การควบคุมการเข้าถึงตามบทบาท (RBAC)
OneLake RBAC ใช้การกําหนดบทบาทเพื่อนําสิทธิ์ไปใช้กับสมาชิก คุณสามารถกําหนดบทบาทให้กับบุคคลหรือกลุ่มความปลอดภัย กลุ่ม Microsoft 365 และรายชื่อการแจกจ่าย สมาชิกทุกคนในกลุ่มผู้ใช้จะได้รับบทบาทที่กําหนด
ถ้าบุคคลอยู่ในกลุ่มความปลอดภัยอย่างน้อยสองกลุ่มหรือกลุ่ม Microsoft 365 กลุ่มเหล่านั้นมีสิทธิ์ระดับสูงสุดที่บทบาทมีให้ ถ้าคุณซ้อนกลุ่มผู้ใช้และกําหนดบทบาทให้กับกลุ่ม ผู้ใช้ที่มีอยู่ทั้งหมดจะมีสิทธิ์
OneLake RBAC ช่วยให้ผู้ใช้สามารถกําหนดบทบาทการเข้าถึงข้อมูลสําหรับ Lakehouse Items เท่านั้น
OneLake RBAC จํากัดการเข้าถึงข้อมูลสําหรับผู้ใช้ที่มี ผู้ชมพื้นที่ทํางาน หรืออ่านการเข้าถึงของเลคเฮ้าส์ และใช้ไม่ได้กับผู้ดูแลระบบพื้นที่ทํางาน สมาชิก หรือผู้สนับสนุน ด้วยเหตุนี้ OneLake RBAC จึงสนับสนุนเฉพาะระดับการอ่านสิทธิ์เท่านั้น
วิธีการสร้างบทบาท RBAC
คุณสามารถกําหนดและจัดการบทบาท OneLake RBAC ผ่านการตั้งค่าการเข้าถึงข้อมูลเลคเฮ้าส์ของคุณ
เรียนรู้เพิ่มเติมใน เริ่มต้นใช้งานบทบาทการเข้าถึงข้อมูล
บทบาท RBAC ตามค่าเริ่มต้นในเลคเฮ้าส์
เมื่อผู้ใช้สร้าง lakehouse ใหม่ OneLake จะสร้างบทบาท RBAC เริ่มต้นที่ชื่อว่าDefault Readers บทบาทอนุญาตให้ผู้ใช้ทั้งหมดที่มีสิทธิ์ ReadAll สามารถอ่านโฟลเดอร์ทั้งหมดในรายการได้
นี่คือข้อกําหนดบทบาทเริ่มต้น:
| ผ้ารายการ | ชื่อบทบาท | สิทธิ์ | โฟลเดอร์ที่รวมอยู่ | สมาชิกที่กําหนด |
|---|---|---|---|---|
| เลคเฮ้าส์ | DefaultReader |
ReadAll | โฟลเดอร์ทั้งหมดภายใต้ Tables/ และ Files/ |
ผู้ใช้ทั้งหมดที่มีสิทธิ์ ReadAll |
หมายเหตุ
เพื่อจํากัดการเข้าถึงผู้ใช้ที่ระบุหรือโฟลเดอร์ที่เฉพาะเจาะจง คุณต้องปรับเปลี่ยนบทบาทเริ่มต้นหรือลบออกและสร้างบทบาทแบบกําหนดเองใหม่
การรับช่วงใน OneLake RBAC
สําหรับโฟลเดอร์ใด ๆ สิทธิ์ OneLake RBAC จะสืบทอดไปยังลําดับชั้นทั้งหมดของไฟล์และโฟลเดอร์ย่อยของโฟลเดอร์เสมอ
ตัวอย่างเช่น กําหนดลําดับชั้นต่อไปนี้ของ lakehouse ใน OneLake
Tables/
──── (empty folder)
Files/
────folder1
│ │ file11.txt
│ │
│ └───subfolder11
│ │ file1111.txt
| │
│ └───subfolder111
| │ file1111.txt
│
└───folder2
│ file21.txt
สําหรับลําดับชั้นที่กําหนด สิทธิ์ OneLake RBAC สําหรับ Role1 และ Role2 สืบทอดในรูปแบบต่อไปนี้:
| บทบาท | การอนุญาต | โฟลเดอร์ที่กําหนดไว้ในสิทธิ | โฟลเดอร์และแฟ้มที่สืบทอดสิทธิ์ |
| บทบาท 1 | อ่าน | folder1 |
|
| บทบาท 2 | อ่าน | folder2 |
|
การย้อนกลับและรายการใน OneLake RBAC
OneLake RBAC ให้ข้อมูลของรายการหลักแบบอัตโนมัติเพื่อให้แน่ใจว่าข้อมูลนั้นง่ายต่อการค้นหา การอนุญาตให้ผู้ใช้อ่านโฟลเดอร์ย่อย 11 อนุญาตให้ผู้ใช้สามารถแสดงรายการและข้ามโฟลเดอร์ไดเรกทอรีหลัก 1 ฟังก์ชันการทํางานนี้จะคล้ายกับสิทธิ์ในโฟลเดอร์ Windows ที่ให้สิทธิ์การเข้าถึงโฟลเดอร์ย่อยจะมีการค้นพบและการย้อนกลับสําหรับไดเรกทอรีหลัก รายการและการย้อนกลับที่มอบให้กับพาเรนต์ไม่ได้ขยายไปยังรายการอื่นๆ ภายนอกรายการหลักโดยตรง ตรวจสอบให้แน่ใจว่าโฟลเดอร์อื่นๆ ได้รับการรักษาความปลอดภัย
ตัวอย่างเช่น กําหนดลําดับชั้นต่อไปนี้ของ lakehouse ใน OneLake
Tables/
──── (empty folder)
Files/
────folder1
│ │ file11.txt
│ │
│ └───subfolder11
│ │ file111.txt
| │
│ └───subfolder111
| │ file1111.txt
│
└───folder2
│ file21.txt
สําหรับลําดับชั้นที่กําหนด สิทธิ์ OneLake RBAC สําหรับ 'Role1' มีการเข้าถึงดังต่อไปนี้ โปรดทราบว่าการเข้าถึง file11.txt จะไม่สามารถมองเห็นได้เนื่องจากไม่ใช่พาเรนต์ของโฟลเดอร์ย่อย 11 ในทํานองเดียวกันสําหรับ Role2 file111.txt จะไม่สามารถมองเห็นอย่างใดอย่างหนึ่ง
| บทบาท | การอนุญาต | โฟลเดอร์ที่กําหนดไว้ในสิทธิ | โฟลเดอร์และแฟ้มที่สืบทอดสิทธิ์ |
| บทบาท 1 | อ่าน | โฟลเดอร์ย่อย 11 |
|
| บทบาท 2 | อ่าน | subfolder111 |
|
สําหรับทางลัด พฤติกรรมรายการจะแตกต่างกันเล็กน้อย ทางลัดไปยังแหล่งข้อมูลภายนอกทํางานเหมือนกับที่โฟลเดอร์ทํางาน แต่ทางลัดไปยังตําแหน่ง OneLake อื่นจะมีลักษณะเฉพาะ การเข้าถึงทางลัด OneLake จะถูกกําหนดโดยสิทธิ์เป้าหมายของทางลัด เมื่อแสดงรายการทางลัด จะไม่มีการเรียกใช้เพื่อตรวจสอบการเข้าถึงเป้าหมาย ด้วยเหตุนี้ เมื่อแสดงรายการไดเรกทอรี ทางลัดภายในทั้งหมดจะถูกส่งกลับโดยไม่คํานึงถึงการเข้าถึงเป้าหมายของผู้ใช้ เมื่อผู้ใช้พยายามเปิดทางลัดการตรวจสอบการเข้าถึงจะประเมินและผู้ใช้จะเห็นเฉพาะข้อมูลที่พวกเขามีสิทธิ์ในการดูเท่านั้น สําหรับข้อมูลเพิ่มเติมเกี่ยวกับทางลัด ให้ดูส่วน การรักษาความปลอดภัยของทางลัด
ตัวอย่างด้านล่างใช้ลําดับชั้นของโฟลเดอร์ต่อไปนี้
Files/
────folder1
│
└───shortcut2
|
└───shortcut3
| บทบาท | การอนุญาต | โฟลเดอร์ที่กําหนดไว้ในสิทธิ | ผลลัพธ์การแสดงรายการแฟ้ม |
| บทบาท 1 | อ่าน | folder1 |
|
| บทบาท 2 | ไม่มี | ไม่มี |
|
วิธีการประเมินสิทธิ์ OneLake RBAC ด้วยสิทธิ์ Fabric
สิทธิ์พื้นที่ทํางานและหน่วยข้อมูลช่วยให้คุณให้สิทธิ์การเข้าถึงข้อมูลแบบ "หยาบ" ใน OneLake สําหรับรายการที่ระบุ สิทธิ์ OneLake RBAC ช่วยให้คุณสามารถจํากัดการเข้าถึงข้อมูลใน OneLake ไปยังโฟลเดอร์ที่ระบุเท่านั้น
OneLake RBAC และสิทธิ์ของพื้นที่ทํางาน
สิทธิ์ของพื้นที่ทํางานเป็นขอบเขตความปลอดภัยแรกสําหรับข้อมูลภายใน OneLake พื้นที่ทํางานแต่ละรายการแสดงโดเมนเดียวหรือพื้นที่โครงการที่ทีมสามารถทํางานร่วมกันบนข้อมูลได้ คุณจัดการความปลอดภัยในพื้นที่ทํางานผ่านบทบาทพื้นที่ทํางาน Fabric เรียนรู้เพิ่มเติมเกี่ยวกับการควบคุมการเข้าถึงตามบทบาท Fabric (RBAC): บทบาทพื้นที่ทํางาน
บทบาทพื้นที่ทํางานใน Fabric ให้สิทธิ์ต่อไปนี้ใน OneLake
| สิทธิ์ | ผู้ดูแลระบบ | สมาชิก | ผู้สนับสนุน | ผู้ชม |
|---|---|---|---|---|
| ดูไฟล์ใน OneLake | เสมอ* ใช่ | เสมอ* ใช่ | เสมอ* ใช่ | ไม่ใช่ตามค่าเริ่มต้น ใช้ OneLake RBAC เพื่ออนุญาตให้เข้าถึง |
| เขียนไฟล์ใน OneLake | เสมอ* ใช่ | เสมอ* ใช่ | เสมอ* ใช่ | ไม่ |
หมายเหตุ
*เนื่องจากผู้ดูแลระบบพื้นที่ทํางาน สมาชิก และบทบาทผู้สนับสนุนให้สิทธิ์การเขียนไปยัง OneLake โดยอัตโนมัติ จะแทนที่สิทธิ์การอ่านของ OneLake RBAC ใด ๆ
| บทบาทพื้นที่ทํางาน | OneLake นําสิทธิ์การอ่าน RBAC ไปใช้หรือไม่ |
|---|---|
| ผู้ดูแลระบบ, ผู้สนับสนุน, สมาชิก | ไม่ OneLake Security จะละเว้นสิทธิ์การอ่านของ OneLake RBC ใดๆ |
| ผู้ดู | ใช่ ถ้ากําหนดแล้ว สิทธิ์การอ่าน OneLake RBAC จะถูกนําไปใช้ |
การอนุญาตของ OneLake RBAC และ Lakehouse
ภายในพื้นที่ทํางาน รายการ Fabric สามารถมีสิทธิ์ที่กําหนดค่าแยกต่างหากจากบทบาทพื้นที่ทํางาน คุณสามารถกําหนดค่าสิทธิ์ผ่านทางการแชร์รายการหรือโดยการจัดการสิทธิ์ของรายการ สิทธิ์ต่อไปนี้จะกําหนดความสามารถของผู้ใช้ในการดําเนินการกับข้อมูลใน OneLake
สิทธิ์ของเลคเฮ้าส์
| สิทธิ์ของเลคเฮ้าส์ | สามารถดูไฟล์ใน OneLake ได้หรือไม่? | สามารถเขียนไฟล์ใน OneLake ได้หรือไม่ | สามารถอ่านข้อมูลผ่านจุดสิ้นสุดการวิเคราะห์ SQL ได้หรือไม่ |
|---|---|---|---|
| อ่าน | ตามค่าเริ่มต้น ใช้ OneLake RBAC เพื่อให้สิทธิ์การเข้าถึงไม่ได้ | ไม่ใช่ | ไม่ |
| ReadAll | ใช่ ตามค่าเริ่มต้น ใช้ OneLake RBAC เพื่อจํากัดการเข้าถึง | ไม่ใช่ | ไม่ |
| เขียน | ใช่ | ใช่ | ใช่ |
| Execute, Reshare, ViewOutput, ViewLogs | ไม่สามารถมอบให้ N/A ด้วยตนเองได้ | ไม่สามารถมอบให้ N/A ด้วยตนเองได้ | ไม่สามารถมอบให้ N/A ด้วยตนเองได้ |
สิทธิ์ของจุดสิ้นสุด OneLake RBAC และ Lakehouse SQL Analytics
จุดสิ้นสุดการวิเคราะห์ SQL เป็นคลังสินค้าที่สร้างขึ้นโดยอัตโนมัติจากเลคเฮ้าส์ใน Microsoft Fabric ลูกค้าสามารถเปลี่ยนจากมุมมอง "ทะเลสาบ" ของเลคเฮ้าส์ (ซึ่งสนับสนุนวิศวกรรมข้อมูลและ Apache Spark) ไปยังมุมมอง "SQL" ของเลคเฮ้าส์เดียวกันได้ เรียนรู้เพิ่มเติมเกี่ยวกับจุดสิ้นสุดการวิเคราะห์ SQL ในเอกสาร คลังข้อมูล: จุดสิ้นสุดการวิเคราะห์ SQL
| สิทธิ์จุดสิ้นสุดการวิเคราะห์ SQL | ผู้ใช้สามารถดูไฟล์ผ่านจุดสิ้นสุด OneLake ได้หรือไม่ | ผู้ใช้สามารถเขียนไฟล์ผ่านจุดสิ้นสุด OneLake ได้หรือไม่ | ผู้ใช้สามารถอ่านข้อมูลผ่านจุดสิ้นสุดการวิเคราะห์ SQL ได้หรือไม่ |
|---|---|---|---|
| อ่าน | ตามค่าเริ่มต้น ใช้ OneLake RBAC เพื่อให้สิทธิ์การเข้าถึงไม่ได้ | ไม่ | ไม่ตามค่าเริ่มต้น แต่สามารถกําหนดค่าด้วย สิทธิ์ระดับแยกย่อยของ SQL |
| อ่านข้อมูล | ไม่ใช่ตามค่าเริ่มต้น ใช้ OneLake RBAC เพื่อให้สิทธิ์การเข้าถึง | ไม่ใช่ | ใช่ |
| เขียน | ใช่ | ใช่ | ใช่ |
การอนุญาต OneLake RBAC และ Default Lakehouse Semantic Model
ใน Microsoft Fabric เมื่อผู้ใช้สร้าง lakehouse ระบบยังเตรียมใช้งานแบบจําลองความหมายเริ่มต้นที่เกี่ยวข้องกัน แบบจําลองความหมายตามค่าเริ่มต้นมีเมตริกด้านบนของข้อมูลเลคเฮ้าส์ แบบจําลองความหมายช่วยให้ Power BI สามารถโหลดข้อมูลสําหรับการรายงานได้
| สิทธิ์แบบจําลองความหมายเริ่มต้น | สามารถดูไฟล์ใน OneLake ได้หรือไม่? | สามารถเขียนไฟล์ใน OneLake ได้หรือไม่ | สามารถดู Schema ในแบบจําลองความหมายได้หรือไม่ | สามารถอ่านข้อมูลในแบบจําลองความหมายได้หรือไม่ |
|---|---|---|---|---|
| อ่าน | ตามค่าเริ่มต้น ใช้ OneLake RBAC เพื่อให้สิทธิ์การเข้าถึงไม่ได้ | ไม่ใช่ | ไม่ | ใช่ ตามค่าเริ่มต้น สามารถจํากัดด้วยการ รักษาความปลอดภัย ระดับออบเจ็กต์ Power BI และการ รักษาความปลอดภัยระดับแถวของ Power BI |
| รุ่น | ใช่ ตามค่าเริ่มต้น ใช้ OneLake RBAC เพื่อจํากัดการเข้าถึง | ใช่ | ใช่ | ใช่ |
| เขียน | ใช่ | ใช่ | ใช่ | ใช่ |
| แชร์ต่อ | ไม่สามารถมอบให้ N/A ด้วยตนเองได้ | ไม่สามารถมอบให้ N/A ด้วยตนเองได้ | ไม่สามารถมอบให้ N/A ด้วยตนเองได้ | ไม่สามารถมอบให้ N/A ด้วยตนเองได้ |
สิทธิ์การแชร์ของเลคเฮ้าส์และ OneLake RBAC
เมื่อผู้ใช้แชร์เลคเฮ้าส์พวกเขาให้ผู้ใช้รายอื่นหรือกลุ่มผู้ใช้สามารถเข้าถึงเลคเฮ้าส์ได้โดยไม่ต้องให้สิทธิ์การเข้าถึงพื้นที่ทํางานและรายการที่เหลือ สามารถพบ lakehouse ที่ใช้ร่วมกันได้ผ่านฮับข้อมูลหรือส่วนแชร์กับฉันใน Microsoft Fabrics
เมื่อมีบางคนแชร์เลคเฮ้าส์ พวกเขายังสามารถให้สิทธิ์การเข้าถึงจุดสิ้นสุดการวิเคราะห์ SQL และแบบจําลองความหมายเริ่มต้นที่เกี่ยวข้อง
| ตัวเลือกการแชร์ | สามารถดูไฟล์ใน OneLake ได้หรือไม่? | สามารถเขียนไฟล์ใน OneLake ได้หรือไม่ | สามารถอ่านข้อมูลผ่านจุดสิ้นสุดการวิเคราะห์ SQL ได้หรือไม่ | สามารถดูและสร้างแบบจําลองความหมายได้หรือไม่ |
|---|---|---|---|---|
| ไม่มีการเลือกสิทธิ์เพิ่มเติม | ตามค่าเริ่มต้น ใช้ OneLake RBAC เพื่อให้สิทธิ์การเข้าถึงไม่ได้ | ไม่ใช่ | ไม่ | ไม่ |
| อ่าน Apache Spark ทั้งหมด | ใช่ ตามค่าเริ่มต้น ใช้ OneLake RBAC เพื่อจํากัดการเข้าถึง | ไม่ใช่ | ไม่ | ไม่ |
| อ่านข้อมูลปลายทาง SQL ทั้งหมด | ตามค่าเริ่มต้น ใช้ OneLake RBAC เพื่อให้สิทธิ์การเข้าถึงไม่ได้ | ไม่ใช่ | ใช่ | ไม่ใช่ |
| สร้างรายงานเกี่ยวกับชุดข้อมูลเริ่มต้น | ใช่ ตามค่าเริ่มต้น ใช้ OneLake RBAC เพื่อจํากัดการเข้าถึง | ไม่ใช่ | ไม่ | ใช่ |
เรียนรู้เพิ่มเติมเกี่ยวกับรูปแบบสิทธิ์การแชร์ข้อมูล:
ทาง ลัด
OneLake RBAC ในทางลัดภายใน
สําหรับโฟลเดอร์ใด ๆ ใน lakehouse สิทธิ์ RBAC จะสืบทอดไปยังทางลัดภายในทั้งหมดที่โฟลเดอร์นี้ถูกกําหนดเป็นเป้าหมายเสมอ
เมื่อผู้ใช้เข้าถึงข้อมูลผ่านทางลัดไปยังตําแหน่ง OneLake อื่น ข้อมูลประจําตัวของผู้ใช้ที่เรียกจะถูกใช้เพื่ออนุญาตให้เข้าถึงข้อมูลในเส้นทางเป้าหมายของทางลัด* ด้วยเหตุนี้ ผู้ใช้นี้ต้องมีสิทธิ์ OneLake RBAC ในตําแหน่งที่ตั้งเป้าหมายเพื่ออ่านข้อมูล
สำคัญ
เมื่อเข้าถึงทางลัดผ่าน แบบจําลอง ความหมายของ Power BI หรือ T-SQL ข้อมูลประจําตัวของผู้ใช้ที่เรียกจะไม่ถูกส่งผ่านไปยังเป้าหมายทางลัด ข้อมูลประจําตัวของเจ้าของรายการที่เรียกจะถูกส่งผ่านแทน มอบหมายการเข้าถึงให้กับผู้ใช้ที่เรียก
ไม่อนุญาตให้กําหนดสิทธิ์ RBAC สําหรับทางลัดภายใน และต้องกําหนดบนโฟลเดอร์เป้าหมายที่อยู่ในรายการเป้าหมาย เนื่องจากการกําหนดสิทธิ์ RBAC จะถูกจํากัดเฉพาะรายการ lakehouse เท่านั้น OneLake จึงช่วยให้สิทธิ์ RBAC สําหรับทางลัดโฟลเดอร์การกําหนดเป้าหมายในรายการของ lakehouse เท่านั้น
ตารางถัดไปจะระบุว่าสถานการณ์ทางลัดที่สอดคล้องกันได้รับการสนับสนุนสําหรับการกําหนดสิทธิ์ OneLake RBAC หรือไม่
| สถานการณ์ทางลัดภายใน | สิทธิ์ OneLake RBAC ได้รับการรองรับหรือไม่ | ความคิดเห็น |
|---|---|---|
| ทางลัดในเลคเฮ้าส์ 1 ชี้ไปที่โฟลเดอร์ 2 ที่อยู่ใน เลคเฮ้าส์เดียวกัน | รองรับ | เพื่อจํากัดการเข้าถึงข้อมูลในทางลัด ให้กําหนด OneLake RBAC สําหรับโฟลเดอร์ 2 |
| ทางลัดในเลคเฮ้าส์ 1 ชี้ไปที่โฟลเดอร์ 2 อยู่ใน เลคเฮ้าส์อีกแห่ง 2 | รองรับ | หากต้องการจํากัดการเข้าถึงข้อมูลในทางลัด ให้กําหนด OneLake RBAC สําหรับโฟลเดอร์ 2 ใน lakehouse2 |
| ทางลัดในเลคเฮ้าส์ชี้ไปที่ตารางที่อยู่ใน คลังข้อมูล | ไม่สนับสนุน | OneLake ไม่สนับสนุนการกําหนดสิทธิ์ RBAC ในคลังข้อมูล การเข้าถึงจะถูกกําหนดโดยยึดตามสิทธิ์ ReadAll แทน |
| ทางลัดในเลคเฮ้าส์ชี้ไปที่ตารางที่อยู่ใน ฐานข้อมูล KQL | ไม่สนับสนุน | OneLake ไม่สนับสนุนการกําหนดสิทธิ์ RBAC ในฐานข้อมูล KQL การเข้าถึงจะถูกกําหนดโดยยึดตามสิทธิ์ ReadAll แทน |
OneLake RBAC ในทางลัดภายนอก (ADLS, S3, Dataverse)
OneLake สนับสนุนการกําหนดสิทธิ์ RBAC สําหรับทางลัด เช่น ทางลัด ADLS, S3 และ Dataverse ในกรณีนี้ แบบจําลอง RBAC จะถูกนําไปใช้ ที่ด้านบนของ แบบจําลองการให้สิทธิ์ที่ได้รับมอบสิทธิ์ที่เปิดใช้งานสําหรับทางลัดชนิดนี้
สมมติว่า User1 สร้างทางลัด S3 ใน lakehouse ที่ชี้ไปยังโฟลเดอร์ในบักเก็ต AWS S3 จากนั้นผู้ใช้ 2 กําลังพยายามเข้าถึงข้อมูลในทางลัดนี้
| การเชื่อมต่อ S3 อนุญาตการเข้าถึงสําหรับผู้ใช้ที่ได้รับมอบสิทธิ์ 1 หรือไม่ | OneLake RBAC อนุญาตการเข้าถึงสําหรับผู้ใช้ที่ร้องขอ 2 หรือไม่ | ผลลัพธ์: ผู้ใช้ 2 สามารถเข้าถึงข้อมูลในทางลัด S3 ได้หรือไม่ |
|---|---|---|
| ใช่ | ใช่ | ใช่ |
| ไม่ | ไม่ | ไม่ |
| ไม่ | ใช่ | ไม่ |
| ใช่ | ไม่ | ไม่ |
ต้องกําหนดสิทธิ์ RBAC สําหรับขอบเขตทั้งหมดของทางลัด (โฟลเดอร์เป้าหมายทั้งหมด) แต่สืบทอดกลับมาที่โฟลเดอร์ย่อยและไฟล์ทั้งหมดซ้ํา
เรียนรู้เพิ่มเติมเกี่ยวกับทางลัด S3, ADLS และ Dataverse ใน ทางลัด OneLake
ขีดจํากัดของ OneLake RBAC
ตารางต่อไปนี้มีข้อจํากัดของบทบาทการเข้าถึงข้อมูล OneLake
| สถานการณ์สมมติ | ขีดจำกัด |
|---|---|
| จํานวนสูงสุดของบทบาท OneLake RBAC ต่อ Fabric Item | รับ 250 บทบาทสูงสุดสําหรับเลคเฮ้าส์แต่ละรายการ |
| จํานวนสูงสุดของสมาชิกต่อบทบาท OneLake RBAC | ผู้ใช้และกลุ่มผู้ใช้สูงสุด 500 รายต่อบทบาท |
| จํานวนสูงสุดของสิทธิ์ต่อบทบาท OneLake RBAC | สูงสุด 500 สิทธิ์ต่อบทบาท |
เวลาแฝงใน OneLake RBAC
- ถ้าคุณเปลี่ยนข้อกําหนดบทบาท OneLake RBAC จะใช้เวลาประมาณ 5 นาทีเพื่อให้ OneLake ใช้ข้อกําหนดที่อัปเดต
- ถ้าคุณเปลี่ยนกลุ่มผู้ใช้ในบทบาท OneLake RBAC จะใช้เวลาประมาณหนึ่งชั่วโมงสําหรับ OneLake เพื่อใช้สิทธิ์ของบทบาทในกลุ่มผู้ใช้ที่อัปเดตแล้ว