Anwenden differenzierter Berechtigungen
Wenn die von Arbeitsbereichsrollen oder Elementberechtigungen bereitgestellten Berechtigungen unzureichend sind, können Sie wie folgt differenzierte Berechtigungen wie Sicherheit auf Tabellen- oder Zeilenebene und Datei- und Ordnerzugriff festlegen:
- SQL-Analyseendpunkt
- OneLake-Datenzugriffsrollen (Vorschau)
- Warehouse
- Semantikmodell
Konfigurieren des Datenzugriffs über den SQL-Analyseendpunkt in einem Lakehouse
Daten in einem Lakehouse können über den SQL-Analyseendpunkt gelesen werden. Jedes Lakehouse verfügt über einen automatisch generierten SQL-Analyseendpunkt, mit dem zwischen der Lake-Sicht und des SQL-Sicht des Lakehouses gewechselt werden kann. Die Lake-Sicht hilft bei Datentechnik und Apache Spark, und die SQL-Sicht desselben Lakehouses ermöglicht Ihnen, Sichten, Funktionen und gespeicherte Prozeduren zu erstellen und SQL-Sicherheitsberechtigungen und Berechtigungen auf Objektebene anzuwenden.
Daten in einem Fabric-Lakehouse werden in der folgenden Ordnerstruktur gespeichert:
- /Files
- /Tables
Anzeigen der Sicht des SQL-Analyseendpunkts des Lakehouses
Der SQL-Analyseendpunkt dient dazu, Daten im Ordner „/Tables“ des Lakehouses mithilfe von T-SQL zu lesen.
Anwenden differenzierter Berechtigungen auf das Lakehouse mithilfe von T-SQL
Mithilfe des SQL-Analyseendpunkts können differenzierte T-SQL-Berechtigungen mithilfe von DCL-Befehlen (Data Control Language) auf SQL-Objekte angewandt werden, z. B.:
Sicherheit auf Zeilenebene, Sicherheit auf Spaltenebene und dynamische Datenmaskierung können ebenfalls mithilfe des SQL-Analyseendpunkts angewandt werden. Thema
Konfigurieren des Datenzugriffs über die Lake-Sicht des Lakehouses
Die Lake-Sicht des Lakehouses dient zum Lesen von Daten in den Ordnern „/Tables“ und „/Files“ des Lakehouses.
Verwenden von OneLake-Datenzugriffsrollen zum Schützen von Daten
Arbeitsbereichs- und Elementberechtigungen bieten groben Zugriff auf Daten in einem Lakehouse. Um den Datenzugriff zu differenzieren, können Ordner in der Lake-Sicht des Lakehouses mithilfe von OneLake-Datenzugriffsrollen (Vorschau) geschützt werden. Sie können benutzerdefinierte Rollen in einem Lakehouse erstellen und Leseberechtigungen nur für bestimmte Ordner in OneLake zuweisen. Die Ordnersicherheit kann auf alle Unterordner vererbt werden. So erstellen Sie eine benutzerdefinierte OneLake-Datenzugriffsrolle
Wählen Sie im Menü in der Lake-Sicht des Lakehouses OneLake-Datenzugriff verwalten (Vorschau) aus.
Erstellen Sie im Fenster Neue Rolle einen neuen Rollennamen, und wählen Sie die Ordner aus, auf die Zugriff gewährt werden soll.
Nachdem die Rolle erstellt wurde, weisen Sie ihr einen Benutzer oder eine Gruppe zu. Wählen Sie außerdem die Berechtigungen aus, die zugewiesen werden sollen.
Tipp
Weitere Informationen dazu, wie OneLake-RBAC-Berechtigungen mit Arbeitsbereichs- und Elementberechtigungen ausgewertet werden, finden Sie unter: Auswerten von OneLake-RBAC-Berechtigungen mit Fabric-Berechtigungen
Konfigurieren differenzierter Warehouseberechtigungen
Differenzierte Berechtigungen können mithilfe des SQL-Analyseendpunkts auf Warehouses angewandt werden, ähnlich wie beim Endpunkt für ein Lakehouse. Es können dieselben Berechtigungen angewandt werden: GRANT, REVOKE und DENY sowie Sicherheit auf Zeilenebene, Sicherheit auf Spaltenebene und dynamische Datenmaskierung
Konfigurieren von Berechtigungen für ein Semantikmodell
Die Rolle eines Benutzers in einem Arbeitsbereich gewährt ihm implizit die Berechtigung für die Semantikmodelle in einem Arbeitsbereich. Semantikmodelle ermöglichen die Festlegung der Sicherheit mithilfe von DAX. Noch differenziertere Berechtigungen können mithilfe der Sicherheit auf Zeilenebene (RLS) angewandt werden. Weitere Informationen zum Verwalten von RLS oder zu den Berechtigungen für ein Semantikmodell finden Sie unter:
Berechtigungen für SemantikmodelleSicherheit auf Zeilenebene (RLS) mit Power BI