OneLake 바로 가기는 OneLake 자체 내에서 혹은 Azure 데이터 레이크 저장소 (ADLS)와 같은 외부 시스템에서 다양한 저장소 계정에 있는 데이터에 대한 포인터 역할을 하는 것입니다. 이 문서에서는 바로 가기를 만들어 보시고 이를 사용해 보셔서 데이터에 액세스하시기 위해서 필요하신 사용 권한을 살펴보세요.
바로 가기 구성 요소를 위한 명확성을 보장하기 위해서 이 문서에서는 다음 용어를 사용하고 있습니다:
- 대상 경로: 바로 가기가 가리키고 있는 위치입니다.
- 바로 가기의 경로: 바로 가기가 표시되고 있는 위치입니다.
바로 가기를 만들기 및 삭제
바로 가기를 만들기 위해서는 사용자에게 바로 가기가 만들어지고 있는 Fabric 항목을 위한한 쓰기 사용 권한을 가지고 계셔야 하는 것입니다. 또한 사용자는 바로 가기가 가리키고 있는 데이터를 위한 읽기 액세스 사용 권한이 필요한 것입니다. 외부 원본에 대한 바로 가기를 사용하려면 외부 시스템에서 특정 권한이 필요할 수 있습니다. 바로 가기는 무엇인가요? 문서에는 바로 가기 형식 및 필요하신 사용 권한의 전체 목록이 있습니다.
| 기능 | 바로 가기 경로를 위한 사용 권한 | 대상 경로를 위한 사용 권한 |
|---|---|---|
| 바로 가기를 만들기 | 쓰기2 | ReadAll1 |
| 바로 가기를 삭제 | 쓰기2 | 해당 없음 |
1OneLake 보안을 사용하는 경우 사용자는 대상 경로에 대한 액세스 권한을 부여하는 역할에 있어야 합니다. 2OneLake 데이터 액세스 역할을 사용하는 경우 사용자는 대상 경로에 대한 액세스 권한을 부여하는 역할에 있어야 합니다.
바로 가기에 액세스
바로 가기 경로와 대상 경로에 대한 사용 권한 조합은 바로 가기를 위한 사용 권한을 제어해 드리고 있습니다. 사용자가 바로 가기에 액세스하실 때 두개의 위치에서 가장 제한적인 사용 권한이 적용되어 지는 것ㅇ닙니다. 따라서 레이크하우스에서 읽기/쓰기 권한을 가지고 있지만 대상 경로의 읽기 사용 권한만을 가지고 있는 사용자는 대상 경로에 글을 작성하실 수 없습니다. 이와 마찬가지로 레이크하우스에서 읽기 사용 권한만을 가지고 있지만 대상 경로에서 읽기/쓰기가 가능한 사용자도 대상 경로에 글을 작성하실 수 없습니다.
이 표에서는 각 바로 가기 작업에 필요한 권한을 보여 줍니다.
| 기능 | 바로 가기 경로를 위한 사용 권한 | 대상 경로를 위한 사용 권한 |
|---|---|---|
| 바로 가기에 대한 파일/폴더 콘텐츠 읽기 | ReadAll1 | ReadAll1 |
| 바로 가기 대상 위치에서 쓰기 | 쓰기 | 쓰기 |
| TDS 엔드포인트를 통해서 레이크하우스의 테이블 섹션에의 바로 가기에서 데이터를 읽기 | 읽기 | ReadAll2 |
1OneLake 보안을 사용하도록 설정된 경우 사용자는 대상 경로에 대한 액세스 권한을 부여하는 역할에 있어야 합니다.
Important
2ID 통과 예외: OneLake 보안은 일반적으로 호출하는 사용자의 ID를 통과하여 권한을 적용하지만 특정 쿼리 엔진은 다르게 작동합니다. 위임된 ID 모드로 구성된 SQL 또는 T-SQL 엔진을 통해 DirectLake를 사용하여 Power BI 의미 체계 모델을 통해 바로 가기 데이터에 액세스하는 경우 이러한 엔진은 호출하는 사용자의 ID를 바로 가기 대상으로 전달하지 않습니다. 대신 항목 소유자의 ID 를 사용하여 데이터에 액세스한 다음 OneLake 보안 역할을 적용하여 호출하는 사용자가 볼 수 있는 내용을 필터링합니다.
즉, 다음을 의미합니다.
- 바로 가기 대상은 항목 소유자의 권한(최종 사용자가 아님)을 사용하여 액세스합니다.
- OneLake 보안 역할은 최종 사용자가 읽을 수 있는 데이터를 결정합니다.
- 최종 사용자의 바로 가기 대상 경로에 직접 구성된 모든 권한은 무시됩니다.
OneLake 보안
OneLake 보안(미리 보기) 은 OneLake에 저장된 데이터에 RBAC(역할 기반 액세스 제어)를 적용할 수 있는 기능입니다. 패브릭 항목 내의 특정 테이블 및 폴더에 대한 읽기 권한을 부여하고 사용자 또는 그룹에 할당하는 보안 역할을 정의할 수 있습니다. 액세스 권한은 패브릭의 모든 엔진에서 사용자가 어떤 사용자인지 결정하여 일관된 액세스 제어를 보장합니다.
관리, 구성원 및 기여자 역할의 사용자는 정의된 OneLake 데이터 액세스 역할과는 상관없이 바로 가기에서 데이터를 읽어보실 수 있는 모든 사용 권한을 가지고 계신 것입니다. 그러나 작업 영역 역할에서 설명한 대로 바로 가기 경로와 대상 경로 모두를 위한 액세스가 여전히 필요한 것입니다.
보기 역할 혹은 레이크하우스를 직접 공유하신 사용자는 사용자가 OneLake 데이터 액세스 역할을 통해서 액세스하실 수 있는지 여부에 따라서 액세스가 제한되어 지는 것입니다. 바로 가기를 사용하신 엑세스 제어 모델을 위한 자세한 정보는 OneLake의 데이터 엑세스 제어 모델을 확인해 주세요.
바로 가기 인증 모델
바로 가기는 OneLake 보안을 사용하여 패스스루 및 위임 인증 모델 두 가지를 사용합니다.
통과 모델에서 바로 가기는 사용자의 ID를 대상 시스템에 '전달'하여 대상 위치의 데이터에 액세스합니다. 이렇게 하면 바로 가기에 액세스하는 모든 사용자가 대상에 액세스할 수 있는 모든 사용자만 볼 수 있습니다.
OneLake에서 OneLake로의 바로 가기를 사용하면 통과 모드만 지원됩니다. 이 디자인은 원본 시스템이 해당 데이터에 대한 모든 권한을 유지하도록 합니다. 바로 가기에 대한 액세스 제어를 복제하거나 다시 정의할 필요가 없으므로 조직은 향상된 보안의 이점을 누릴 수 있습니다. 그러나 OneLake 바로 가기에 대한 보안은 다운스트림 항목에서 직접 수정할 수 없다는 점을 이해하는 것이 중요합니다. 액세스 권한에 대한 모든 변경 내용은 원본 위치에서 수행해야 합니다.
위임된 바로 가기는 다른 사용자 또는 계정 키와 같은 일부 중간 자격 증명을 사용하여 데이터에 액세스합니다. 이러한 바로 가기를 사용하면 권한 관리를 다른 팀 또는 다운스트림 사용자에게 분리하거나 '위임'하여 관리할 수 있습니다. 위임된 바로 가기는 항상 보안 흐름을 한 시스템에서 다른 시스템으로 중단합니다. OneLake의 모든 위임된 바로 가기는 OneLake 보안 역할을 정의할 수 있습니다.
AWS S3 또는 Google Cloud Storage와 같은 외부 시스템(다중 클라우드 바로 가기)에 대한 OneLake의 모든 바로 가기가 위임됩니다. 이렇게 하면 사용자가 직접 액세스하지 않고도 외부 시스템에 연결할 수 있습니다. 그런 다음 바로 가기에 OneLake 보안을 구성하여 외부 시스템에서 액세스할 수 있는 데이터를 제한할 수 있습니다.
OneLake 보안 제한 사항
- 대상 경로에 대한 OneLake 보안 액세스 외에도 Spark 또는 직접 API 호출을 통해 외부 바로 가기에 액세스하려면 외부 바로 가기 경로가 포함된 항목에 대한 읽기 권한이 필요합니다.