OneLake-Verknüpfungssicherheit

Tastenkombinationen in OneLake dienen als Zeiger auf Daten, die sich in verschiedenen Speicherkonten befinden, ob in OneLake selbst oder in externen Systemen wie Azure Data Lake Storage (ADLS). In diesem Artikel werden die Berechtigungen erläutert, die erforderlich sind, um Verknüpfungen zu erstellen und mithilfe dieser auf Daten zuzugreifen.

Um die Komponenten einer Verknüpfung klar zu benennen, verwendet dieser Artikel die folgenden Begriffe:

  • Zielpfad: Der Standort, auf den eine Verknüpfung verweist.
  • Verknüpfungspfad: Der Ort, an dem die Verknüpfung erscheint.

Erstellen und Löschen von Verknüpfungen

Zum Erstellen einer Verknüpfung benötigen Sie Schreibberechtigungen für das Fabric Element, in dem Sie die Verknüpfung erstellen. Darüber hinaus benötigen Sie Lesezugriff auf die Daten, auf die die Tastenkombination verweist. Verknüpfungen zu externen Quellen könnten bestimmte Berechtigungen im externen System erfordern. Der Artikel Was sind Verknüpfungen? enthält die vollständige Liste der Verknüpfungstypen und erforderlichen Berechtigungen.

Funktion Berechtigung für Verknüpfungspfad Berechtigung für Zielpfad
Eine Verknüpfung erstellen Schreibberechtigung für Elemente oder OneLake-Sicherheit ReadWrite OneLake-Sicherheit Lesezugriff1
Eine Verknüpfung löschen Schreibberechtigung für Elemente oder OneLake-Sicherheit ReadWrite N/V

1 Für Elemente, die die Sicherheit von OneLake noch nicht unterstützen, ist diese Berechtigung die Berechtigung "ReadAll".

Zugreifen auf Verknüpfungen

Eine Kombination aus den Berechtigungen im Verknüpfungspfad und im Zielpfad regelt die Berechtigungen für Verknüpfungen. Wenn ein Benutzer auf eine Verknüpfung zugreift, wird die restriktivste Berechtigung der beiden Speicherorte angewendet. Daher kann ein Benutzer, der im Lakehouse Lese- und Schreibberechtigungen, für den Zielpfad jedoch nur Leseberechtigungen hat, nicht in den Zielpfad schreiben. Ebenso kann ein Benutzer, der im Lakehouse nur Leseberechtigungen, im Zielpfad jedoch Lese- und Schreibberechtigungen hat, ebenfalls nicht in den Zielpfad schreiben.

In dieser Tabelle sind die Berechtigungen aufgeführt, die für jede Tastenkombination erforderlich sind.

Funktion Berechtigung für Verknüpfungspfad Berechtigung für Zielpfad
Datei- oder Ordnerinhalt der Verknüpfung lesen OneLake-Sicherheit Lesezugriff1 OneLake-Sicherheit Leseberechtigung1, 2
Schreiben an den Zielspeicherort der Verknüpfung Elementschreibberechtigung oder OneLake-Sicherheit ReadWrite Schreibberechtigung für Elemente oder OneLake-Sicherheitsberechtigung ReadWrite

1 Für Elemente, die die Sicherheit von OneLake noch nicht unterstützen, ist diese Berechtigung die Berechtigung "ReadAll".

Wichtig

2Ausnahme bei der Identitätsweiterleitung: Während die OneLake-Sicherheit in der Regel die Identität des aufrufenden Benutzers durchläuft, um Berechtigungen zu erzwingen, funktionieren bestimmte Abfrage-Engines unterschiedlich. Beim Zugriff auf Verknüpfungsdaten über Power BI-Semantikmodelle mit DirectLake über SQL - oder T-SQL-Engines, die für den delegierten Identitätsmodus konfiguriert sind, übergeben diese Module nicht die Identität des aufrufenden Benutzers an das Verknüpfungsziel. Stattdessen verwenden sie die Identität des Elementbesitzers , um auf die Daten zuzugreifen, und wenden dann OneLake-Sicherheitsrollen an, um zu filtern, was der aufrufende Benutzer sehen kann.

Diese Bedingung bedeutet:

  • Auf das Verknüpfungsziel wird mithilfe der Berechtigungen des Elementbesitzers (nicht der Endbenutzer) zugegriffen.
  • OneLake-Sicherheitsrollen bestimmen weiterhin, welche Daten der Endbenutzer lesen kann
  • Alle Berechtigungen, die direkt im Verknüpfungszielpfad für den Endbenutzer konfiguriert sind, werden umgangen.

OneLake-Sicherheit

Mit der OneLake-Sicherheit können Sie rollenbasierte Zugriffssteuerung (RBAC) auf Ihre in OneLake gespeicherten Daten anwenden. Sie können Sicherheitsrollen definieren, die Lesezugriff auf bestimmte Tabellen und Ordner innerhalb eines Fabric-Elements gewähren und diese Benutzern oder Gruppen zuweisen. Die Zugriffsberechtigungen bestimmen, was Benutzer in allen Modulen in Fabric tun können, um eine konsistente Zugriffssteuerung sicherzustellen.

Benutzer in den Rollen "Administrator", "Mitglied" und "Mitwirkender" haben vollständigen Zugriff, um Daten aus einer Verknüpfung zu lesen, unabhängig von den definierten OneLake-Datenzugriffsrollen. Sie benötigen jedoch weiterhin Zugriff sowohl auf den Verknüpfungspfad als auch auf den Zielpfad, wie in Workspace roles erwähnt.

Benutzer in der Rolle „Viewer“ oder Benutzer, denen direkt ein Lakehouse freigegeben wurde, haben nur dann Zugriff, wenn der Benutzer über eine OneLake-Datenzugriffsrolle Zugriff hat. Weitere Informationen zum Zugriffssteuerungsmodell mit Verknüpfungen finden Sie unter Datenzugriffssteuerungsmodell in OneLake.

Benutzer in Viewer-Rollen können Verknüpfungen erstellen, wenn sie Über ReadWrite-Berechtigungen für den Pfad verfügen, in dem die Verknüpfung erstellt wird.

In der folgenden Tabelle sind die erforderlichen Berechtigungen zum Ausführen von Verknüpfungsvorgängen dargestellt.

Schnellzugriff Berechtigung für Verknüpfungspfad Berechtigung für Zielpfad
Erstellen Fabric Read und OneLake-Sicherheit Lese/Schreibzugriff OneLake-Sicherheit anzeigen
Lesen (GET/LIST-Tastenkombinationen) Fabric-Lesezugriff und OneLake-Sicherheitslesezugriff N/V
Update Fabric Read und OneLake-Sicherheit Lese/Schreibzugriff OneLake-Sicherheit abrufen (auf das neue Ziel)
Löschen Fabric Read und OneLake-Sicherheit Lese/Schreibzugriff N/V

Authentifizierungsmodelle für Tastenkürzel

OneLake-Tastenkombinationen verwenden zwei Authentifizierungsmodelle: Passthrough und delegiert. Das Modell hängt vom Typ der Verknüpfung ab.

Tastenkombinationstyp Authentifizierungsmodell Details
OneLake zu OneLake Passthrough oder delegiert Passthrough ist die Standardeinstellung. Wenn Sie stattdessen delegierte Authentifizierung verwenden möchten, wählen Sie beim Erstellen der Verknüpfungdelegierte Identität als Verbindungsmethode aus.
Extern (Multicloud) Nur delegiert Benutzer können ohne direkten Zugriff auf das externe System auf externe Daten zugreifen. Konfigurieren Sie die OneLake-Sicherheit für die Verknüpfung, um zu steuern, auf welche Daten im externen System zugegriffen werden darf.

Passthrough-Authentifizierung

Im Passthrough-Modell greift die Verknüpfung auf Daten am Zielort zu, indem die Benutzeridentität an das Zielsystem weitergegeben wird. Jeder Benutzer, der auf die Verknüpfung zugreift, kann nur die Daten sehen, auf die er im Ziel Zugriff hat. Das Quellsystem behält die vollständige Kontrolle über seine Daten bei, und es ist nicht erforderlich, Zugriffssteuerungen zu replizieren oder neu zu definieren.

Diagramm, in dem die Benutzeridentität angezeigt wird, die entlang der Verknüpfung zum Zielpfad übergeben wird.

Delegierte Authentifizierung

Im delegierten Modell greift die Verknüpfung mithilfe einer zwischengeschalteten Anmeldeinformation auf Daten zu, z. B. der Identität eines anderen Benutzers, einem Dienstprinzipal oder einem Kontoschlüssel. Delegierte Verknüpfungen ermöglichen es, die Berechtigungsverwaltung auszugliedern oder zur Verwaltung an ein anderes Team oder einen nachgelagerten Benutzer zu delegieren. Alle delegierten Tastenkombinationen in OneLake können oneLake-Sicherheitsrollen für sie definiert haben.

Tastenkombinationen zu externen Systemen wie Amazon S3 oder Google Cloud Storage verwenden immer delegierte Authentifizierung. Verknüpfungen zu internen OneLake-Zielen können delegierte Authentifizierung verwenden, wenn sie zum Zeitpunkt der Verknüpfungserstellung konfiguriert ist.

Diagramm mit der delegierten Identität, die für den Zugriff auf die Daten im Verknüpfungsziel verwendet wird.

Delegierte OneLake-Tastenkombinationen

Delegierte OneLake-Verknüpfungen verwenden eine konfigurierte Verbindungsidentität anstelle der Identität des angemeldeten Benutzers. Beim Zugriff auf eine delegierte Verknüpfung sieht der aufrufende Benutzer die Schnittmenge seiner Sicherheit und die Sicherheit, die für die delegierte Identität gilt. In der folgenden Tabelle werden Beispielszenarien beschrieben.

Berechtigung für Verknüpfungspfad (Consumer) Berechtigung für Zielpfad (Produzent) Resultierender Zugriff
Vollzugriff Vollzugriff Vollzugriff
Vollzugriff CLS - nur Spalten C1, C2 CLS - nur Spalten C1, C2
CLS - nur Spalte C1 CLS - nur Spalten C1, C2 CLS - nur Spalte C1

Die folgenden Sicherheitsüberlegungen gelten für delegierte Tastenkombinationen:

  • Die Sicherheit auf Spaltenebene (CLS) wird für das Verknüpfungsziel mit delegierten Tastenkombinationen unterstützt. CLS funktioniert sowohl für das Ziel als auch für die Verknüpfung selbst.
  • Die Sicherheit auf Zeilenebene (RLS) wird für delegierte Tastenkombinationen nicht unterstützt.
  • Zusätzlich zum OneLake-Sicherheitszugriff auf den Zielpfad erfordert der Zugriff auf externe Verknüpfungen über Spark- oder direkte API-Aufrufe auch Leseberechtigungen für das Element, das den externen Verknüpfungspfad enthält.