การรักษาความปลอดภัยทางลัด OneLake

ทางลัดใน OneLake ทําหน้าที่เป็นตัวชี้ไปยังข้อมูลที่อยู่ในบัญชีที่เก็บข้อมูลต่างๆ ไม่ว่าจะภายใน OneLake เองหรือในระบบภายนอก เช่น Azure Data Lake Storage (ADLS) บทความนี้อธิบายสิทธิ์ที่จําเป็นในการสร้างทางลัดและเข้าถึงข้อมูลโดยใช้ทางลัด

บทความนี้ใช้คําศัพท์ต่อไปนี้

  • เส้นทางเป้าหมาย: ตําแหน่งที่ทางลัดชี้ไป
  • เส้นทางทางลัด: ตําแหน่งที่ทางลัดปรากฏขึ้น

สร้างและลบทางลัด

เมื่อต้องการสร้างคําสั่งลัด คุณต้องมีสิทธิ์การอนุญาตเขียน บนรายการ Fabric ที่คุณสร้างคําสั่งลัด นอกจากนี้ คุณต้องมีสิทธิ์อ่านข้อมูลที่ทางลัดชี้ไป ทางลัดไปยังแหล่งข้อมูลภายนอกอาจต้องมีสิทธิ์บางอย่างในระบบภายนอก บทความ ทางลัด คืออะไรมีรายการทั้งหมดของชนิดทางลัดและสิทธิ์ที่จําเป็น

สมรรถนะ สิทธิ์บนเส้นทางทางลัด สิทธิ์บนเส้นทางเป้าหมาย
สร้างทางลัด สิทธิ์การเขียนรายการหรือการรักษาความปลอดภัย OneLake ReadWrite การรักษาความปลอดภัย OneLake อ่าน1
ลบปุ่มลัด สิทธิ์การเขียนรายการหรือการรักษาความปลอดภัย OneLake ReadWrite ไม่ระบุ

1 สําหรับรายการที่ยังไม่รองรับการรักษาความปลอดภัย OneLake สิทธิ์นี้จะเป็นรายการ สิทธิ์ ReadAll

การเข้าถึงทางลัด

การรวมกันของสิทธิ์ในเส้นทางทางลัดและเส้นทางเป้าหมายจะควบคุมสิทธิ์สําหรับทางลัด เมื่อผู้ใช้เข้าถึงทางลัด สิทธิ์ที่เข้มงวดที่สุดของทั้งสองตําแหน่งจะถูกนําไปใช้ ผู้ใช้ที่มีสิทธิ์อ่านและเขียนในเลคเฮาส์ แต่มีสิทธิ์อ่านในเส้นทางเป้าหมายเท่านั้นไม่สามารถเขียนไปยังเส้นทางเป้าหมายได้ ในทํานองเดียวกัน ผู้ใช้ที่มีสิทธิ์อ่านในเลคเฮาส์เท่านั้น แต่มีสิทธิ์อ่านและเขียนในเส้นทางเป้าหมายก็ไม่สามารถเขียนไปยังเส้นทางเป้าหมายได้เช่นกัน

ตารางนี้แสดงสิทธิ์ที่จําเป็นสําหรับการทํางานคําสั่งลัดแต่ละรายการ

สมรรถนะ สิทธิ์บนเส้นทางทางลัด สิทธิ์บนเส้นทางเป้าหมาย
อ่านเนื้อหาไฟล์หรือโฟลเดอร์ของทางลัด การรักษาความปลอดภัย OneLake อ่าน1 ความปลอดภัยของ OneLake อ่าน1, 2
เขียนไปยังตําแหน่งเป้าหมายทางลัด สิทธิ์การเขียนรายการหรือการรักษาความปลอดภัย OneLake ReadWrite สิทธิ์การเขียนรายการหรือการรักษาความปลอดภัย OneLake ReadWrite

1 สําหรับรายการที่ยังไม่รองรับการรักษาความปลอดภัย OneLake สิทธิ์นี้จะเป็นรายการ สิทธิ์ ReadAll

สำคัญ

2ข้อยกเว้นในการส่งผ่านข้อมูลประจําตัว: แม้ว่าโดยทั่วไปแล้วการรักษาความปลอดภัยของ OneLake จะส่งผ่านข้อมูลประจําตัวของผู้ใช้ที่เรียกเพื่อบังคับใช้สิทธิ์ แต่กลไกการสืบค้นบางตัวจะทํางานแตกต่างกัน เมื่อเข้าถึงข้อมูลทางลัดผ่านแบบจําลองความหมายของ Power BI โดยใช้ DirectLake ผ่านกลไกจัดการ SQL หรือ T-SQL ที่กําหนดค่าสําหรับโหมดข้อมูลประจําตัวที่ได้รับมอบหมาย กลไกจัดการเหล่านี้จะไม่ส่งผ่านข้อมูลประจําตัวของผู้ใช้ที่เรียกไปยังเป้าหมายทางลัด พวกเขาใช้ ข้อมูลประจําตัวของเจ้าของสินค้า เพื่อเข้าถึงข้อมูล แล้วใช้บทบาทความปลอดภัย OneLake เพื่อกรองสิ่งที่ผู้ใช้ที่โทรสามารถเห็นได้

เงื่อนไขนี้หมายถึง:

  • เป้าหมายทางลัดสามารถเข้าถึงได้โดยใช้สิทธิ์ของเจ้าของรายการ (ไม่ใช่ของผู้ใช้ปลายทาง)
  • บทบาทความปลอดภัยของ OneLake ยังคงกําหนดข้อมูลที่ผู้ใช้สามารถอ่านได้
  • สิทธิ์ใดๆ ที่กําหนดค่าโดยตรงที่เส้นทางเป้าหมายทางลัดสําหรับผู้ใช้ปลายทางจะถูกข้าม

ความปลอดภัยของ OneLake

การรักษาความปลอดภัยของ OneLake ช่วยให้คุณสามารถใช้การควบคุมการเข้าถึงตามบทบาท (RBAC) กับข้อมูลของคุณที่จัดเก็บไว้ใน OneLake คุณสามารถกําหนด Security role ที่ให้สิทธิ์การเข้าถึงการอ่านไปยังตารางและโฟลเดอร์เฉพาะภายในรายการ Fabric และกําหนดให้กับผู้ใช้หรือกลุ่ม สิทธิ์การเข้าถึงจะกําหนดสิ่งที่ผู้ใช้สามารถทําได้ในทุกกลไกใน Fabric เพื่อให้มั่นใจว่ามีการควบคุมการเข้าถึงที่สอดคล้องกัน

ผู้ใช้ในบทบาทผู้ดูแลระบบ สมาชิก และผู้สนับสนุนมีสิทธิ์เข้าถึงอย่างเต็มที่ในการอ่านข้อมูลจากทางลัดโดยไม่คํานึงถึงบทบาทการเข้าถึงข้อมูล OneLake ที่กําหนดไว้ อย่างไรก็ตาม พวกเขายังคงต้องเข้าถึงทั้งเส้นทางทางลัดและเส้นทางเป้าหมายตามที่กล่าวไว้ในบทบาทพื้นที่ทํางาน

ผู้ใช้ในบทบาท ผู้ชม หรือผู้ใช้ที่มีเลคเฮาส์ที่แชร์กับพวกเขาโดยตรงจะถูกจํากัดการเข้าถึงโดยขึ้นอยู่กับว่าผู้ใช้มีสิทธิ์เข้าถึงผ่านบทบาทการเข้าถึงข้อมูล OneLake หรือไม่ สําหรับข้อมูลเพิ่มเติมเกี่ยวกับแบบจําลองการควบคุมการเข้าถึงด้วยทางลัด โปรดดู แบบจําลองการควบคุมการเข้าถึงข้อมูลใน OneLake

ผู้ใช้ในบทบาท Viewer สามารถสร้างคําสั่งลัดได้หากพวกเขามีสิทธิ์ ReadWrite บนเส้นทางที่สร้างคําสั่งลัด

ตารางต่อไปนี้แสดงสิทธิ์ที่จําเป็นในการดําเนินการทางลัด

การทํางานของทางลัด สิทธิ์บนเส้นทางทางลัด สิทธิ์บนเส้นทางเป้าหมาย
สร้าง Fabric Read และ OneLake security ReadWrite การรักษาความปลอดภัย OneLake อ่าน
อ่าน (ทางลัด GET/LIST) การอ่าน Fabric และการ อ่านความปลอดภัยของ OneLake ไม่ระบุ
อัปเดต Fabric Read และ OneLake security ReadWrite การรักษาความปลอดภัย OneLake อ่าน (ในเป้าหมายใหม่)
ลบ Fabric Read และ OneLake security ReadWrite ไม่ระบุ

โมเดลการรับรองความถูกต้องทางลัด

ทางลัด OneLake ใช้รูปแบบการรับรองความถูกต้องสองรูปแบบ: การส่งผ่านและผู้รับมอบสิทธิ์ รุ่นขึ้นอยู่กับประเภทของทางลัด

ประเภททางลัด รุ่นการรับรองความถูกต้อง รายละเอียด
OneLake ไปยัง OneLake Passthrough หรือได้รับมอบหมาย การส่งผ่านเป็นค่าเริ่มต้น หากต้องการใช้การรับรองความถูกต้องที่ได้รับมอบสิทธิ์แทน ให้เลือกข้อมูลประจําตัวที่ได้รับมอบสิทธิ์เป็นวิธีการเชื่อมต่อเมื่อสร้างทางลัด
ภายนอก (มัลติคลาวด์) มอบสิทธิ์เท่านั้น ผู้ใช้สามารถเข้าถึงข้อมูลภายนอกได้โดยไม่ต้องเข้าถึงระบบภายนอกโดยตรง กําหนดค่าความปลอดภัยของ OneLake บนทางลัดเพื่อควบคุมข้อมูลที่สามารถเข้าถึงได้ในระบบภายนอก

การรับรองความถูกต้องแบบพาสทรู

ในโมเดลพาสทรู ทางลัดจะเข้าถึงข้อมูลในตําแหน่งเป้าหมายโดยส่งข้อมูลประจําตัวของผู้ใช้ไปยังระบบเป้าหมาย ผู้ใช้ที่เข้าถึงคําสั่งลัดจะเห็นเฉพาะข้อมูลที่พวกเขาสามารถเข้าถึงได้ในเป้าหมายเท่านั้น ระบบต้นทางยังคงควบคุมข้อมูลได้อย่างเต็มที่ และไม่จําเป็นต้องทําซ้ําหรือกําหนดการควบคุมการเข้าถึงใหม่

ไดอะแกรมที่แสดงข้อมูลประจําตัวของผู้ใช้ที่ส่งผ่านไปตามทางลัดไปยังเส้นทางเป้าหมาย

การรับรองความถูกต้องที่ได้รับมอบหมาย

ในรูปแบบที่ได้รับมอบหมาย คําสั่งลัดจะเข้าถึงข้อมูลโดยใช้ข้อมูลประจําตัวระดับกลาง เช่น ข้อมูลประจําตัวของผู้ใช้รายอื่น ทางลัดที่ได้รับมอบหมายช่วยให้สามารถแยกการจัดการสิทธิ์หรือ "มอบหมาย" ให้กับทีมอื่นหรือผู้ใช้ดาวน์สตรีมเพื่อจัดการได้ ทางลัดที่ได้รับมอบหมายทั้งหมดใน OneLake สามารถกําหนดบทบาทความปลอดภัย OneLake ไว้ได้

ทางลัดไปยังระบบภายนอก เช่น Amazon S3 หรือ Google Cloud Storage จะใช้การรับรองความถูกต้องที่ได้รับมอบหมายเสมอ ทางลัดไปยังเป้าหมาย OneLake ภายในสามารถใช้การรับรองความถูกต้องที่ได้รับมอบหมายได้หากมีการกําหนดค่าในขณะที่สร้างทางลัด

ไดอะแกรมแสดงข้อมูลประจําตัวที่ได้รับมอบหมายที่ใช้ในการเข้าถึงข้อมูลในเป้าหมายทางลัด

ทางลัด OneLake ที่ได้รับมอบหมาย

ทางลัด OneLake ที่ได้รับมอบหมายจะใช้ข้อมูลประจําตัวการเชื่อมต่อที่กําหนดค่าไว้แทนข้อมูลประจําตัวของผู้ใช้ที่ลงชื่อเข้าใช้ เมื่อเข้าถึงทางลัดที่ได้รับมอบหมาย ผู้ใช้ที่โทรจะเห็นจุดตัดของความปลอดภัยและความปลอดภัยที่ใช้กับข้อมูลประจําตัวที่ได้รับมอบหมาย ตารางต่อไปนี้สรุปสถานการณ์ตัวอย่าง

สิทธิ์บนเส้นทางทางลัด (ผู้บริโภค) สิทธิ์ในเส้นทางเป้าหมาย (ผู้ผลิต) การเข้าถึงที่เป็นผลลัพธ์
การเข้าถึงแบบเต็มที่ การเข้าถึงแบบเต็มที่ การเข้าถึงแบบเต็มที่
การเข้าถึงแบบเต็มที่ CLS - เฉพาะคอลัมน์ C1, C2 CLS - เฉพาะคอลัมน์ C1, C2
CLS - เฉพาะคอลัมน์ C1 CLS - เฉพาะคอลัมน์ C1, C2 CLS - เฉพาะคอลัมน์ C1

ข้อควรพิจารณาด้านความปลอดภัยต่อไปนี้ใช้กับทางลัดที่ได้รับมอบหมาย:

  • การรักษาความปลอดภัยระดับคอลัมน์ (CLS) ได้รับการสนับสนุนสําหรับเป้าหมายทางลัดที่มีทางลัดที่ได้รับมอบหมาย CLS ทํางานได้ทั้งบนเป้าหมายและทางลัดเอง
  • การรักษาความปลอดภัยระดับแถว (RLS) ไม่ได้รับการสนับสนุนสําหรับทางลัดที่ได้รับมอบหมาย
  • นอกเหนือจากการเข้าถึงเส้นทางเป้าหมายเพื่อความปลอดภัยของ OneLake แล้ว การเข้าถึงทางลัดภายนอกผ่าน Spark หรือการเรียก API โดยตรงยังต้องมีสิทธิ์ในการอ่านในรายการที่มีเส้นทางทางลัดภายนอกอีกด้วย