Uso compartido de los datos y administración de permisos

Se aplica a:✅Almacenamiento y base de datos reflejada en Microsoft Fabric

Compartir es una manera cómoda de proporcionar a los usuarios acceso de lectura a tus datos para el consumo de bajada. El uso compartido permite a los usuarios de nivel inferior de la organización consumir un almacén mediante T-SQL, Spark o Power BI. Puede personalizar el nivel de permisos que se concede al destinatario compartido para proporcionarle el nivel de acceso adecuado.

Nota:

Debes ser administrador o miembro del área de trabajo para compartir un elemento en Microsoft Fabric.

Introducción

Después de identificar el elemento del almacén que quieres compartir con otro usuario en el área de trabajo de Fabric, selecciona la acción rápida de la fila para Compartir.

El siguiente gif animado revisa los pasos para seleccionar un almacén para compartir, seleccionar los permisos que se van a asignar y, por último, Conceder los permisos a otro usuario.

Uso compartido de un almacén

1. Puede compartir el almacén desde el elemento OneLake o Warehouse eligiendo Compartir en acción rápida, como se resalta en la siguiente imagen.

2. Se te pedirán opciones para seleccionar con quién quieres compartir el almacén, qué permisos concederles y si se les notificará por correo electrónico.

3. Rellena todos los campos obligatorios y selecciona Conceder acceso.

4. Cuando el destinatario compartido recibe el correo electrónico, puede seleccionar Abrir y navegar a la página Catálogo de OneLake de almacenamiento.

   

5. Según el nivel de acceso al destinatario compartido, el destinatario compartido ahora puede conectarse al punto de conexión de análisis SQL, consultar los informes de almacenamiento, compilar informes o leer datos a través de Spark.

Roles de seguridad de Fabric

A continuación se muestra más detalles sobre cada uno de los permisos proporcionados:

• Si no se seleccionan permisos adicionales: el destinatario compartido recibe de forma predeterminada el permiso "Lectura", que solo permite al destinatario conectarse al punto de conexión de análisis SQL, el equivalente de los permisos CONNECT en SQL Server. El destinatario compartido no podrá consultar ninguna tabla o vista ni ejecutar ninguna función o procedimiento almacenado a menos que se les proporcione acceso a los objetos dentro del almacén mediante la instrucción GRANT de T-SQL.

Sugerencia

ReadData (usado por el almacenamiento para permisos de T-SQL), ReadAll (usado por OneLake y el punto de conexión de análisis SQL) y Build (usado por Power BI) son permisos independientes que no se superponen.

• "Leer todos los datos mediante SQL" está seleccionado (permisos "ReadData"): el destinatario compartido puede leer todos los objetos dentro del almacén. ReadData es el equivalente del rol db_datareader en SQL Server. El destinatario compartido puede leer datos de todas las tablas y vistas del almacén. Si quieres restringir aún más y proporcionar acceso granular a algunos objetos dentro del almacén, puedes hacerlo mediante instrucciones GRANT/REVOKE/DENY de T-SQL.

  • En el punto de conexión de análisis SQL del lago de datos, "Leer todos los datos del punto de conexión de SQL" equivale a "Leer todos los datos mediante SQL".

• "Leer todos los datos con Apache Spark" está seleccionado (permisos "ReadAll"): el destinatario compartido tiene acceso de lectura a los archivos parquet subyacentes de OneLake, que se pueden consumir mediante Spark. Solo se debe proporcionar ReadAll si el destinatario compartido quiere tener acceso completo a los archivos del almacén mediante el motor de Spark.

• La casilla "Compilar informes sobre el conjunto de datos predeterminado" está activada (Permisos de "compilación"): el destinatario compartido puede crear informes sobre el modelo semántico predeterminado que está conectado al almacén. Se debe proporcionar Compilar si el destinatario compartido quiere permisos de Compilar en el modelo semántico predeterminado para crear informes de Power BI sobre estos datos. La casilla Compilar está activada de forma predeterminada, pero se puede desactivar.

Permisos ReadData

Con los permisos ReadData, el destinatario compartido puede abrir el editor de almacenamiento en modo de solo lectura y consultar las tablas y vistas dentro del almacén. El destinatario compartido también puede elegir copiar el punto de conexión de análisis SQL proporcionado y conectarse a una herramienta de cliente para ejecutar estas consultas.

Permisos ReadAll

Un destinatario compartido con permisos ReadAll puede encontrar la ruta del Azure Blob File System (ABFS) al archivo específico en OneLake desde el panel Propiedades en el editor de Warehouse. Después, el destinatario compartido puede usar esta ruta de acceso dentro de un cuaderno de Spark para leer estos datos.

Por ejemplo, en la captura de pantalla siguiente, un usuario con permisos ReadAll puede consultar los datos en FactSale con una consulta de Spark en un nuevo cuaderno.

Permisos de compilación

Con los permisos de Compilar, el destinatario compartido puede crear informes sobre el modelo semántico predeterminado que está conectado al almacén. El destinatario compartido puede crear informes de Power BI desde el catálogo de OneLake o también hacer lo mismo mediante Power BI Desktop.

Administración de permisos

En la página Administrar permisos, se muestra la lista de usuarios a los que se les ha concedido acceso mediante la asignación a roles de área de trabajo o permisos de elemento.

Si eres miembro de los roles de área de trabajo Administrador o Miembro, ve al área de trabajo y selecciona Más opciones. A continuación, seleccione Administrar permisos.

En el caso de los usuarios a los que se proporcionaron roles de área de trabajo, verás el usuario, el rol de área de trabajo y los permisos correspondientes. Los miembros de los roles de área de trabajo Administrador, Miembro y Colaborador tienen acceso de lectura y escritura a los elementos de esta área de trabajo. Los visores tienen permisos ReadData y pueden consultar todas las tablas y vistas dentro del almacén de esa área de trabajo. Los permisos de elemento Read, ReadData y ReadAll se pueden proporcionar a los usuarios.

Puedes optar por agregar o quitar los permisos mediante la experiencia Administrar permisos:

• Quitar acceso quita todos los permisos de elemento.
• Quitar ReadData quita los permisos ReadData.
• Quitar ReadAll quita los permisos ReadAll.
• Quitar compilación quita permisos de compilación en el modelo semántico predeterminado correspondiente.

Características de protección de datos

El almacenamiento de datos de Microsoft Fabric admite varias tecnologías que los administradores pueden usar para proteger los datos confidenciales frente a la visualización no autorizada. Al proteger u ofuscar datos de usuarios o roles no autorizados, estas características de seguridad pueden proporcionar protección de datos en un punto de conexión de Almacén y de análisis SQL sin cambios en la aplicación.

• La seguridad de nivel de columna impide la visualización no autorizada de columnas en tablas.
• La seguridad de nivel de fila impide la visualización no autorizada de filas en tablas mediante predicados de filtro de cláusulas WHERE conocidos.
• El enmascaramiento de datos dinámico impide la visualización no autorizada de datos confidenciales mediante máscaras para evitar el acceso completo, como direcciones de correo electrónico o números.

Limitaciones

• Si proporciona permisos de elemento o quita usuarios que anteriormente tenían permisos, la propagación de permisos puede tardar hasta dos horas. Los nuevos permisos están visibles en Administrar permisos inmediatamente. Vuelva a iniciar sesión para asegurarse de que los permisos se reflejan en el punto de conexión de análisis SQL.
• Los destinatarios compartidos pueden acceder al almacén mediante la identidad del propietario (modo delegado). Asegúrese de que el propietario del almacén no se quite del área de trabajo.
• Los destinatarios compartidos solo tienen acceso al almacén que reciben y no a otros elementos dentro del mismo área de trabajo que el almacén. Si quieres otorgar permisos para que otros usuarios de tu equipo colaboren en el Almacén (acceso de lectura y escritura), agrégalos como roles de Área de trabajo; por ejemplo, Miembro o Colaborador.
• Actualmente, al compartir un almacén y elegir Leer todos los datos mediante SQL, el destinatario compartido puede acceder al editor de almacenamiento en un modo de solo lectura. Estos destinatarios compartidos pueden crear consultas, pero actualmente no pueden guardar sus consultas.
• Actualmente, el uso compartido de un almacén solo está disponible a través de la experiencia del usuario.
• Si desea proporcionar acceso pormenorizados a objetos específicos dentro del almacén, comparta el almacén sin permisos adicionales y proporcione acceso granular a objetos específicos mediante la instrucción GRANT de T-SQL. Para obtener más información, consulte Sintaxis de T-SQL para GRANT, REVOKE y DENY.
• Si ve que los permisos ReadAll y ReadData están deshabilitados en el cuadro de diálogo para compartir, actualice la página.
• Los destinatarios compartidos no tienen permiso para volver a compartir un almacén.
• Si un informe basado en el almacén se comparte con otro destinatario, el destinatario compartido necesita más permisos para acceder al informe. Esto depende del modo de acceso al modelo semántico mediante Power BI:
  • Si se accede a través del Modo de consulta directa es necesario proporcionar permisos ReadData (o permisos SQL granulares para tablas o vistas específicas) al almacén.
  • Si se accede mediante el Modo de Direct Lake, es necesario proporcionar permisos ReadData (o permisos granulares para tablas o vistas específicas) al almacén. El modo Direct Lake es el tipo de conexión predeterminado para modelos semánticos que usan un punto de conexión de análisis SQL o almacén como origen de datos. Para obtener más información, consulte Modo de lago directo.
  • Si se accede a través del modo de importación, no se necesitan permisos adicionales.
  • Actualmente, no se admite el uso compartido de un almacén directamente con un SPN.

Contenido relacionado

• Consultar el punto de conexión de análisis SQL o Warehouse en Microsoft Fabric
• Cómo usar cuadernos de Microsoft Fabric
• Acceso a los accesos directos de Fabric OneLake en un cuaderno de Apache Spark
• Navegación por el explorador de Lakehouse de Fabric
• GRANT (Transact-SQL)