หมายเหตุ
การเข้าถึงหน้านี้ต้องได้รับการอนุญาต คุณสามารถลอง ลงชื่อเข้าใช้หรือเปลี่ยนไดเรกทอรีได้
การเข้าถึงหน้านี้ต้องได้รับการอนุญาต คุณสามารถลองเปลี่ยนไดเรกทอรีได้
ทางลัดใน OneLake ทําหน้าที่เป็นตัวชี้ไปยังข้อมูลที่อยู่ในบัญชีที่เก็บข้อมูลต่างๆ ไม่ว่าจะภายใน OneLake เองหรือในระบบภายนอก เช่น Azure Data Lake Storage (ADLS) บทความนี้อธิบายสิทธิ์ที่จําเป็นในการสร้างทางลัดและเข้าถึงข้อมูลโดยใช้ทางลัด
บทความนี้ใช้คําศัพท์ต่อไปนี้
- เส้นทางเป้าหมาย: ตําแหน่งที่ทางลัดชี้ไป
- เส้นทางทางลัด: ตําแหน่งที่ทางลัดปรากฏขึ้น
สร้างและลบทางลัด
เมื่อต้องการสร้างคําสั่งลัด คุณต้องมีสิทธิ์การอนุญาตเขียน บนรายการ Fabric ที่คุณสร้างคําสั่งลัด นอกจากนี้ คุณต้องมีสิทธิ์อ่านข้อมูลที่ทางลัดชี้ไป ทางลัดไปยังแหล่งข้อมูลภายนอกอาจต้องมีสิทธิ์บางอย่างในระบบภายนอก บทความ ทางลัด คืออะไรมีรายการทั้งหมดของชนิดทางลัดและสิทธิ์ที่จําเป็น
| สมรรถนะ | สิทธิ์บนเส้นทางทางลัด | สิทธิ์บนเส้นทางเป้าหมาย |
|---|---|---|
| สร้างทางลัด | สิทธิ์การเขียนรายการหรือการรักษาความปลอดภัย OneLake ReadWrite | การรักษาความปลอดภัย OneLake อ่าน1 |
| ลบปุ่มลัด | สิทธิ์การเขียนรายการหรือการรักษาความปลอดภัย OneLake ReadWrite | ไม่ระบุ |
1 สําหรับรายการที่ยังไม่รองรับการรักษาความปลอดภัย OneLake สิทธิ์นี้จะเป็นรายการ สิทธิ์ ReadAll
การเข้าถึงทางลัด
การรวมกันของสิทธิ์ในเส้นทางทางลัดและเส้นทางเป้าหมายจะควบคุมสิทธิ์สําหรับทางลัด เมื่อผู้ใช้เข้าถึงทางลัด สิทธิ์ที่เข้มงวดที่สุดของทั้งสองตําแหน่งจะถูกนําไปใช้ ผู้ใช้ที่มีสิทธิ์อ่านและเขียนในเลคเฮาส์ แต่มีสิทธิ์อ่านในเส้นทางเป้าหมายเท่านั้นไม่สามารถเขียนไปยังเส้นทางเป้าหมายได้ ในทํานองเดียวกัน ผู้ใช้ที่มีสิทธิ์อ่านในเลคเฮาส์เท่านั้น แต่มีสิทธิ์อ่านและเขียนในเส้นทางเป้าหมายก็ไม่สามารถเขียนไปยังเส้นทางเป้าหมายได้เช่นกัน
ตารางนี้แสดงสิทธิ์ที่จําเป็นสําหรับการทํางานคําสั่งลัดแต่ละรายการ
| สมรรถนะ | สิทธิ์บนเส้นทางทางลัด | สิทธิ์บนเส้นทางเป้าหมาย |
|---|---|---|
| อ่านเนื้อหาไฟล์หรือโฟลเดอร์ของทางลัด | การรักษาความปลอดภัย OneLake อ่าน1 | ความปลอดภัยของ OneLake อ่าน1, 2 |
| เขียนไปยังตําแหน่งเป้าหมายทางลัด | สิทธิ์การเขียนรายการหรือการรักษาความปลอดภัย OneLake ReadWrite | สิทธิ์การเขียนรายการหรือการรักษาความปลอดภัย OneLake ReadWrite |
1 สําหรับรายการที่ยังไม่รองรับการรักษาความปลอดภัย OneLake สิทธิ์นี้จะเป็นรายการ สิทธิ์ ReadAll
สำคัญ
2ข้อยกเว้นในการส่งผ่านข้อมูลประจําตัว: แม้ว่าโดยทั่วไปแล้วการรักษาความปลอดภัยของ OneLake จะส่งผ่านข้อมูลประจําตัวของผู้ใช้ที่เรียกเพื่อบังคับใช้สิทธิ์ แต่กลไกการสืบค้นบางตัวจะทํางานแตกต่างกัน เมื่อเข้าถึงข้อมูลทางลัดผ่านแบบจําลองความหมายของ Power BI โดยใช้ DirectLake ผ่านกลไกจัดการ SQL หรือ T-SQL ที่กําหนดค่าสําหรับโหมดข้อมูลประจําตัวที่ได้รับมอบหมาย กลไกจัดการเหล่านี้จะไม่ส่งผ่านข้อมูลประจําตัวของผู้ใช้ที่เรียกไปยังเป้าหมายทางลัด พวกเขาใช้ ข้อมูลประจําตัวของเจ้าของสินค้า เพื่อเข้าถึงข้อมูล แล้วใช้บทบาทความปลอดภัย OneLake เพื่อกรองสิ่งที่ผู้ใช้ที่โทรสามารถเห็นได้
เงื่อนไขนี้หมายถึง:
- เป้าหมายทางลัดสามารถเข้าถึงได้โดยใช้สิทธิ์ของเจ้าของรายการ (ไม่ใช่ของผู้ใช้ปลายทาง)
- บทบาทความปลอดภัยของ OneLake ยังคงกําหนดข้อมูลที่ผู้ใช้สามารถอ่านได้
- สิทธิ์ใดๆ ที่กําหนดค่าโดยตรงที่เส้นทางเป้าหมายทางลัดสําหรับผู้ใช้ปลายทางจะถูกข้าม
ความปลอดภัยของ OneLake
การรักษาความปลอดภัยของ OneLake ช่วยให้คุณสามารถใช้การควบคุมการเข้าถึงตามบทบาท (RBAC) กับข้อมูลของคุณที่จัดเก็บไว้ใน OneLake คุณสามารถกําหนด Security role ที่ให้สิทธิ์การเข้าถึงการอ่านไปยังตารางและโฟลเดอร์เฉพาะภายในรายการ Fabric และกําหนดให้กับผู้ใช้หรือกลุ่ม สิทธิ์การเข้าถึงจะกําหนดสิ่งที่ผู้ใช้สามารถทําได้ในทุกกลไกใน Fabric เพื่อให้มั่นใจว่ามีการควบคุมการเข้าถึงที่สอดคล้องกัน
ผู้ใช้ในบทบาทผู้ดูแลระบบ สมาชิก และผู้สนับสนุนมีสิทธิ์เข้าถึงอย่างเต็มที่ในการอ่านข้อมูลจากทางลัดโดยไม่คํานึงถึงบทบาทการเข้าถึงข้อมูล OneLake ที่กําหนดไว้ อย่างไรก็ตาม พวกเขายังคงต้องเข้าถึงทั้งเส้นทางทางลัดและเส้นทางเป้าหมายตามที่กล่าวไว้ในบทบาทพื้นที่ทํางาน
ผู้ใช้ในบทบาท ผู้ชม หรือผู้ใช้ที่มีเลคเฮาส์ที่แชร์กับพวกเขาโดยตรงจะถูกจํากัดการเข้าถึงโดยขึ้นอยู่กับว่าผู้ใช้มีสิทธิ์เข้าถึงผ่านบทบาทการเข้าถึงข้อมูล OneLake หรือไม่ สําหรับข้อมูลเพิ่มเติมเกี่ยวกับแบบจําลองการควบคุมการเข้าถึงด้วยทางลัด โปรดดู แบบจําลองการควบคุมการเข้าถึงข้อมูลใน OneLake
ผู้ใช้ในบทบาท Viewer สามารถสร้างคําสั่งลัดได้หากพวกเขามีสิทธิ์ ReadWrite บนเส้นทางที่สร้างคําสั่งลัด
ตารางต่อไปนี้แสดงสิทธิ์ที่จําเป็นในการดําเนินการทางลัด
| การทํางานของทางลัด | สิทธิ์บนเส้นทางทางลัด | สิทธิ์บนเส้นทางเป้าหมาย |
|---|---|---|
| สร้าง | Fabric Read และ OneLake security ReadWrite | การรักษาความปลอดภัย OneLake อ่าน |
| อ่าน (ทางลัด GET/LIST) | การอ่าน Fabric และการ อ่านความปลอดภัยของ OneLake | ไม่ระบุ |
| อัปเดต | Fabric Read และ OneLake security ReadWrite | การรักษาความปลอดภัย OneLake อ่าน (ในเป้าหมายใหม่) |
| ลบ | Fabric Read และ OneLake security ReadWrite | ไม่ระบุ |
โมเดลการรับรองความถูกต้องทางลัด
ทางลัด OneLake ใช้รูปแบบการรับรองความถูกต้องสองรูปแบบ: การส่งผ่านและผู้รับมอบสิทธิ์ รุ่นขึ้นอยู่กับประเภทของทางลัด
| ประเภททางลัด | รุ่นการรับรองความถูกต้อง | รายละเอียด |
|---|---|---|
| OneLake ไปยัง OneLake | Passthrough หรือได้รับมอบหมาย | การส่งผ่านเป็นค่าเริ่มต้น หากต้องการใช้การรับรองความถูกต้องที่ได้รับมอบสิทธิ์แทน ให้เลือกข้อมูลประจําตัวที่ได้รับมอบสิทธิ์เป็นวิธีการเชื่อมต่อเมื่อสร้างทางลัด |
| ภายนอก (มัลติคลาวด์) | มอบสิทธิ์เท่านั้น | ผู้ใช้สามารถเข้าถึงข้อมูลภายนอกได้โดยไม่ต้องเข้าถึงระบบภายนอกโดยตรง กําหนดค่าความปลอดภัยของ OneLake บนทางลัดเพื่อควบคุมข้อมูลที่สามารถเข้าถึงได้ในระบบภายนอก |
การรับรองความถูกต้องแบบพาสทรู
ในโมเดลพาสทรู ทางลัดจะเข้าถึงข้อมูลในตําแหน่งเป้าหมายโดยส่งข้อมูลประจําตัวของผู้ใช้ไปยังระบบเป้าหมาย ผู้ใช้ที่เข้าถึงคําสั่งลัดจะเห็นเฉพาะข้อมูลที่พวกเขาสามารถเข้าถึงได้ในเป้าหมายเท่านั้น ระบบต้นทางยังคงควบคุมข้อมูลได้อย่างเต็มที่ และไม่จําเป็นต้องทําซ้ําหรือกําหนดการควบคุมการเข้าถึงใหม่
การรับรองความถูกต้องที่ได้รับมอบหมาย
ในรูปแบบที่ได้รับมอบหมาย คําสั่งลัดจะเข้าถึงข้อมูลโดยใช้ข้อมูลประจําตัวระดับกลาง เช่น ข้อมูลประจําตัวของผู้ใช้รายอื่น ทางลัดที่ได้รับมอบหมายช่วยให้สามารถแยกการจัดการสิทธิ์หรือ "มอบหมาย" ให้กับทีมอื่นหรือผู้ใช้ดาวน์สตรีมเพื่อจัดการได้ ทางลัดที่ได้รับมอบหมายทั้งหมดใน OneLake สามารถกําหนดบทบาทความปลอดภัย OneLake ไว้ได้
ทางลัดไปยังระบบภายนอก เช่น Amazon S3 หรือ Google Cloud Storage จะใช้การรับรองความถูกต้องที่ได้รับมอบหมายเสมอ ทางลัดไปยังเป้าหมาย OneLake ภายในสามารถใช้การรับรองความถูกต้องที่ได้รับมอบหมายได้หากมีการกําหนดค่าในขณะที่สร้างทางลัด
ทางลัด OneLake ที่ได้รับมอบหมาย
ทางลัด OneLake ที่ได้รับมอบหมายจะใช้ข้อมูลประจําตัวการเชื่อมต่อที่กําหนดค่าไว้แทนข้อมูลประจําตัวของผู้ใช้ที่ลงชื่อเข้าใช้ เมื่อเข้าถึงทางลัดที่ได้รับมอบหมาย ผู้ใช้ที่โทรจะเห็นจุดตัดของความปลอดภัยและความปลอดภัยที่ใช้กับข้อมูลประจําตัวที่ได้รับมอบหมาย ตารางต่อไปนี้สรุปสถานการณ์ตัวอย่าง
| สิทธิ์บนเส้นทางทางลัด (ผู้บริโภค) | สิทธิ์ในเส้นทางเป้าหมาย (ผู้ผลิต) | การเข้าถึงที่เป็นผลลัพธ์ |
|---|---|---|
| การเข้าถึงแบบเต็มที่ | การเข้าถึงแบบเต็มที่ | การเข้าถึงแบบเต็มที่ |
| การเข้าถึงแบบเต็มที่ | CLS - เฉพาะคอลัมน์ C1, C2 | CLS - เฉพาะคอลัมน์ C1, C2 |
| CLS - เฉพาะคอลัมน์ C1 | CLS - เฉพาะคอลัมน์ C1, C2 | CLS - เฉพาะคอลัมน์ C1 |
ข้อควรพิจารณาด้านความปลอดภัยต่อไปนี้ใช้กับทางลัดที่ได้รับมอบหมาย:
- การรักษาความปลอดภัยระดับคอลัมน์ (CLS) ได้รับการสนับสนุนสําหรับเป้าหมายทางลัดที่มีทางลัดที่ได้รับมอบหมาย CLS ทํางานได้ทั้งบนเป้าหมายและทางลัดเอง
- การรักษาความปลอดภัยระดับแถว (RLS) ไม่ได้รับการสนับสนุนสําหรับทางลัดที่ได้รับมอบหมาย
- นอกเหนือจากการเข้าถึงเส้นทางเป้าหมายเพื่อความปลอดภัยของ OneLake แล้ว การเข้าถึงทางลัดภายนอกผ่าน Spark หรือการเรียก API โดยตรงยังต้องมีสิทธิ์ในการอ่านในรายการที่มีเส้นทางทางลัดภายนอกอีกด้วย