Visão geral da segurança do OneLake
O OneLake é um data lake hierárquico, como o Azure Data Lake Storage (ADLS) Gen2 ou o sistema de arquivos do Windows. Essa estrutura permite que a segurança seja definida em diferentes níveis na hierarquia para controlar o acesso. Alguns níveis na hierarquia recebem tratamento especial, visto que eles se correlacionam com conceitos do Fabric.
Workspace: um ambiente colaborativo para criar e gerenciar itens.
Item: um conjunto de recursos agrupados em um único componente. Um item de dados é um subtipo de item que permite que os dados sejam armazenados nele usando o OneLake.
Pastas: pastas dentro de um item que são usadas para armazenar e gerenciar dados.
Os itens sempre residem em workspaces e workspaces que sempre residem diretamente no namespace do OneLake. Você pode visualizar essa estrutura da seguinte maneira:
Permissões de workspace
As permissões de espaço de trabalho permitem definir o acesso a todos os itens em um espaço de trabalho. Existem quatro diferentes funções de espaço de trabalho, e cada uma delas concede diferentes tipos de acesso.
| Função | Pode adicionar administradores? | Pode adicionar membros? | Pode gravar dados e criar itens? | Pode ler dados? |
|---|---|---|---|---|
| Administrador | Sim | Sim | Sim | Yes |
| Membro | Não | Sim | Sim | Yes |
| Colaborador | Não | No | Sim | Yes |
| Visualizador | Não | No | No | Sim |
Observação
Você pode exibir o item warehouse com funções de leitura e gravação, mas só pode gravar em armazéns usando consultas SQL.
Você pode simplificar o gerenciamento de funções de workspace do Fabric atribuindo-as a grupos de segurança. Isso permite controlar o acesso adicionando ou removendo membros do grupo de segurança.
Permissões de item
Com o recurso de compartilhamento, você pode conceder a um usuário acesso direto a um item. O usuário só pode ver esse item no workspace e não é membro de nenhuma funções de workspace. As permissões de item concedem acesso para se conectar ao item e a quais pontos de extremidade do item o usuário pode acessar.
| Permissão | Vê os metadados do item? | Vê os dados no SQL? | Vê os dados no OneLake? |
|---|---|---|---|
| Ler | Sim | Não | Não |
| ReadData | Não | Sim | Não |
| ReadAll | Não | Não | Sim* |
*Não aplicável a itens com funções de acesso a dados do OneLake (visualização) habilitadas. Se a visualização estiver habilitada, ReadAll só concederá acesso se a função DefaultReader estiver em uso. Se essa função for editada ou excluída, o acesso será concedido com base em quais funções de acesso a dados o usuário faz parte.
Outra maneira de configurar permissões é por meio da página Gerenciar permissões de um item. Nesta página, você pode adicionar ou remover permissões de item individuais para usuários ou grupos. As permissões exatas disponíveis são determinadas pelo tipo de item.
Permissões de computação
O acesso a dados pode ser fornecido por meio do mecanismo de computação SQL no Microsoft Fabric. O acesso concedido por meio do SQL só se aplica aos usuários que acessam dados por meio do SQL, mas essa segurança pode ser usada para dar acesso mais seletivo a determinados usuários. Em seu estado atual, o SQL dá suporte à restrição de acesso a tabelas e esquemas específicos, bem como segurança em nível de linha e coluna.
Dependendo das permissões de computação aplicadas, os usuários que acessam dados por meio do SQL podem ver resultados diferentes dos que acessam dados diretamente no OneLake. Para evitar essa diferenciação, verifique se as permissões de item de um usuário estão configuradas para conceder acesso a ele somente ao ponto de extremidade SQL (usando ReadData) ou ao OneLake (usando ReadAll ou a visualização de funções de acesso a dados).
No exemplo a seguir, um usuário recebe acesso somente leitura a um lakehouse por meio do compartilhamento de itens. O usuário recebe a permissão SELECT em uma tabela por meio do ponto de extremidade de análise do SQL. Quando esse usuário tenta ler dados por meio das APIs do OneLake, o acesso é negado porque ele não tem permissões suficientes. O usuário pode ler com êxito as instruções SQL SELECT.
Funções de acesso a dados do OneLake (visualização)
As funções de acesso a dados do OneLake são um novo recurso que permite aplicar o RBAC (Controle de acesso baseado em função) aos dados armazenados no OneLake. Você pode definir direitos de acesso que concedem acesso de leitura a pastas específicas em um item do Fabric e atribuí-las a usuários ou grupos. As permissões de acesso determinam quais pastas os usuários veem ao acessar a exibição do Lake dos dados, por meio da UX do lakehouse, notebooks ou APIs do OneLake.
Os usuários do Fabric com função de Administrador, Membro ou Colaborador podem começar criando funções de acesso a dados do OneLake para permitir acesso apenas a pastas específicas em um lakehouse. Adicione usuários a uma função de acesso a dados para permitir acesso a dados em um lakehouse. Os usuários que não fazem parte de uma função de acesso a dados não verão nenhum dado nesse lakehouse.
Saiba mais sobre como criar funções de acesso a dados em Introdução às funções de acesso a dados.
Saiba mais sobre o modelo de segurança para funções de acesso do Modelo de controle de acesso a dados.
Segurança de atalho
Os atalhos no Microsoft Fabric permitem um gerenciamento de dados muito simplificado, mas têm algumas considerações de segurança a serem observadas. Para obter informações sobre como gerenciar a segurança de atalho, consulte esse documento.
Para funções de acesso a dados do OneLake (visualização), os atalhos recebem tratamento especial, dependendo do tipo de atalho. O acesso a um atalho do OneLake é sempre controlado pelas funções de acesso no destino do atalho. Isso significa que para um atalho do LakehouseA para o LakehouseB, a segurança de LakehouseB entra em vigor. As funções de acesso a dados no LakehouseA não podem conceder ou editar a segurança do atalho para o LakehouseB.
Para atalhos externos para o Amazon S3 ou ADLS Gen2, a segurança é configurada por meio de funções de acesso a dados no próprio lakehouse. Um atalho do LakehouseA para um bucket do S3 pode ter funções de acesso a dados configuradas no LakehouseA. É importante observar que apenas o nível raiz do atalho pode ter a segurança aplicada. Atribuir acesso a subpastas do atalho resultará em erros de criação de função.
Saiba mais sobre o modelo de segurança para atalhos em Modelo de controle de acesso a dados.
Conteúdo relacionado
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de