. |
| Başka bir göl evinde bulunan klasör2'ye işaret eden bir lakehouse1 kısayolu2 | Destekleniyor. | Kısayoldaki verilere erişimi kısıtlamak için lakehouse2'de klasör2 için OneLake RBAC tanımlayın. |
| Bir veri deposunda bulunan tabloya işaret eden bir göl evinde kısayol | Desteklenmiyor. | OneLake, veri depolarında RBAC izinlerinin tanımlanmasını desteklemez. Erişim, bunun yerine ReadAll iznine göre belirlenir. |
| KQL veritabanında bulunan tabloya işaret eden bir göl evinde kısayol | Desteklenmiyor. | OneLake, KQL veritabanlarında RBAC izinlerinin tanımlanmasını desteklemez. Erişim, bunun yerine ReadAll iznine göre belirlenir. |
Dış Kısayollarda OneLake RBAC (ADLS, S3, Dataverse)
OneLake, ADLS, S3 ve Dataverse kısayolları gibi kısayollar için RBAC izinlerinin tanımlanmasını destekler. Bu durumda RBAC modeli, bu kısayol türü için etkinleştirilen temsilci yetkilendirme modelinin üzerine uygulanır.
User1'in bir göl evinde AWS S3 demetindeki bir klasörü işaret eden bir S3 kısayolu oluşturduğunu varsayalım. Ardından user2 bu kısayoldaki verilere erişmeye çalışır.
| S3 Bağlantısı, temsilci olarak atanan kullanıcı1 için erişim yetkisi veriyor mu? | OneLake RBAC, istekte bulunan kullanıcı2 için erişim yetkisine sahip mi? | Sonuç: Kullanıcı2, S3 Kısayolu'nda verilere erişebilir mi? |
|---|---|---|
| Yes | Yes | Yes |
| Hayır | Hayır | Hayır |
| Hayır | Yes | Hayır |
| Yes | Hayır | Hayır |
RBAC izinleri, kısayolun tüm kapsamı (hedef klasörün tamamı) için tanımlanmalıdır, ancak tüm alt klasörlerine ve dosyalarına özyinelemeli olarak devralmalıdır.
OneLake Kısayolları'nda S3, ADLS ve Dataverse kısayolları hakkında daha fazla bilgi edinin.
OneLake RBAC sınırları
Aşağıdaki tabloda OneLake veri erişim rollerinin sınırlamaları sağlanmaktadır.
| Senaryo | Sınır |
|---|---|
| Doku Öğesi başına en fazla OneLake RBAC rolü sayısı | Her göl evi öğesi için en fazla 250 rol. |
| OneLake RBAC rolü başına en fazla üye sayısı | Rol başına en fazla 500 kullanıcı ve kullanıcı grubu. |
| OneLake RBAC rolü başına en fazla izin sayısı | Rol başına en fazla 500 izin |
OneLake RBAC'de gecikme süreleri
- OneLake RBAC Rol tanımını değiştirirseniz OneLake'in güncelleştirilmiş tanımları uygulaması yaklaşık 5 dakika sürer.
- OneLake RBAC rolündeki bir kullanıcı grubunu değiştirirseniz, OneLake'in rolün izinlerini güncelleştirilmiş kullanıcı grubuna uygulaması yaklaşık bir saat sürer.
Dikkat Edilmesi Gerekenler ve Sınırlamalar
- Bir B2B konuk kullanıcısına RBAC rolü atarsanız, Microsoft Entra Dış KimliğiB2B için dış işbirliği ayarlarınızı yapılandırmanız gerekir. Konuk kullanıcı erişimi ayarı, konuk kullanıcıların üyelerle aynı erişime sahip olmasını sağlayacak şekilde (en kapsayıcı) olarak ayarlanmalıdır.