OneLake-genvägssäkerhet
OneLake-genvägar fungerar som pekare på data som finns i olika lagringskonton, oavsett om de finns i OneLake själv eller i externa system som Azure Data Lake Storage (ADLS). Den här artikeln tittar på de behörigheter som krävs för att skapa genvägar och komma åt data med hjälp av dem.
För att säkerställa klarhet kring komponenterna i en genväg använder det här dokumentet följande termer:
- Målsökväg: Den plats som en genväg pekar på.
- Genvägssökväg: Platsen där genvägen visas.
Skapa och ta bort genvägar
För att skapa en genväg måste en användare ha skrivbehörighet för det infrastrukturobjekt där genvägen skapas. Dessutom behöver användaren Läs åtkomst till de data som genvägen pekar på. Genvägar till externa källor kan kräva vissa behörigheter i det externa systemet. Artikeln Vad är genvägar? har en fullständig lista över genvägstyper och nödvändiga behörigheter.
| Förmåga | Behörighet för genvägssökväg | Behörighet för målsökväg |
|---|---|---|
| Skapa en genväg | Skriva | ReadAll1 |
| Ta bort en genväg | Skriva | Ej tillämpligt |
1 Om OneLake-dataåtkomstroller är aktiverade måste användaren ha en roll som ger åtkomst till målsökvägen.
Komma åt genvägar
En kombination av behörigheterna i genvägssökvägen och målsökvägen styr behörigheterna för genvägar. När en användare kommer åt en genväg tillämpas den mest restriktiva behörigheten för de två platserna. Därför kan en användare som har läs-/skrivbehörigheter i lakehouse men endast läsbehörigheter i målsökvägen inte skriva till målsökvägen. På samma sätt kan en användare som bara har läsbehörigheter i lakehouse men som läser/skriver i målsökvägen inte heller skriva till målsökvägen.
I följande tabell visas genvägsrelaterade behörigheter för varje genvägsåtgärd.
| Förmåga | Behörighet för genvägssökväg | Behörighet för målsökväg |
|---|---|---|
| Läsa fil-/mappinnehåll i genväg | ReadAll1 | ReadAll1 |
| Skriv till målplats för genväg | Skriva | Skriva |
| Läsa data från genvägar i tabellavsnittet i lakehouse via TDS-slutpunkten | Lästa | ReadAll2 |
1 Om OneLake-dataåtkomstroller är aktiverade måste användaren ha en roll som ger åtkomst till data.
Viktigt!
2 När du kommer åt genvägar via Power BI-semantikmodeller eller T-SQL skickas inte den anropande användarens identitet till kortvägsmålsökvägen. Den anropande objektägarens identitet skickas i stället, vilket delegerar åtkomst till den anropande användaren.
OneLake-dataåtkomstroller
OneLake-dataåtkomstroller är en ny funktion som gör att du kan tillämpa rollbaserad åtkomstkontroll (RBAC) på dina data som lagras i OneLake. Du kan definiera säkerhetsroller som ger läsbehörighet till specifika mappar i ett infrastrukturobjekt och tilldela dem till användare eller grupper. Åtkomstbehörigheterna avgör vilka mappar användarna ser när de kommer åt sjövyn för data, antingen via Lakehouse UX, notebook-filer eller OneLake-API:er. För objekt med förhandsgranskningsfunktionen aktiverad avgör OneLake-dataåtkomstroller också en användares åtkomst till en genväg.
Användare i administratörs-, medlems- och deltagarrollerna har fullständig åtkomst till att läsa data från en genväg oavsett vilka OneLake-dataåtkomstroller som definierats. Men de behöver fortfarande åtkomst på både genvägssökvägen och målsökvägen enligt beskrivningen i Arbetsyteroller.
Användare i rollen Viewer eller som hade ett lakehouse delat med sig direkt har åtkomst begränsad baserat på om användaren har åtkomst via en OneLake-dataåtkomstroll. Mer information om åtkomstkontrollmodellen med genvägar finns i Data Access Control Model i OneLake.