Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
I collegamenti in OneLake fungono da puntatori ai dati che risiedono in vari account di archiviazione, sia all'interno di OneLake stesso che in sistemi esterni come Azure Data Lake Storage (ADLS). Questo articolo illustra le autorizzazioni necessarie per creare collegamenti e accedere ai dati usandoli.
Per garantire maggiore chiarezza sui componenti di un collegamento, questo articolo usa i termini seguenti:
- Percorso della destinazione: posizione indicata da un collegamento.
- Percorso del collegamento: posizione in cui viene visualizzato il collegamento.
Creare ed eliminare collegamenti
Per creare un collegamento, è necessaria l'autorizzazione di scrittura per l'elemento Fabric in cui si crea il collegamento. Inoltre, è necessario l'accesso in lettura ai dati a cui puntano i punti di collegamento. Le scorciatoie a origini esterne potrebbero richiedere determinate autorizzazioni nel sistema esterno. L'articolo Che cosa sono i collegamenti? include l'elenco completo dei tipi di collegamento e delle autorizzazioni necessarie.
| Funzionalità | Autorizzazione per il percorso della scorciatoia | Autorizzazione per il percorso della destinazione |
|---|---|---|
| Creare un collegamento | Autorizzazione di scrittura dell'elemento o sicurezza OneLake Lettura/Scrittura | Sicurezza OneLake: Lettura1 |
| Eliminare un collegamento | Autorizzazione di scrittura dell'elemento o sicurezza di OneLake ReadWrite | Non Disponibile |
1 Per gli elementi che non supportano ancora le funzionalità di sicurezza di OneLake, questa autorizzazione corrisponde all'autorizzazione ReadAll dell'elemento.
Accesso alle scorciatoie
Una combinazione delle autorizzazioni nel percorso del collegamento e nel percorso della destinazione regola le autorizzazioni per i collegamenti. Quando un utente accede a un collegamento, viene applicata l'autorizzazione più restrittiva delle due posizioni. Pertanto, un utente che dispone di autorizzazioni di lettura e scrittura nel lakehouse, ma solo delle autorizzazioni di lettura nel percorso di destinazione, non può scrivere nel percorso di destinazione. Analogamente, un utente che dispone solo dei permessi di lettura nel lakehouse, ma dei permessi di lettura e scrittura nel percorso di destinazione, non può comunque scrivere nel percorso di destinazione.
Questa tabella mostra le autorizzazioni necessarie per ogni azione di scelta rapida.
| Funzionalità | Autorizzazione per il percorso della scorciatoia | Autorizzazione per il percorso della destinazione |
|---|---|---|
| Leggere il contenuto del file o della cartella del collegamento | Sicurezza di OneLake Lettura1 | Sicurezza di OneLakeLettura 1, 2 |
| Scrivere nella posizione di destinazione del collegamento | Autorizzazione di scrittura dell'elemento o sicurezza di OneLake Lettura/Scrittura | Autorizzazione di scrittura dell'elemento o sicurezza OneLake ReadWrite |
1 Per gli elementi che non supportano ancora la sicurezza di OneLake, questa autorizzazione corrisponde all'autorizzazione ReadAll dell'elemento.
Importante
2Eccezione al pass-through di identità: mentre la sicurezza di OneLake passa in genere attraverso l'identità dell'utente chiamante per applicare le autorizzazioni, alcuni motori di query funzionano in modo diverso. Quando si accede ai dati di collegamento rapido tramite modelli semantici di Power BI usando i motori DirectLake su SQL o T-SQL configurati per la modalità identità delegata, questi motori non trasmettono l'identità dell'utente chiamante al target di collegamento. Usano invece l'identità del proprietario dell'elemento per accedere ai dati e quindi applicano i ruoli di sicurezza di OneLake per filtrare ciò che l'utente chiamante può visualizzare.
Questa condizione significa:
- L'accesso alla destinazione del collegamento viene eseguito usando le autorizzazioni del proprietario dell'elemento (non dell'utente finale)
- I ruoli di sicurezza di OneLake determinano comunque i dati che l'utente finale può leggere
- Tutte le autorizzazioni configurate direttamente sul percorso di destinazione del collegamento per l'utente finale vengono ignorate.
Sicurezza di OneLake
La sicurezza di OneLake consente di applicare il controllo degli accessi in base al ruolo ai dati archiviati in OneLake. È possibile definire ruoli di sicurezza che concedono l'accesso in lettura a tabelle e cartelle specifiche all'interno di un elemento fabric e assegnarli a utenti o gruppi. Le autorizzazioni di accesso determinano le operazioni che gli utenti possono eseguire in tutti i motori in Fabric, garantendo un controllo di accesso coerente.
Gli utenti nei ruoli Amministratore, Membro e Collaboratore hanno accesso completo per leggere i dati da un collegamento indipendentemente dai ruoli di accesso ai dati Di OneLake definiti. Tuttavia, devono comunque accedere sia al percorso di collegamento che al percorso di destinazione, come indicato in Ruoli dell'area di lavoro.
Gli utenti con il ruolo di Visualizzatore o gli utenti con cui è stato condiviso direttamente un lakehouse hanno un accesso limitato, a seconda che dispongano dell'accesso tramite un ruolo di accesso ai dati di OneLake. Per altre informazioni sul modello di controllo di accesso con collegamenti, vedere Modello di controllo di accesso ai dati in OneLake.
Gli utenti nei ruoli visualizzatore possono creare collegamenti se dispongono delle autorizzazioni ReadWrite per il percorso in cui viene creato il collegamento.
Nella tabella seguente vengono illustrate le autorizzazioni necessarie per eseguire operazioni di scelta rapida.
| Operazione di scelta rapida | Autorizzazione per il percorso della scorciatoia | Autorizzazione per il percorso della destinazione |
|---|---|---|
| Creare | Leggere e sicurezza OneLake LetturaScrittura | Lettura della sicurezza di OneLake |
| Lettura (collegamenti GET/LIST) | Lettura del tessuto e lettura della sicurezza di OneLake | Non Disponibile |
| Update | Leggere e sicurezza OneLake LetturaScrittura | Lettura delle configurazioni di sicurezza di OneLake (nella nuova destinazione) |
| Elimina | Leggere e sicurezza OneLake LetturaScrittura | Non Disponibile |
Modelli di autenticazione per le scorciatoie
Le scorciatoie OneLake usano due modelli di autenticazione: pass-through e delega. Il modello dipende dal tipo di scorciatoia.
| Tipo di collegamento | Modello di autenticazione | dettagli |
|---|---|---|
| Da OneLake a OneLake | Inoltro o delegato | Il pass-through è l'impostazione predefinita. Per usare invece l'autenticazione delegata, scegliere Identità delegata come metodo di connessione durante la creazione del collegamento. |
| Esterno (multicloud) | Solo delegato | Gli utenti possono accedere a dati esterni senza accesso diretto al sistema esterno. Configura la sicurezza di OneLake sul collegamento per controllare a quali dati nel sistema esterno è possibile accedere. |
Autenticazione pass-through
Nel modello pass-through il collegamento accede ai dati nella posizione di destinazione passando l'identità dell'utente al sistema di destinazione. Qualsiasi utente che accede al collegamento può visualizzare solo i dati a cui ha accesso nella destinazione. Il sistema di origine mantiene il controllo completo sui dati e non è necessario replicare o ridefinire i controlli di accesso.
Autenticazione delegata
Nel modello delegato, la scorciatoia accede ai dati tramite una credenziale intermedia, ad esempio l'identità di un altro utente, un'entità servizio o una chiave dell'account. I tasti di scelta rapida delegati consentono di separare o "delegare" la gestione delle autorizzazioni a un altro team o utente downstream da gestire. Tutte le scorciatoie delegate in OneLake possono avere ruoli di sicurezza OneLake definiti per essi.
I collegamenti a sistemi esterni come Amazon S3 o Google Cloud Storage usano sempre l'autenticazione delegata. I collegamenti alle destinazioni OneLake interne possono usare l'autenticazione delegata se è configurata al momento della creazione del collegamento.
Collegamenti a OneLake delegati
Le scorciatoie OneLake delegate usano un'identità di connessione configurata anziché l'identità dell'utente che ha effettuato l'accesso. Quando accede a un collegamento delegato, l'utente vede l'intersezione tra le proprie autorizzazioni di sicurezza e quelle applicabili all'identità delegata. La tabella seguente illustra gli scenari di esempio.
| Autorizzazione per il percorso di scelta rapida (consumer) | Autorizzazione sul percorso di destinazione (produttore) | Accesso risultante |
|---|---|---|
| Accesso completo | Accesso completo | Accesso completo |
| Accesso completo | CLS : solo colonne C1, C2 | CLS : solo colonne C1, C2 |
| CLS - Solo colonna C1 | CLS : solo colonne C1, C2 | CLS - Solo colonna C1 |
Le seguenti considerazioni sulla sicurezza si applicano ai collegamenti delegati:
- La sicurezza a livello di colonna (CLS) è supportata per la destinazione del collegamento con collegamenti delegati. CLS agisce sia sulla destinazione che sul collegamento stesso.
- La sicurezza a livello di riga (RLS) non è supportata per le shortcut delegate.
- Oltre alle autorizzazioni di sicurezza di OneLake sul percorso di destinazione, l'accesso alle scelte rapide esterne tramite Spark o chiamate API dirette richiede anche autorizzazioni di lettura per l'elemento che contiene il percorso della scelta rapida esterna.