Protección y supervisión del almacenamiento de datos
La seguridad y la supervisión son aspectos críticos de la administración del almacenamiento de datos.
Seguridad
La seguridad del almacenamiento de datos es importante para proteger los datos frente al acceso no autorizado. Fabric proporciona una serie de características de seguridad que le ayudarán a proteger el almacenamiento de datos. Entre ellas se incluyen las siguientes:
- Control de acceso basado en rol (RBAC) para controlar el acceso al almacenamiento y a sus datos.
- Cifrado SSL para proteger la comunicación entre el almacenamiento y las aplicaciones cliente.
- Azure Storage Service Encryption para proteger los datos en tránsito y en reposo.
- Azure Monitor y Azure Log Analytics para supervisar la actividad de almacenamiento y auditar el acceso a los datos.
- Autenticación multifactor (MFA) para agregar una capa adicional de seguridad a las cuentas de usuario.
- Integración de Microsoft Entra ID para administrar las identidades de usuario y el acceso al almacenamiento.
Permisos de área de trabajo
Los datos de Fabric se organizan en áreas de trabajo, que se usan para controlar el acceso y administrar el ciclo de vida de los datos y los servicios. Los roles de área de trabajo adecuados son la primera línea de defensa en la protección del almacenamiento de datos.
Además de los roles de área de trabajo, puede conceder permisos de elemento y acceso a través de SQL.
Sugerencia
Consulte Áreas de trabajo en Power BI para obtener más información sobre los roles de área de trabajo.
Permisos de elemento
A diferencia de los roles de área de trabajo, que se aplican a todos los elementos de un área de trabajo, puede usar permisos de elemento para conceder acceso a almacenes individuales. Esto le permite compartir un único almacenamiento de datos para el consumo de bajada.
Puede conceder permisos a los usuarios a través de T-SQL o en el portal de Fabric. Conceda los permisos siguientes a los usuarios que necesitan acceder al almacenamiento de datos:
- Read: permite al usuario CONECTARSE mediante la cadena de conexión SQL.
- ReadData: permite al usuario leer datos de cualquier tabla o vista dentro del almacén.
- ReadAll: permite al usuario leer datos de los archivos de Parquet sin procesar en OneLake que Spark puede consumir.
Se producirá un error en una conexión de usuario con el punto de conexión de análisis SQL si, como mínimo, no se tiene permiso de lectura.
Supervisión
La supervisión de las actividades en el almacenamiento de datos es fundamental para garantizar el rendimiento óptimo, el uso eficaz de los recursos y la seguridad. Lo ayuda a identificar incidencias, detectar anomalías y tomar medidas para que el almacenamiento de datos se ejecute sin problemas y de forma segura.
Puede usar vistas de administración dinámica (DMV) para supervisar el estado de conexión, sesión y solicitud para ver información dinámica del ciclo de vida de las consultas SQL. Con DMV, puede obtener detalles como el número de consultas activas e identificar qué consultas se ejecutan durante un período prolongado y requieren terminación.
Actualmente hay tres DMV disponibles para su uso en Fabric:
- sys.dm_exec_connections: devuelve información sobre cada conexión establecida entre el almacén y el motor.
- sys.dm_exec_sessions: devuelve información sobre cada sesión autenticada entre el elemento y el motor.
- sys.dm_exec_requests: devuelve información sobre cada solicitud activa en una sesión.
Supervisión de consultas
Use "sys.dm_exec_requests" para identificar consultas de larga duración que puedan afectar al rendimiento general de la base de datos y tomar las medidas adecuadas para optimizar o finalizar esas consultas.
Empiece por identificar las consultas que se han estado ejecutando durante mucho tiempo. Use la siguiente consulta para identificar qué consultas se han estado ejecutando durante más tiempo, en orden descendente:
SELECT request_id, session_id, start_time, total_elapsed_time
FROM sys.dm_exec_requests
WHERE status = 'running'
ORDER BY total_elapsed_time DESC;
Puede seguir investigando para comprender qué usuario ejecutó la sesión con la consulta de ejecución prolongada. Para ello, ejecute:
SELECT login_name
FROM sys.dm_exec_sessions
WHERE 'session_id' = 'SESSION_ID WITH LONG-RUNNING QUERY';
Por último, puede usar el comando KILL
para finalizar la sesión con la consulta de ejecución prolongada:
KILL 'SESSION_ID WITH LONG-RUNNING QUERY';
Importante
Debe ser administrador de área de trabajo para ejecutar el comando KILL
. Los administradores de área de trabajo pueden ejecutar las tres DMV. Los roles Miembro, Colaborador y Visor pueden ver sus propios resultados dentro del almacén, pero no pueden ver los resultados de otros usuarios.