Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
La sicurezza di OneLake consente di applicare il controllo degli accessi in base al ruolo ai dati archiviati in OneLake. È possibile definire ruoli di sicurezza che concedono l'accesso a cartelle specifiche all'interno di un elemento di Fabric, quindi assegnare questi ruoli a utenti o gruppi. I ruoli possono anche contenere la sicurezza a livello di riga o colonna per limitare ulteriormente l'accesso. Le autorizzazioni di sicurezza di OneLake determinano i dati che l'utente può visualizzare in tutte le esperienze in Fabric.
Gli utenti dell'infrastruttura con autorizzazioni di scrittura e ricondivisione (in genere utenti dell'area di lavoro amministratore e membro) possono iniziare creando ruoli di sicurezza di OneLake per concedere l'accesso solo a cartelle o tabelle specifiche in un elemento di dati di Fabric. Per concedere l'accesso ai dati in un elemento, aggiungere utenti a un ruolo di accesso ai dati. Gli utenti che non fanno parte di un ruolo di accesso ai dati non vedono dati in tale elemento.
Quali tipi di dati possono essere protetti?
Usare i ruoli di sicurezza di OneLake per gestire l'accesso in lettura di OneLake a qualsiasi tabella o cartella in un elemento di dati supportato. L'accesso alle tabelle può essere ulteriormente limitato usando la sicurezza a livello di riga e/o di colonna. Qualsiasi set di sicurezza si applica all'accesso da tutti i motori in Fabric. Per altre informazioni, vedere il modello di controllo di accesso ai dati.
Per tipi di elementi specifici, è anche possibile configurare l'accesso ReadWrite. Questa autorizzazione consente agli utenti di modificare i dati in una lakehouse in tabelle o cartelle specificate senza concedere loro l'accesso per creare o gestire elementi di Fabric. L'accesso readWrite consente agli utenti di eseguire operazioni di scrittura tramite notebook Spark, OneLake File Explorer o Le API OneLake. Le operazioni di scrittura tramite l'esperienza utente lakehouse per i visualizzatori non sono supportate.
Gli elementi di dati seguenti supportano la sicurezza di OneLake:
| Elemento fabric | stato | Autorizzazioni supportate |
|---|---|---|
| Lakehouse | Preview | Lettura, LetturaScrittura |
| Catalogo con mirroring di Azure Databricks | Preview | Leggi |
| Database con il mirroring | Preview | Leggi |
Abilitare la sicurezza di OneLake
La sicurezza di OneLake è attualmente in anteprima e di conseguenza è disabilitata per impostazione predefinita. La funzionalità di anteprima viene configurata per ogni elemento. Il controllo di consenso esplicito consente a un singolo elemento di provare l'anteprima senza abilitarlo in altri elementi di Fabric.
La funzionalità di anteprima non può essere disattivata una volta abilitata.
- Passare a una lakehouse e selezionare Gestisci sicurezza OneLake (anteprima).
- Esaminare la finestra di dialogo di conferma. L'anteprima dei ruoli di accesso ai dati non è compatibile con l'anteprima di condivisione dei dati esterni. Se non si ha familiarità con la modifica, selezionare Continua.
- Dopo aver abilitato la sicurezza di OneLake, è possibile creare e gestire i ruoli di sicurezza di OneLake per proteggere l'accesso ai dati agli elementi di OneLake.
Per garantire un'esperienza di consenso esplicito uniforme, tutti gli utenti con autorizzazione di lettura per i dati nell'elemento continuano ad avere accesso in lettura tramite un ruolo di accesso ai dati predefinito denominato DefaultReader. Con le appartenenze ai ruoli virtualizzati, tutti gli utenti che hanno le autorizzazioni necessarie per visualizzare i dati nella lakehouse (autorizzazione ReadAll) vengono inclusi come membri di questo ruolo predefinito. Per iniziare a limitare l'accesso a tali utenti, eliminare il ruolo DefaultReader o rimuovere l'autorizzazione ReadAll dagli utenti che accedono.
Importante
Assicurarsi che tutti gli utenti inclusi in un ruolo di accesso ai dati vengano rimossi dal ruolo DefaultReader. In caso contrario, mantengono l'accesso completo ai dati.