เริ่มต้นใช้งานด้วยบทบาทการเข้าถึงข้อมูล OneLake (ตัวอย่าง)

ภาพรวม

บทบาทการเข้าถึงข้อมูล OneLake สําหรับโฟลเดอร์เป็นคุณลักษณะใหม่ที่ช่วยให้คุณสามารถใช้การควบคุมการเข้าถึงตามบทบาท (RBAC) กับข้อมูลของคุณที่จัดเก็บไว้ใน OneLake ได้ คุณสามารถกําหนดบทบาทความปลอดภัยที่ให้สิทธิ์ในการอ่านสําหรับโฟลเดอร์ที่ระบุภายในรายการ Fabric และกําหนดให้กับผู้ใช้หรือกลุ่ม สิทธิ์การเข้าถึงจะกําหนดโฟลเดอร์ที่ผู้ใช้เห็นเมื่อเข้าถึงมุมมองข้อมูลแบบเลคผ่าน lakehouse UX สมุดบันทึก หรือ OneLake API

ผู้ใช้ Fabric ในบทบาทผู้ดูแลระบบ สมาชิก หรือผู้สนับสนุนสามารถเริ่มต้นโดยการสร้างบทบาทการเข้าถึงข้อมูล OneLake เพื่อให้สิทธิ์เข้าถึงเฉพาะโฟลเดอร์ที่เฉพาะเจาะจงในเลคเฮ้าส์ หากต้องการให้สิทธิ์การเข้าถึงข้อมูลในเลคเฮ้าส์ ให้เพิ่มผู้ใช้ลงในบทบาทการเข้าถึงข้อมูล ผู้ใช้ที่ไม่ได้เป็นส่วนหนึ่งของบทบาทการเข้าถึงข้อมูลจะไม่สามารถดูข้อมูลได้ในเลคเฮ้าส์นั้น

หมายเหตุ

ความปลอดภัยของบทบาทการเข้าถึงข้อมูลจะใช้กับผู้ใช้ที่เข้าถึง OneLake โดยตรงเท่านั้น รายการสิ่งของสิ่งของต่างๆ เช่น จุดสิ้นสุดการวิเคราะห์ SQL แบบจําลองความหมาย และคลังสินค้ามีรูปแบบความปลอดภัยของตนเอง และเข้าถึง OneLake ผ่านข้อมูลประจําตัวที่ได้รับมอบหมาย ซึ่งหมายความว่าผู้ใช้สามารถดูรายการที่แตกต่างกันในแต่ละปริมาณงานได้หากได้รับสิทธิ์การเข้าถึงหลายรายการ

วิธีการเลือกใช้

เลคเฮ้าส์ทั้งหมดใน Fabric มีคุณลักษณะตัวอย่างบทบาทการเข้าถึงข้อมูลปิดใช้งานตามค่าเริ่มต้น คุณลักษณะตัวอย่างได้รับการกําหนดค่าตาม lakehouse แบบต่อเลคเฮ้าส์ การควบคุมการเลือกใช้จะช่วยให้เลคเฮ้าส์เดียวสามารถลองดูตัวอย่างโดยไม่ต้องเปิดใช้งานในเลคเฮ้าส์หรือสิ่งของผ้าอื่น ๆ

เมื่อต้องการเปิดใช้งานตัวอย่าง คุณต้องเป็นผู้ดูแลระบบ สมาชิก หรือผู้สนับสนุนในพื้นที่ทํางาน นําทางไปยังเลคเฮ้าส์ และเลือกปุ่ม จัดการการเข้าถึงข้อมูล OneLake (ตัวอย่าง) ในริบบอนเพื่อเปิดกล่องโต้ตอบการยืนยัน ตัวอย่างบทบาทการเข้าถึงข้อมูลไม่เข้ากันกับตัวอย่างการแชร์ข้อมูลภายนอก ถ้าคุณไม่คุ้นเคยกับการเปลี่ยนแปลง ให้เลือก ดําเนินการต่อ การจัดการบทบาท UX จะเปิดขึ้นและคุณลักษณะถูกเปิดใช้งานในขณะนี้

ไม่สามารถปิดคุณลักษณะการแสดงตัวอย่างได้เมื่อเปิดใช้งานแล้ว

เพื่อให้ผู้ใช้ทั้งหมดมีสิทธิ์ในการอ่านข้อมูลใน lakehouse ยังคงสามารถเข้าถึงการอ่านได้ การโยกย้ายการเข้าถึงจะดําเนินการได้ผ่านการสร้างบทบาทการเข้าถึงข้อมูลเริ่มต้นที่เรียกว่า "DefaultReader" การใช้ บทบาทเสมือนสมาชิก ผู้ใช้ทั้งหมดที่มีสิทธิ์ที่จําเป็นในการดูข้อมูลใน lakehouse (สิทธิ์ ReadAll) จะรวมอยู่ในสมาชิกของบทบาทเริ่มต้นนี้ เมื่อต้องการเริ่มจํากัดการเข้าถึงให้แก่ผู้ใช้เหล่านั้น ให้ตรวจสอบให้แน่ใจว่ามีการลบบทบาท DefaultReader หรือสิทธิ์ ReadAll ถูกเอาออกจากผู้ใช้ที่เข้าถึง

สำคัญ

ตรวจสอบให้แน่ใจว่าผู้ใช้ใด ๆ ที่รวมอยู่ในบทบาทการเข้าถึงข้อมูลไม่ได้เป็นส่วนหนึ่งของบทบาท DefaultReader มิฉะนั้น พวกเขาจะรักษาการเข้าถึงข้อมูลทั้งหมด

ข้อมูลชนิดใดบ้างที่สามารถรักษาความปลอดภัยได้

บทบาทการเข้าถึงข้อมูล OneLake สามารถใช้เพื่อจัดการ OneLake อ่านการเข้าถึงโฟลเดอร์ในเลคเฮ้าส์ได้ การเข้าถึงแบบอ่านสามารถกําหนดให้กับโฟลเดอร์ใด ๆ ใน lakehouse และไม่สามารถเข้าถึงโฟลเดอร์เป็นสถานะเริ่มต้นได้ ชุดความปลอดภัยโดยบทบาทการเข้าถึงข้อมูลจะใช้เฉพาะเพื่อเข้าถึงกับ OneLake หรือ OneLake เฉพาะ API สําหรับข้อมูลเพิ่มเติม ดู แบบจําลองการควบคุมการเข้าถึงข้อมูล

ข้อกำหนดเบื้องต้น

ในการกําหนดค่าความปลอดภัยสําหรับเลคเฮ้าส์ คุณต้องเป็นผู้ดูแลระบบ สมาชิก หรือผู้สนับสนุนสําหรับพื้นที่ทํางาน การสร้างบทบาทและการกําหนดการเป็นสมาชิกจะมีผลทันทีที่บันทึกบทบาท ดังนั้นตรวจสอบให้แน่ใจว่าคุณต้องการให้สิทธิ์การเข้าถึงก่อนที่จะเพิ่มบุคคลลงในบทบาท

บทบาทการเข้าถึงข้อมูลของ OneLake ได้รับการรองรับสําหรับรายการในเลคเฮ้าส์เท่านั้น

สร้างบทบาท

  1. เปิดเลคเฮ้าส์ที่คุณต้องการกําหนดความปลอดภัย
  2. ทางด้านขวาของริบบอนของเลคเฮ้าส์ ให้เลือกจัดการการเข้าถึงข้อมูล OneLake (ตัวอย่าง)
  3. ที่ด้านบนซ้ายของบานหน้าต่าง จัดการการเข้าถึง ข้อมูล OneLake ให้เลือก บทบาทใหม่ แล้วพิมพ์ชื่อบทบาทที่คุณต้องการ ชื่อบทบาทมีข้อจํากัดบางอย่าง:
    1. ชื่อบทบาทสามารถมีได้เฉพาะอักขระตัวอักษรและตัวเลขเท่านั้น
    2. ชื่อบทบาทต้องเริ่มต้นด้วยตัวอักษร
    3. ชื่อต้องตรงตามตัวพิมพ์ใหญ่-เล็ก และต้องไม่ซ้ํากัน
    4. ความยาวสูงสุดของชื่อคือ 128 อักขระ
  4. เลือกการ สลับโฟลเดอร์ ทั้งหมดถ้าคุณต้องการให้บทบาทนี้นําไปใช้กับทุกโฟลเดอร์ใน lakehouse นี้
    1. การเลือกนี้มีโฟลเดอร์ใดๆ ที่มีการเพิ่มไว้ในอนาคต
  5. เลือก โฟลเดอร์ ที่เลือกถ้าคุณต้องการนําบทบาทนี้ไปใช้กับโฟลเดอร์ที่เลือกเท่านั้น
    1. ทําเครื่องหมายในช่องที่อยู่ถัดจากโฟลเดอร์ที่คุณต้องการให้มีการใช้งานบทบาท
    2. บทบาทอนุญาตให้เข้าถึงโฟลเดอร์ หากต้องการอนุญาตให้ผู้ใช้เข้าถึงโฟลเดอร์ ให้เลือกช่องถัดจากโฟลเดอร์ดังกล่าว ถ้าผู้ใช้ไม่ควรเห็นโฟลเดอร์ ไม่ต้องเลือกกล่องกาเครื่องหมาย
    3. ที่ด้านล่างซ้าย เลือก บันทึก เพื่อสร้างบทบาทของคุณ
  6. ที่ด้านบนซ้าย ให้เลือก กําหนดบทบาท เพื่อเปิดบานหน้าต่างบทบาทการเป็นสมาชิก
  7. เพิ่มบุคคล กลุ่ม หรือที่อยู่อีเมลลงในตัวควบคุม เพิ่มบุคคลหรือกลุ่ม สําหรับข้อมูลเพิ่มเติม ดู กําหนดสมาชิกหรือกลุ่ม
  8. เลือก เพิ่ม เพื่อย้ายการเลือกของคุณไปยัง รายการผู้ใช้ ที่ได้รับมอบหมาย การเลือก เพิ่ม ยังไม่บันทึกการเลือกของคุณ
  9. เลือก บันทึก และรอการแจ้งเตือนที่เผยแพร่บทบาทเรียบร้อยแล้ว
  10. เลือก X ที่ด้านบนขวาเพื่อออกจากบานหน้าต่าง

แก้ไขบทบาท

  1. เปิดเลคเฮ้าส์ที่คุณต้องการกําหนดความปลอดภัย
  2. ทางด้านขวาของริบบอนของเลคเฮ้าส์ ให้เลือกจัดการการเข้าถึงข้อมูล OneLake (ตัวอย่าง)
  3. ในบานหน้าต่าง จัดการการเข้าถึง ข้อมูล OneLake ให้วางเมาส์เหนือบทบาทที่คุณต้องการแก้ไขและเลือก
  4. คุณสามารถเปลี่ยนโฟลเดอร์ที่ได้รับอนุญาตให้เข้าถึงได้โดยการเลือกหรือยกเลิกการเลือกกล่องกาเครื่องหมายที่อยู่ถัดจากแต่ละโฟลเดอร์
  5. หากต้องการเปลี่ยนบุคคล ให้เลือก กําหนดบทบาท สําหรับข้อมูลเพิ่มเติม ดู กําหนดสมาชิกหรือกลุ่ม
  6. หากต้องการเพิ่มบุคคล ให้พิมพ์ชื่อในกล่อง เพิ่มบุคคลหรือกลุ่ม และเลือก เพิ่ม
  7. เมื่อต้องการเอาบุคคลออก ให้เลือกชื่อของพวกเขาภายใต้ ผู้ใช้ที่ได้รับมอบหมาย และเลือก นําออก
  8. เลือก บันทึก และรอการแจ้งเตือนที่เผยแพร่บทบาทเรียบร้อยแล้ว
  9. เลือก X ที่ด้านบนขวาเพื่อออกจากบานหน้าต่าง

ลบบทบาท

  1. เปิดเลคเฮ้าส์ที่คุณต้องการกําหนดความปลอดภัย
  2. ทางด้านขวาของริบบอนของเลคเฮ้าส์ ให้เลือกจัดการการเข้าถึงข้อมูล OneLake (ตัวอย่าง)
  3. ในบานหน้าต่าง จัดการการเข้าถึง ข้อมูล OneLake ให้ทําเครื่องหมายที่กล่องถัดจากบทบาทที่คุณต้องการลบ
  4. เลือก ลบ และรอการแจ้งเตือนว่าลบบทบาทเรียบร้อยแล้ว
  5. เลือก X ที่ด้านบนขวาเพื่อออกจากบานหน้าต่าง

กําหนดสมาชิกหรือกลุ่ม

บทบาทการเข้าถึงข้อมูล OneLake สนับสนุนสองวิธีที่แตกต่างกันในการเพิ่มผู้ใช้ให้กับบทบาท วิธีหลักคือ การเพิ่มผู้ใช้หรือกลุ่มลงในบทบาทโดยตรงโดยใช้ กล่อง เพิ่มบุคคลหรือกลุ่ม บนหน้า กําหนดบทบาท ประการที่สองคือการใช้การเป็นสมาชิกเสมือนกับเพิ่มผู้ใช้โดยยึดตามการควบคุมสิทธิ์ของ Lakehouse

การเพิ่มผู้ใช้ลงในบทบาทโดยตรงด้วย กล่อง เพิ่มบุคคลหรือกลุ่ม เพิ่มผู้ใช้ในฐานะสมาชิกที่ชัดเจนของบทบาท ผู้ใช้เหล่านี้จะแสดงด้วยชื่อและรูปภาพของพวกเขาที่แสดงในรายการ บุคคลและกลุ่ม ที่ได้รับมอบหมาย

สมาชิกเสมือนอนุญาตให้สมาชิกของบทบาทสามารถปรับเปลี่ยนแบบไดนามิกโดยยึดตาม สิทธิ์ รายการ Fabric ของผู้ใช้ โดยการเลือก กล่องเพิ่มผู้ใช้ตามสิทธิ์ ของ Lakehouse และเลือกสิทธิ์ แสดงว่าคุณกําลังเพิ่มผู้ใช้ใด ๆ ในพื้นที่ทํางาน Fabric ที่มีสิทธิ์ที่เลือกทั้งหมดในฐานะสมาชิกโดยนัยของบทบาท ตัวอย่างเช่น ถ้าคุณเลือก ReadAll เขียน ผู้ใช้พื้นที่ทํางาน Fabric ที่มีสิทธิ์ ReadAll และ Write สําหรับรายการนั้นจะถูกรวมไว้ในฐานะสมาชิกของบทบาท คุณสามารถดูผู้ใช้ที่จะถูกเพิ่มเป็นสมาชิกเสมือน โดยการค้นหาค่า "สิทธิ์ของ Lakehouse" ภายใต้ คอลัมน์มอบหมายโดย ในรายการ ผู้ใช้ ที่ได้รับมอบหมาย สมาชิกเหล่านี้ไม่สามารถลบออกด้วยตนเองได้ และจําเป็นต้องมีสิทธิ์ Fabric ที่สอดคล้องกันถูกยกเลิกเพื่อไม่ให้ถูกกําหนดสิทธิ์

บทบาทการเข้าถึงข้อมูลรองรับการเพิ่มผู้ใช้รายบุคคล กลุ่ม Microsoft Entra และหลักความปลอดภัยโดยไม่คํานึงถึงประเภทการเป็นสมาชิก

การกําหนดสมาชิก

เมื่อต้องการไปยังหน้ากําหนดสมาชิกมีสองวิธี:

วิธีที่ 1

  1. เลือกชื่อของบทบาทที่คุณต้องการกําหนดสมาชิกให้
  2. ที่ด้านบนของหน้ารายละเอียดบทบาท เลือกกําหนดบทบาท

วิธีที่ 2

  1. จากรายการบทบาท ให้เลือกกล่องกาเครื่องหมายถัดจากบทบาทที่คุณต้องการกําหนดสมาชิกให้
  2. เลือก มอบหมาย

กําหนดผู้ใช้โดยตรง

จากหน้ากําหนดบทบาท คุณสามารถเพิ่มสมาชิกหรือกลุ่มโดยพิมพ์ชื่อหรือที่อยู่อีเมลของพวกเขาในกล่องเพิ่มบุคคลหรือกลุ่มได้ เลือกผลลัพธ์ที่คุณต้องการรวมผู้ใช้นั้น คุณสามารถทําซ้ําขั้นตอนนี้สําหรับผู้ใช้ได้มากเท่าที่คุณต้องการ ถ้าคุณเลือกผู้ใช้ที่ไม่ถูกต้อง คุณสามารถเลือก X ถัดจากรายการของพวกเขาเพื่อลบผู้ใช้ออกจากกล่อง หรือเลือก ล้าง เพื่อเอารายการทั้งหมดออก เมื่อคุณทําเสร็จแล้ว เลือก เพิ่ม เพื่อย้ายผู้ใช้ที่เลือกไปยังรายการการเข้าถึง การเพิ่มเขตข้อมูลเหล่านั้นลงในรายการยังไม่บันทึก นี่เป็นตัวอย่างของรายการสมาชิกบทบาทเมื่อมีการเพิ่มผู้ใช้เหล่านั้น และผู้ใช้ที่เพิ่มเข้าไปใหม่จะมีตัวบ่งชี้ถัดจากชื่อของพวกเขา

เมื่อต้องการเผยแพร่การเปลี่ยนแปลงการเข้าถึง ให้เลือก บันทึก ที่ด้านล่างของบานหน้าต่าง

กําหนดสมาชิกเสมือน

หากต้องการเพิ่มสมาชิกเสมือน ให้ใช้ กล่อง เพิ่มผู้ใช้ตามสิทธิ์ ของเลคเฮ้าส์ เลือกกล่องเพื่อเปิดตัวเลือกดรอปดาวน์เพื่อเลือกสิทธิ์ Fabric เพื่อจําลองเสมือน ผู้ใช้จะถูกจําลองเสมือนถ้าพวกเขามีสิทธิ์ที่ตรวจสอบทั้งหมด

สิทธิ์ที่สามารถใช้สําหรับการจําลองภาพเสมือนได้คือ:

  • อ่าน
  • เขียน
  • แชร์ต่อ
  • ดำเนินการ
  • ReadAll

หลังจากเลือกสิทธิ์แล้ว ให้เลือก เพิ่ม เพื่ออัปเดต รายการ ผู้ใช้ ที่ได้รับมอบหมาย ที่มีการเปลี่ยนแปลง ผู้ใช้มีข้อความอยู่ข้างชื่อของพวกเขาระบุว่าพวกเขาได้รับมอบหมายจากสิทธิ์ของเลคเฮ้าส์ ผู้ใช้เหล่านี้ไม่สามารถลบออกจากการกําหนดบทบาทด้วยตนเองได้ แต่ให้ลบสิทธิ์ที่เกี่ยวข้องออกจากเพิ่ม ผู้ใช้โดยยึดตามการควบคุมสิทธิ์ ของ Lakehouse หรือลบสิทธิ์ Fabric ออก

ปัญหาที่ทราบ

คุณลักษณะตัวอย่างการแชร์ข้อมูลภายนอกไม่เข้ากันกับตัวอย่างบทบาทการเข้าถึงข้อมูล เมื่อคุณเปิดใช้งานตัวอย่างบทบาทการเข้าถึงข้อมูลในเลคเฮ้าส์ การแชร์ข้อมูลภายนอกที่มีอยู่อาจหยุดทํางาน