OneLake 安全性使你可以将基于角色的访问控制(RBAC)应用到 OneLake 中存储的数据。 可以定义安全角色,这些角色授予对 Fabric 项中特定文件夹的访问权限,然后将这些角色分配给用户或组。 角色还可以包含行级或列级安全性,以进一步限制访问。 OneLake 安全权限确定用户可以在 Fabric 中的所有体验中看到哪些数据。
具有写入和重新共享权限的 Fabric 用户(通常为管理员和工作区成员)可以通过创建 OneLake 安全角色,仅授予对 Fabric 数据项中特定文件夹或表的访问权限。 若要授予对项中的数据的访问权限,请将用户添加到数据访问角色。 不属于数据访问角色的用户看不到该项中的数据。
可以保护哪些类型的数据?
使用 OneLake 安全角色管理对受支持数据项中任何表或文件夹的 OneLake 读取访问权限。 可以使用行和/或列级别安全性进一步限制对表的访问。 任何安全设置都适用于 Fabric 内所有引擎的访问。 有关详细信息,请参阅 数据访问控制模型。
对于特定项类型,还可以配置读写访问权限。 此权限使用户能够在指定表或文件夹中编辑 lakehouse 中的数据,而无需授予他们创建或管理 Fabric 项目的权限。 ReadWrite 访问使用户能够通过 Spark 笔记本、OneLake 文件资源管理器或 OneLake API 执行写入作。 不支持通过 Lakehouse UX 为观众执行写入操作。
以下数据项支持 OneLake 安全性:
| 织物项 | 支持的权限 |
|---|---|
| Lakehouse | 读、读写 |
| Azure Databricks 镜像目录 | 读取 |
| 镜像数据库 | 读取 |
默认设置
创建新项时,会附带一组默认角色。 默认角色可确保特权用户可以看到新创建的项中的数据并与之交互。 不同的项具有不同的默认角色,具体取决于该项的用例,但大多数项都包含 DefaultReader 角色。 通过使用 虚拟化角色成员身份,所有具有查看项中数据(例如 ReadAll 权限)所需权限的用户都会被包含在此默认角色成员中。 若要限制对这些用户的访问,请删除 DefaultReader 角色,或者从访问用户中删除 ReadAll 权限。
默认情况下,具有相应 SQL 分析终结点 的新创建项在 用户的标识模式下 启动。 管理员和成员可以随时在终结点的设置中更改模式。
重要
将用户添加到数据访问角色时,请确保将其从 DefaultReader 角色中删除。 否则,它们将保持对数据的完全访问权限。
为 SQL 分析终结点启用 OneLake 安全性
必须先将其配置为使用 用户的标识访问模式,然后才能将 OneLake 安全性与 SQL 分析终结点配合使用。
注释
每个 SQL 分析终结点只需切换到 用户的标识访问模式 一次。 未切换到用户的标识模式的终结点将继续使用委派标识来评估权限。
转到 SQL 分析端点。
在 SQL 分析终结点体验中,选择“ 安全 ”选项卡。
选择“ 查看数据访问模式”(预览)>“数据访问模式设置。
选择 “对表使用 OneLake 安全性”(用户的标识访问模式),然后选择“ 应用”。
选择 “继续 ”以确认你的选择。
现在,SQL 分析端点已准备好用于保障 OneLake 的安全。