Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
La sécurité OneLake vous permet d’appliquer le contrôle d’accès en fonction du rôle (RBAC) à vos données stockées dans OneLake. Vous pouvez définir des rôles de sécurité qui accordent l’accès à des dossiers spécifiques au sein d’un élément Fabric, puis attribuer ces rôles aux utilisateurs ou aux groupes. Les rôles peuvent également contenir une sécurité au niveau des lignes ou des colonnes pour limiter davantage l’accès. Les autorisations de sécurité OneLake déterminent les données que l’utilisateur peut voir dans toutes les expériences dans Fabric.
Les utilisateurs fabric disposant d’autorisations d’écriture et de partage (généralement les utilisateurs d’espace de travail administrateur et membre) peuvent commencer à créer des rôles de sécurité OneLake pour accorder l’accès à des dossiers ou tables spécifiques uniquement dans un élément de données Fabric. Pour accorder l’accès aux données d’un élément, ajoutez des utilisateurs à un rôle d’accès aux données. Les utilisateurs qui ne font pas partie d’un rôle d’accès aux données ne voient aucune donnée dans cet élément.
Quels types de données peuvent être sécurisés ?
Utilisez des rôles de sécurité OneLake pour gérer l’accès en lecture OneLake à toutes les tables ou dossiers d’un élément de données pris en charge. L’accès aux tables peut être plus restreint à l’aide de la sécurité au niveau des lignes et/ou des colonnes. L'ensemble de règles de sécurité s'applique à l'accès depuis tous les moteurs dans Fabric. Pour plus d’informations, consultez le modèle de contrôle d’accès aux données.
Pour des types d’éléments spécifiques, vous pouvez également configurer l’accès ReadWrite. Cette autorisation permet aux utilisateurs de modifier des données dans un lakehouse sur des tables ou dossiers spécifiés sans leur donner accès pour créer ou gérer des éléments Fabric. L’accès ReadWrite permet aux utilisateurs d’effectuer des opérations d’écriture via des notebooks Spark, l’Explorateur de fichiers OneLake ou les API OneLake. Les opérations d'écriture via l'interface utilisateur de Lakehouse pour les utilisateurs ne sont pas prises en charge.
Les éléments de données suivants prennent en charge la sécurité OneLake :
| Article en tissu | Autorisations prises en charge |
|---|---|
| Lakehouse | Lecture, Lecture/Écriture |
| Catalogue mis en miroir Azure Databricks | Lire |
| Bases de données en miroir | Lire |
Paramètres par défaut
Lorsque vous créez un élément, il est fourni avec un ensemble de rôles par défaut. Les rôles par défaut garantissent que les utilisateurs privilégiés peuvent voir et interagir avec les données dans l’élément nouvellement créé. Différents éléments ont des rôles par défaut différents en fonction des cas d’usage de cet élément, mais la plupart contiennent un rôle DefaultReader . En utilisant des appartenances à des rôles virtualisés, tous les utilisateurs disposant des autorisations nécessaires pour afficher les données dans l’élément (l’autorisation ReadAll, par exemple) sont inclus en tant que membres de ce rôle par défaut. Pour restreindre l’accès à ces utilisateurs, supprimez le rôle DefaultReader ou supprimez l’autorisation ReadAll des utilisateurs accédants.
Les éléments nouvellement créés qui ont un point de terminaison d’analytique SQL correspondant démarrent en mode d’identité de l’utilisateur par défaut. Les administrateurs et les membres peuvent modifier le mode à tout moment dans les paramètres du point de terminaison.
Important
Lorsque vous ajoutez un utilisateur à un rôle d’accès aux données, veillez à les supprimer du rôle DefaultReader. Sinon, ils conservent un accès complet aux données.
Activer la sécurité OneLake pour le point de terminaison d’analytique SQL
Avant de pouvoir utiliser la sécurité OneLake avec le point de terminaison d’analytique SQL, vous devez la configurer pour utiliser le mode d’accès aux identités de l’utilisateur.
Note
Vous devez uniquement basculer vers le mode d’accès d’identité de l’utilisateur une seule fois par point de terminaison d’analytique SQL. Les points de terminaison qui ne sont pas basculés vers le mode d’identité de l’utilisateur continuent d’utiliser une identité déléguée pour évaluer les autorisations.
Accédez au point de terminaison d'analyse SQL.
Dans l’expérience du point de terminaison SQL d'analyse, sélectionnez l’onglet Sécurité.
Sélectionnez Afficher les paramètres du mode d’accès aux données (préversion)>.
Sélectionnez Utiliser la sécurité OneLake pour les tables (mode d’accès aux identités de l’utilisateur), puis sélectionnez Appliquer.
Sélectionnez Continuer pour confirmer votre choix.
Le point de terminaison d’analytique SQL est maintenant prêt à être utilisé avec la sécurité OneLake.