Compartilhar seu warehouse e gerenciar permissões

Artigo
04/24/2024

Aplica-se a:Warehouse e Banco de Dados Espelhado no Microsoft Fabric

O compartilhamento é uma maneira conveniente de fornecer aos usuários acesso de leitura ao warehouse para consumo downstream. O compartilhamento permite que os usuários downstream em sua organização consumam um Warehouse por meio do SQL, do Spark ou do Power BI. Você pode personalizar o nível de permissões que o destinatário compartilhado recebe para fornecer o nível apropriado de acesso.

Observação

Você deve ser um administrador ou membro em seu workspace para compartilhar um Warehouse no Microsoft Fabric.

Introdução

Depois de identificar o Warehouse que você gostaria de compartilhar com outro usuário no workspace do Fabric, selecione a ação rápida na linha para Compartilhar um Warehouse.

O gif animado a seguir analisa as etapas para selecionar um warehouse a ser compartilhado, selecionar as permissões a serem atribuídas e, por fim, Conceder as permissões a outro usuário.

Você pode compartilhar o seu Warehouse a partir do Hub de dados do OneLake ou do item do Warehouse selecionando Compartilhar na ação rápida, conforme destacado na imagem a seguir.

Você será solicitado com opções para selecionar com quem deseja compartilhar o Warehouse, com quais permissões conceder e se eles serão notificados por email. Quando você preencher todos os campos necessários, selecione Conceder acesso.

Veja mais detalhes sobre cada uma das permissões fornecidas:

Se nenhuma permissão adicional for selecionada: por padrão, o destinatário compartilhado receberá a permissão "Leitura", que só permite que o destinatário se conecte ao ponto de extremidade de análise do SQL, o equivalente a permissões CONNECT no SQL Server. O destinatário compartilhado não poderá consultar nenhuma tabela ou exibição ou executar qualquer função ou procedimento armazenado, a menos que eles tenham acesso a objetos no Warehouse usando a instrução T-SQL GRANT.

Observação

ReadData, ReadAll e Build são permissões separadas que não se sobrepõem.

"Ler todos os dados usando SQL" está selecionado (permissões "ReadData")- O destinatário compartilhado pode ler todos os objetos de banco de dados no Warehouse. ReadData é o equivalente a db_datareader função em SQL Server. O destinatário compartilhado pode ler dados de todas as tabelas e exibições no Warehouse. Se você quiser restringir ainda mais e fornecer acesso granular a alguns objetos no Warehouse, poderá fazer isso usando instruções T-SQL GRANT/REVOKE/DENY.
- No ponto de extremidade de análise do SQL do Lakehouse, "Ler todos os dados do ponto de extremidade do SQL" é equivalente a "Ler todos os dados usando SQL".
"Ler todos os dados usando o Apache Spark" está selecionado (permissões "ReadAll"): o destinatário compartilhado tem acesso de leitura aos arquivos parquet subjacentes no OneLake, que podem ser consumidos usando o Spark. ReadAll só deverá ser fornecido se o destinatário compartilhado quiser acesso completo aos arquivos do warehouse usando o mecanismo spark.
A caixa de seleção "Criar relatórios no conjunto de dados padrão" está selecionada (permissões "Compilar") – o destinatário compartilhado pode criar relatórios sobre o modelo semântico padrão que está conectado ao seu warehouse. O Build deverá ser fornecido se o destinatário compartilhado quiser permissões de Build no modelo semântico padrão para criar relatórios do Power BI nesses dados. A caixa de seleção Build está marcada por padrão, mas pode ser desmarcada.

Quando o destinatário compartilhado recebe o email, ele pode selecionar Abrir e navegar até a página Hub de Dados do Warehouse.

Dependendo do nível de acesso que o destinatário compartilhado recebeu, o destinatário compartilhado agora pode se conectar ao ponto de extremidade de análise do SQL, consultar o Warehouse, criar relatórios ou ler dados por meio do Spark.

Permissões ReadData

Com as permissões ReadData , o destinatário compartilhado pode abrir o editor do Warehouse no modo somente leitura e consultar as tabelas e exibições no Warehouse. O destinatário compartilhado também pode optar por copiar o ponto de extremidade de análise do SQL fornecido e se conectar a uma ferramenta de cliente para executar essas consultas.

Por exemplo, na captura de tela a seguir, um usuário com permissões ReadData pode consultar o warehouse.

Permissões ReadAll

Um destinatário compartilhado com permissões ReadAll pode encontrar o caminho do Azure Blob File System (ABFS) para o arquivo específico no OneLake no painel Propriedades no editor do Warehouse. Em seguida, o destinatário compartilhado pode usar esse caminho em um Bloco de Anotações do Spark para ler esses dados.

Por exemplo, na captura de tela a seguir, um usuário com permissões ReadAll pode consultar os dados no FactSale com uma consulta do Spark em um novo notebook.

Permissões de build

Com as permissões de Build, o destinatário compartilhado pode criar relatórios sobre o modelo semântico padrão que está conectado ao Warehouse. O destinatário compartilhado pode criar relatórios do Power BI no Hub de Dados ou também fazer o mesmo usando Power BI Desktop.

Por exemplo, na captura de tela a seguir, um usuário com permissões de Build pode começar a Criar automaticamente um relatório do Power BI com base no warehouse compartilhado.

Gerenciar permissões

A página Gerenciar permissões mostra a lista de usuários que receberam acesso por meio da atribuição de funções no Workspace ou de permissões de itens (conforme descrito anteriormente neste artigo).

Se você for um Administração ou Membro, acesse seu workspace e selecione Mais opções. Em seguida, selecione Gerenciar permissões.

Para usuários que receberam funções de workspace, ele mostra o usuário correspondente, a função de workspace e as permissões correspondentes. Administração, Membro e colaboradores têm acesso de leitura/gravação aos itens nesse workspace. Os visualizadores têm permissões ReadData e podem consultar todas as tabelas e exibições dentro do Warehouse nesse workspace. As permissões de item Read, ReadData e ReadAll podem ser fornecidas aos usuários.

Você pode optar por adicionar ou remover permissões usando Gerenciar permissões:

Remover acesso remove todas as permissões de item.
Remover ReadData remove as permissões ReadData.
Remove ReadAll remove permissões ReadAll.
Remover build remove permissões de Build no modelo semântico padrão correspondente.

Limitações

Se você fornecer permissões de item ou remover usuários que tinham permissões anteriormente, a propagação de permissão poderá levar até duas horas. As novas permissões serão refletidas em "Gerenciar permissões" imediatamente. Entre novamente para garantir que as permissões sejam refletidas no ponto de extremidade de análise do SQL.
Os destinatários compartilhados podem acessar o Warehouse usando a identidade do proprietário (modo delegado). Verifique se o proprietário do Warehouse não foi removido do workspace.
Os destinatários compartilhados só têm acesso ao Warehouse que recebem e não a outros itens no mesmo workspace que o Warehouse. Se você quiser fornecer permissões para que outros usuários em sua equipe colaborem no Warehouse (acesso de leitura e gravação), adicione-os como funções de workspace, como "Membro" ou "Colaborador".
Atualmente, quando você compartilha um Warehouse e escolhe Ler todos os dados usando SQL, o destinatário compartilhado pode acessar o editor do Warehouse em um modo somente leitura. Esses destinatários compartilhados podem criar consultas, mas não podem salvar suas consultas no momento.
Atualmente, o compartilhamento de um Warehouse só está disponível por meio da experiência do usuário.
Se você quiser fornecer acesso granular a objetos específicos no Warehouse, compartilhe o Warehouse sem permissões adicionais e forneça acesso granular a objetos específicos usando a instrução T-SQL GRANT. Para obter mais informações, consulte Sintaxe T-SQL para GRANT, REVOKE e DENY.
Se você vir que as permissões ReadAll e ReadData estão desabilitadas na caixa de diálogo de compartilhamento, atualize a página.
Os destinatários compartilhados não têm permissão para compartilhar novamente um Warehouse.
Se um relatório criado sobre o Warehouse for compartilhado com outro destinatário, o destinatário compartilhado precisará de mais permissões para acessar o relatório. Isso depende do modo de acesso ao modelo semântico pelo Power BI:
- Se acessadas por meio do Modo de consulta direta , as permissões ReadData (ou aspermissões granulares do SQL para tabelas/modos de exibição específicos) precisarão ser fornecidas ao Warehouse.
- Se acessadas por meio do Modo de consulta direta , as permissões ReadData (ou aspermissões granulares do SQL para tabelas/modos de exibição específicos) precisarão ser fornecidas ao Warehouse. O modo Direct Lake é o tipo de conexão padrão para modelos semânticos que usam um ponto de extremidade de análise do SQL ou o Warehouse como fonte de dados. Para obter mais informações, consulte Modo Direct Lake.
- Se acessado por meio do Modo de importação , nenhuma permissão adicional será necessária.
- Atualmente, não há suporte para o compartilhamento de um depósito diretamente com um SPN.

Recursos de proteção de dados

O armazenamento de dados do Microsoft Fabric dá suporte a várias tecnologias que os administradores podem usar para proteger dados confidenciais contra exibição não autorizada. Ao proteger ou ofuscar dados de usuários ou funções não autorizadas, esses recursos de segurança podem fornecer proteção de dados em um ponto de extremidade do SQL e o Warehouse sem alterações no aplicativo.

A segurança em nível de coluna impede a exibição não autorizada de colunas em tabelas.
A segurança em nível de linha impede a exibição não autorizada de linhas em tabelas, usando predicados de filtro de cláusula familiares WHERE.
O mascaramento de dados dinâmico impede a exibição não autorizada de dados confidenciais usando máscaras para impedir o acesso a dados completos, como endereços de email ou números.

Compartilhar via