Configuración del control de acceso pormenorizado para una base de datos SQL
Se aplica a:✅bases de datos SQL en Microsoft Fabric
Los roles de área de trabajo de Fabric y los permisos de elemento permiten configurar fácilmente la autorización para los usuarios de la base de datos que necesitan acceso administrativo completo o acceso de solo lectura a la base de datos.
Para configurar el acceso granular a la base de datos, use controles de acceso de SQL: roles de nivel de base de datos, permisos de SQL o seguridad de nivel de fila (RLS).
Puede administrar la pertenencia a roles de nivel de base de datos y definir roles personalizados (definidos por el usuario) para escenarios comunes de acceso a datos mediante el portal de Fabric. Puede configurar todos los controles de acceso de SQL mediante Transact-SQL.
Administración de roles de nivel de base de datos SQL desde el portal de Fabric
Para empezar a administrar roles de nivel de base de datos para una base de datos SQL de Fabric:
- Vaya y abra la base de datos en el portal de Fabric.
- En el menú principal, seleccione Seguridad y seleccione Administrar seguridad de SQL.
- Se abre la página Administrar seguridad de SQL.
Para agregar un nuevo rol de nivel de base de datos personalizado (definido por el usuario) que permita a sus miembros acceder a objetos en esquemas específicos de la base de datos:
- En la página Administrar seguridad de SQL, seleccione Nuevo.
- En la página Nuevo rol, escriba un nombre de rol.
- Seleccione uno o varios esquemas.
- Seleccione los permisos que desea conceder para los miembros de rol para cada esquema seleccionado. Los permisos Seleccionar, Insertar, Actualizar y Eliminar se aplican a todas las tablas y vistas de un esquema. El permiso Ejecutar se aplica a todos los procedimientos almacenados y funciones de un esquema.
- Seleccione Guardar.
Para modificar la definición de un rol de nivel de base de datos personalizado:
- En la página Administrar seguridad de SQL, seleccione un rol personalizado y seleccione Editar.
- Cambie los permisos de un nombre de rol o rol para los esquemas de la base de datos.
Nota:
La página Administrar la seguridad de SQL le permite ver y administrar solo los cinco permisos de nivel de esquema. Si ha concedido el rol
SELECT,INSERT,UPDATE,DELETEoEXECUTEpara un objeto distinto de un esquema, o si ha concedido al rol otros permisos a través de la instrucción GRANT de Transact-SQL, la página Administrar seguridad de SQL no las muestra. - Seleccione Guardar.
Para eliminar un rol personalizado de nivel de base de datos:
- En la página Administrar seguridad de SQL, seleccione un rol y seleccione Eliminar.
- Seleccione Eliminar de nuevo, cuando se le solicite.
Para ver la lista de miembros de rol y agregar o quitar miembros de rol:
- En la página Administrar seguridad de SQL, seleccione un rol integrado o un rol personalizado y seleccione Administrar acceso.
- Para agregar miembros de rol:
- En el campo Agregar personas, grupos o aplicaciones, escriba un nombre y seleccione un usuario, un grupo o una aplicación en los resultados de búsqueda. Puede repetirlo para agregar otras personas, grupos o aplicaciones.
- Seleccione Agregar.
- Si algunos de los miembros de rol, va a agregar, no tienen el permiso Leer elemento para la base de datos en Fabric, se muestra el botón Compartir base de datos. Selecciónelo para abrir el cuadro de diálogo Conceder acceso a personas y seleccione Conceder para compartir la base de datos. Conceder permisos compartidos a la base de datos concederá el permiso Leer elemento a los miembros de rol que aún no lo tienen. Para obtener más información sobre cómo compartir una base de datos SQL, consulte Uso compartido de la base de datos SQL y administración de permisos.
Importante
Para conectarse a una base de datos, un usuario o una aplicación deben tener el permiso Leer elemento para la base de datos en Fabric, independientemente de su pertenencia a roles de nivel de base de datos SQL o permisos de SQL dentro de la base de datos.
- Para quitar miembros de rol:
- Seleccione los miembros de rol que desea quitar.
- Seleccione Quitar.
- Para agregar miembros de rol:
- Seleccione Guardar para guardar los cambios en la lista de miembros de rol.
Nota:
Cuando se agrega un nuevo miembro de rol que no tiene ningún objeto de usuario en la base de datos, el portal de Fabric crea automáticamente un objeto de usuario para el miembro de rol en su nombre (mediante CREATE USER (Transact-SQL)). El portal de Fabric no quita objetos de usuario de la base de datos, cuando se quita un miembro de rol de un rol.
Configuración de controles SQL con Transact-SQL
Para configurar el acceso para un usuario o una aplicación mediante Transact SQL:
- Comparta la base de datos con el usuario o la aplicación o con el grupo de Microsoft Entra al que pertenece también el usuario o la aplicación. Compartir la base de datos garantiza que el usuario o la aplicación tengan el permiso Leer elemento para la base de datos en Fabric, que es necesario para conectarse a la base de datos. Para obtener más información, consulte Uso compartido de la base de datos SQL y administración de permisos.
- Cree un objeto de usuario para el usuario, la aplicación o su grupo en la base de datos, mediante CREATE USER (Transact-SQL) y la cláusula
FROM EXTERNAL PROVIDER. Para obtener más información, consulte Creación de usuarios de base de datos para identidades de Microsoft Entra. - Configure los controles de acceso deseados:
- Definir roles de nivel de base de datos personalizados (definidos por el usuario). Para administrar definiciones de roles personalizados, use CREATE ROLE, ALTER ROLEy DROP ROLE.
- Agregue el objeto de usuario a roles personalizados o integrados (fijos) con las opciones
ADD MEMBERyDROP MEMBERde la instrucción ALTER ROLE. - Configure permisos SQL pormenorizados para el objeto de usuario con las instrucciones GRANT, REVOKE y DENY.
- Configure la seguridad de nivel de fila (RLS) para conceder o denegar el acceso a filas específicas de una tabla al objeto de usuario.