Introduzione ai ruoli di accesso ai dati di OneLake (anteprima)

  • Articolo

Panoramica

I ruoli di accesso ai dati di OneLake per le cartelle sono una nuova funzionalità che consente di applicare il controllo degli accessi in base al ruolo ai dati archiviati in OneLake. È possibile definire ruoli di sicurezza che concedono l'accesso in lettura a cartelle specifiche all'interno di un elemento di Fabric e assegnarli a utenti o gruppi. Le autorizzazioni di accesso determinano le cartelle visualizzate dagli utenti quando accedono alla visualizzazione lake dei dati, tramite l'esperienza utente, i notebook o le API OneLake di lakehouse.

Gli utenti dell'infrastruttura nei ruoli Amministratore, Membro o Collaboratore possono iniziare creando ruoli di accesso ai dati di OneLake per concedere l'accesso solo a cartelle specifiche in una lakehouse. Per concedere l'accesso ai dati in un lakehouse, aggiungere utenti a un ruolo di accesso ai dati. Gli utenti che non fanno parte di un ruolo di accesso ai dati non vedono dati in tale lakehouse.

Nota

La sicurezza dei ruoli di accesso ai dati si applica solo agli utenti che accedono direttamente a OneLake. Gli elementi dell'infrastruttura, ad esempio endpoint sql analitica, modelli semantici e warehouse, hanno modelli di sicurezza personalizzati e accedono a OneLake tramite un'identità delegata. Ciò significa che gli utenti possono visualizzare elementi diversi in ogni carico di lavoro se hanno accesso a più elementi.

Come acconsentire esplicitamente

Tutte le lakehouse in Fabric hanno la funzionalità di anteprima dei ruoli di accesso ai dati disabilitata per impostazione predefinita. La funzionalità di anteprima viene configurata per ogni lakehouse. Il controllo di consenso esplicito consente a un'unica lakehouse di provare l'anteprima senza abilitarla in altri lakehouse o elementi fabric.

Per abilitare l'anteprima, è necessario essere un amministratore, un membro o un collaboratore nell'area di lavoro. Passare a un lakehouse e selezionare il pulsante Gestisci accesso ai dati OneLake (anteprima) nella barra multifunzione per aprire la finestra di dialogo di conferma. L'anteprima dei ruoli di accesso ai dati non è compatibile con l'anteprima di condivisione dei dati esterni. Se non si ha problemi con la modifica, selezionare Continua. Viene aperta l'esperienza utente dei ruoli di gestione e la funzionalità è ora abilitata.

La funzionalità di anteprima non può essere disattivata una volta abilitata.

Per garantire un'esperienza di consenso esplicito uniforme, tutti gli utenti con autorizzazione di lettura per i dati nel lakehouse continuano ad avere accesso in lettura. La migrazione dell'accesso viene eseguita tramite la creazione di un ruolo di accesso ai dati predefinito denominato "DefaultReader". Usando le appartenenze ai ruoli virtualizzate, tutti gli utenti che hanno le autorizzazioni necessarie per visualizzare i dati nella lakehouse (autorizzazione ReadAll) vengono inclusi come membri di questo ruolo predefinito. Per iniziare a limitare l'accesso a tali utenti, assicurarsi che il ruolo DefaultReader venga eliminato o che l'autorizzazione ReadAll venga rimossa dagli utenti che accedono.

Importante

Assicurarsi che tutti gli utenti inclusi in un ruolo di accesso ai dati non facciano parte del ruolo DefaultReader. In caso contrario, manterranno l'accesso completo ai dati.

Quali tipi di dati possono essere protetti?

I ruoli di accesso ai dati di OneLake possono essere usati per gestire l'accesso in lettura a OneLake alle cartelle in un lakehouse. L'accesso in lettura può essere assegnato a qualsiasi cartella in una lakehouse e nessun accesso a una cartella è lo stato predefinito. La sicurezza impostata dai ruoli di accesso ai dati si applica esclusivamente all'accesso alle API specifiche di OneLake o OneLake. Per altre informazioni, vedere il modello di controllo di accesso ai dati.

Prerequisiti

Per configurare la sicurezza per un lakehouse, è necessario essere un amministratore, un membro o un collaboratore per l'area di lavoro. La creazione di ruoli e l'assegnazione di appartenenza diventano effettive non appena il ruolo viene salvato, quindi assicurarsi di voler concedere l'accesso prima di aggiungere un utente a un ruolo.

I ruoli di accesso ai dati OneLake sono supportati solo per gli elementi lakehouse.

Creare un ruolo

  1. Aprire la lakehouse in cui si vuole definire la sicurezza.
  2. Sul lato destro della barra multifunzione lakehouse selezionare Gestisci accesso ai dati OneLake (anteprima).
  3. In alto a sinistra del riquadro Gestisci accesso ai dati OneLake selezionare Nuovo ruolo e digitare il nome del ruolo desiderato. Il nome del ruolo presenta alcune restrizioni:
    1. Il nome del ruolo può contenere solo caratteri alfanumerici.
    2. Il nome del ruolo deve iniziare con una lettera.
    3. I nomi non fanno distinzione tra maiuscole e minuscole e devono essere univoci.
    4. La lunghezza massima del nome è di 128 caratteri.
  4. Selezionare l'interruttore Tutte le cartelle se si vuole applicare questo ruolo a tutte le cartelle in questo lakehouse.
    1. Questa selezione include tutte le cartelle aggiunte in futuro.
  5. Selezionare le cartelle selezionate se si vuole applicare questo ruolo solo alle cartelle selezionate.
    1. Selezionare le caselle accanto alle cartelle a cui applicare il ruolo.
    2. I ruoli concedono l'accesso alle cartelle. Per consentire a un utente di accedere a una cartella, selezionare la casella accanto. Se un utente non deve visualizzare una cartella, non selezionare la casella.
    3. In basso a sinistra selezionare Salva per creare il ruolo.
  6. In alto a sinistra selezionare Assegna ruolo per aprire il riquadro appartenenza al ruolo.
  7. Aggiungere persone, gruppi o indirizzi di posta elettronica al controllo Aggiungi persone o gruppi . Per altre informazioni, vedere Assegnare un membro o un gruppo.
  8. Selezionare Aggiungi per spostare la selezione nell'elenco Utenti assegnati . Se si seleziona Aggiungi non viene ancora salvata la selezione.
  9. Selezionare Salva e attendere la notifica che i ruoli sono stati pubblicati correttamente.
  10. Selezionare la X in alto a destra per uscire dal riquadro.

Modificare un ruolo

  1. Aprire la lakehouse in cui si vuole definire la sicurezza.
  2. Sul lato destro della barra multifunzione lakehouse selezionare Gestisci accesso ai dati OneLake (anteprima).
  3. Nel riquadro Gestisci accesso ai dati OneLake passare il puntatore del mouse sul ruolo che si vuole modificare e selezionarlo.
  4. È possibile modificare le cartelle a cui viene concesso l'accesso selezionando o deselezionando le caselle di controllo accanto a ogni cartella.
  5. Per modificare le persone, selezionare Assegna ruolo. Per altre informazioni, vedere Assegnare un membro o un gruppo.
  6. Per aggiungere altri utenti, digitare i nomi nella casella Aggiungi persone o gruppi e selezionare Aggiungi.
  7. Per rimuovere le persone, selezionare il nome in Utenti assegnati e selezionare Rimuovi.
  8. Selezionare Salva e attendere la notifica che i ruoli sono stati pubblicati correttamente.
  9. Selezionare la X in alto a destra per uscire dal riquadro.

Eliminare un ruolo

  1. Aprire la lakehouse in cui si vuole definire la sicurezza.
  2. Sul lato destro della barra multifunzione lakehouse selezionare Gestisci accesso ai dati OneLake (anteprima).
  3. Nel riquadro Gestisci accesso ai dati OneLake selezionare la casella accanto ai ruoli da eliminare.
  4. Selezionare Elimina e attendere la notifica che i ruoli sono stati eliminati correttamente.
  5. Selezionare la X in alto a destra per uscire dal riquadro.

Assegnare un membro o un gruppo

I ruoli di accesso ai dati di OneLake supportano due diversi metodi di aggiunta di utenti a un ruolo. Il metodo principale consiste nell'aggiungere utenti o gruppi direttamente a un ruolo usando la casella Aggiungi persone o gruppi nella pagina Assegna ruolo. Il secondo consiste nell'usare le appartenenze virtuali con il controllo Aggiungi utenti in base al controllo delle autorizzazioni Lakehouse.

L'aggiunta di utenti direttamente a un ruolo con la casella Aggiungi persone o gruppo aggiunge gli utenti come membri espliciti del ruolo. Questi utenti vengono visualizzati con il nome e l'immagine visualizzati nell'elenco Persone e gruppi assegnati.

I membri virtuali consentono di regolare dinamicamente l'appartenenza del ruolo in base alle autorizzazioni dell'elemento fabric degli utenti. Selezionando la casella Aggiungi utenti in base alle autorizzazioni Lakehouse e selezionando un'autorizzazione, si aggiunge qualsiasi utente nell'area di lavoro Infrastruttura con tutte le autorizzazioni selezionate come membro implicito del ruolo. Ad esempio, se si sceglie ReadAll, Scrivi , qualsiasi utente dell'area di lavoro Infrastruttura con autorizzazioni ReadAll AND Write per l'elemento verrebbe incluso come membro del ruolo. È possibile vedere quali utenti vengono aggiunti come membri virtuali cercando il valore "Autorizzazioni Lakehouse" nella colonna Assegnato da nell'elenco Utenti assegnati. Questi membri non possono essere rimossi manualmente e devono avere revocata l'autorizzazione di Fabric corrispondente per annullare l'assegnazione.

Indipendentemente dal tipo di appartenenza, i ruoli di accesso ai dati supportano l'aggiunta di singoli utenti, gruppi di Microsoft Entra e entità di sicurezza.

Assegnazione di membri

Per accedere alla pagina assegna membri, esistono due modi:

Metodo 1

  1. Selezionare il nome del ruolo a cui assegnare i membri.
  2. Nella parte superiore della pagina dei dettagli del ruolo selezionare Assegna ruolo.

Metodo 2

  1. Nell'elenco dei ruoli selezionare la casella di controllo accanto al ruolo a cui assegnare i membri.
  2. Seleziona Assegna.

Assegnare gli utenti direttamente

Nella pagina Assegna ruolo è possibile aggiungere membri o gruppi digitando il nome o l'indirizzo di posta elettronica nella casella Aggiungi persone o gruppi. Selezionare il risultato da includere. È possibile ripetere questo passaggio per tutti gli utenti desiderati. Se sono stati selezionati gli utenti errati, è possibile selezionare la X accanto alla voce per rimuoverli dalla casella oppure selezionare Cancella per rimuovere tutte le voci. Al termine, selezionare Aggiungi per spostare gli utenti selezionati nell'elenco di accesso. L'aggiunta all'elenco non viene ancora salvata. È un'anteprima dell'elenco di appartenenze ai ruoli dopo l'aggiunta di tali utenti e gli utenti appena aggiunti avranno un indicatore accanto al nome.

Per pubblicare le modifiche di accesso, selezionare Salva nella parte inferiore del riquadro.

Assegnare membri virtuali

Per aggiungere membri virtuali, usare la casella Aggiungi utenti in base alle autorizzazioni Lakehouse. Selezionare la casella per aprire la selezione a discesa per scegliere le autorizzazioni infrastruttura da virtualizzare. Gli utenti vengono virtualizzati se dispongono di tutte le autorizzazioni controllate.

Le autorizzazioni che possono essere usate per la virtualizzazione sono:

  • Lettura
  • Scrittura
  • Ricondivisione
  • Execute
  • ReadAll

Dopo aver selezionato le autorizzazioni, selezionare Aggiungi per aggiornare l'elenco Utenti assegnati con le modifiche. Gli utenti hanno testo accanto al nome che indica che sono stati assegnati dalle autorizzazioni lakehouse. Questi utenti non possono essere rimossi manualmente dall'assegnazione di ruolo. Rimuovere invece le autorizzazioni corrispondenti dal controllo Aggiungi utenti in base al controllo autorizzazioni Lakehouse o rimuovere l'autorizzazione Fabric.

Problemi noti

La funzionalità di anteprima della condivisione dei dati esterna non è compatibile con l'anteprima dei ruoli di accesso ai dati. Quando si abilita l'anteprima dei ruoli di accesso ai dati in un lakehouse, le condivisioni dati esterne esistenti potrebbero smettere di funzionare.

Contenuto correlato