Información general sobre la seguridad de OneLake
OneLake es un lago de datos jerárquico, como Azure Data Lake Storage (ADLS) Gen2 o el sistema de archivos de Windows. Esta estructura permite establecer la seguridad en distintos niveles de la jerarquía para controlar el acceso. Algunos niveles de la jerarquía reciben un tratamiento especial, ya que se correlacionan con los conceptos de Fabric.
Área de trabajo: un entorno de colaboración para crear y administrar elementos.
Elemento: un conjunto de funcionalidades agrupadas en un solo componente. Un elemento de datos es un subtipo de elemento que permite almacenar los datos dentro de él mediante OneLake.
Carpetas: carpetas dentro de un elemento que se usan para almacenar y administrar datos.
Los elementos siempre residen dentro de áreas de trabajo y las áreas de trabajo siempre residen directamente bajo el espacio de nombres de OneLake. Puede visualizar esta estructura de la siguiente manera:
Permisos de área de trabajo
Los permisos del área de trabajo permiten definir el acceso a todos los elementos de un área de trabajo. Hay cuatro roles de área de trabajo diferentes, y cada uno concede distintos tipos de acceso.
Role | ¿Puede agregar administradores? | ¿Puede agregar miembros? | ¿Puede escribir datos y crear elementos? | ¿Puede leer datos? |
---|---|---|---|---|
Administración | Sí | Sí | Sí | Sí |
Member | No | Sí | Sí | Sí |
Colaborador | No | No | Sí | Sí |
Espectador | No | N.º | No | Sí |
Nota:
Puede ver el elemento Warehouse con roles de lectura y escritura, pero solo puede escribir en almacenes mediante consultas SQL.
Puede simplificar la administración de roles de área de trabajo de Fabric mediante su asignación a grupos de seguridad. Este método le permite controlar el acceso agregando o quitando miembros del grupo de seguridad.
Permisos de elemento
Con la característica de uso compartido, puede conceder a un usuario acceso directo a un elemento. El usuario solo puede ver ese elemento en el área de trabajo y no es miembro de ningún rol de área de trabajo. Los permisos de elemento conceden acceso para conectarse a ese elemento y a qué puntos de conexión de elemento puede acceder el usuario.
Permiso | ¿Ve los metadatos del elemento? | ¿Ver datos en SQL? | ¿Ver datos en OneLake? |
---|---|---|---|
Lectura | Sí | No | No |
ReadData | No | Sí | No |
ReadAll | No | No | Sí* |
*No es aplicable a los elementos con roles de acceso a datos de OneLake (versión preliminar) habilitados. Si la versión preliminar está habilitada, ReadAll solo concederá acceso si el rol DefaultReader está en uso. Si ese rol se edita o elimina, en su lugar el acceso se concede en función de los roles de acceso a datos de los que forma parte el usuario.
Otra manera de configurar permisos es a través de la página Administrar permisosde un elemento. Con esta página, puede agregar o quitar permisos de elemento individuales para usuarios o grupos. El tipo de elemento determina los permisos exactos disponibles.
Permisos de proceso
También se puede proporcionar acceso a los datos desde el motor de proceso de SQL en Microsoft Fabric. El acceso concedido a través de SQL solo se aplica a los usuarios que acceden a los datos a través de SQL, pero puede usar esta seguridad para proporcionar acceso más selectivo a determinados usuarios. En su estado actual, SQL admite la restricción del acceso a tablas y esquemas específicos, y también la seguridad de nivel de fila y de columna.
Los usuarios que acceden a datos mediante SQL pueden ver resultados diferentes que al acceder a los datos directamente en OneLake en función de los permisos de proceso aplicados. Para evitarlo, asegúrese de que los permisos de elemento de un usuario están configurados para concederle acceso solo al punto de conexión de análisis de SQL (mediante ReadData) u OneLake (mediante ReadAll o la versión preliminar de los roles de acceso a datos).
En el ejemplo siguiente, a un usuario se le concede acceso de solo lectura a un almacén de lago mediante el uso compartido de elementos. Al usuario se le concede el permiso SELECT en una tabla mediante el punto de conexión de análisis SQL. Cuando ese usuario intenta leer datos a través de las API de OneLake, se le deniega el acceso porque no tiene permisos suficientes. El usuario puede leer correctamente las instrucciones SELECT de SQL.
Roles de acceso a datos de OneLake (versión preliminar)
Los roles de acceso a datos de OneLake son una nueva característica que permite aplicar el control de acceso basado en rol (RBAC) a los datos almacenados en OneLake. Puede definir roles de seguridad que concedan acceso de lectura a carpetas específicas dentro de un elemento de Fabric y asignarlos a usuarios o grupos. Los permisos de acceso determinan qué carpetas ven los usuarios al acceder a la vista de lago de los datos mediante la experiencia del usuario de almacén de lago de datos, cuadernos o API de OneLake.
Los usuarios de Fabric con los roles de Administrador, Miembro o Colaborador pueden empezar a crear roles de acceso a datos de OneLake para conceder acceso solo a carpetas específicas de un lago de datos. Para conceder acceso a los datos de un lago de datos, agregue usuarios a un rol de acceso a datos. Los usuarios que no forman parte de un rol de acceso a datos no verán datos en ese almacén de lago.
Más información sobre cómo crear roles de acceso a datos en Introducción a los roles de acceso a datos.
Más información sobre el modelo de seguridad para los roles de acceso Modelo de control de acceso a datos.
Seguridad de acceso directo
Los accesos directos de Microsoft Fabric permiten una administración de datos simplificada, pero hay que tener en cuenta algunos aspectos de seguridad. Para obtener información sobre cómo administrar la seguridad de acceso directo, consulte este documento.
En el caso de los roles de acceso a datos de OneLake (versión preliminar), los accesos directos reciben un tratamiento especial en función del tipo de acceso directo. El acceso a un acceso directo de OneLake siempre se controla mediante los roles de acceso en el destino del acceso directo. Esto significa que, para un acceso directo de Almacén de lagoA a Almacén de lagoB, surte efecto la seguridad de Almacén de lagoB. Los roles de acceso a datos en Almacén de lagoA no pueden conceder ni editar la seguridad del acceso directo a Almacén de lagoB.
Para los accesos directos externos a Amazon S3 o ADLS Gen2, la seguridad se configura mediante roles de acceso a datos en el propio almacén de lago. Un acceso directo desde Almacén de lagoA a un cubo de S3 puede tener roles de acceso a datos configurados en Almacén de lagoA. Es importante tener en cuenta que solo el nivel raíz del acceso directo puede tener aplicada la seguridad. La asignación de acceso a las subcarpetas del acceso directo provocará errores de creación de roles.
Más información sobre el modelo de seguridad para los accesos directos en Modelo de control de acceso a datos