Compartir vía


Autorización en base de datos SQL de Microsoft Fabric

Se aplica a:Base de datos SQL de Microsoft Fabric

En este artículo se explica el control de acceso para los elementos de base de datos SQL en Fabric.

Puede configurar el acceso para la base de datos SQL en dos niveles:

Los controles de acceso en estos dos niveles diferentes funcionan conjuntamente.

  • Para conectarse a una base de datos, un usuario debe tener al menos el permiso de lectura en Fabric para el elemento de base de datos de Fabric.
  • Puede conceder acceso a datos o funcionalidades específicas al usar controles de acceso de Fabric, controles de acceso de SQL o ambos. Solo se puede conceder un permiso para conectarse a la base de datos con roles o permisos de Fabric.
  • Denegar el acceso (con la instrucción Transact-SQL DENY) en la base de datos siempre tiene prioridad.

Nota:

Las directivas de protección de Microsoft Purview pueden aumentar el permiso efectivo para los usuarios de bases de datos. Si su organización usa Microsoft Purview con Microsoft Fabric, consulte Protección de datos confidenciales en SQL Database con directivas de protección de Microsoft Purview.

Controles de acceso de Fabric

En Fabric, puede controlar el acceso mediante roles de área de trabajo y permisos de elemento de Fabric.

Roles de área de trabajo

Los roles de área de trabajo de Fabric permiten administrar quién puede realizar determinadas funciones en un área de trabajo de Microsoft Fabric.

En la tabla siguiente se capturan las funcionalidades específicas de la base de datos SQL y los miembros de roles de área de trabajo concretos pueden tener acceso.

Funcionalidad Rol de administrador Rol de miembro Rol de colaborador Rol de espectador
Acceso administrativo completo y acceso total a los datos No
Leer datos y metadatos
Conexión a la base de datos

Permisos de elemento

Los permisos de elemento de Fabric controlan el acceso a los elementos individuales de Fabric de un área de trabajo. Distintos elementos de Fabric tienen permisos diferentes. En la tabla siguiente se enumeran los permisos de elementos que son aplicables a los elementos de base de datos SQL.

Permiso Funcionalidad
Leer Conectarse a la base de datos
ReadData Leer datos y metadatos
ReadAll Leer datos reflejados directamente desde archivos OneLake
Compartir Compartir elemento y administrar permisos de elemento de Fabric
Escribir Acceso administrativo completo y acceso total a los datos

La forma más sencilla de conceder permisos de elemento es agregar un usuario, una aplicación o un grupo a un rol de área de trabajo. La pertenencia a cada rol implica que los miembros del rol tienen un subconjunto de permisos para todas las bases de datos del área de trabajo, como se especifica en la tabla siguiente.

Role Lectura ReadAll ReadData Escribir Compartir
Administrador
Member
Colaborador No
Visor No No

Compartir permisos de elemento

También puede conceder los permisos Read, ReadAll y ReadData para una base de datos individual mediante el uso compartido del elemento de base de datos a través de la acción rápida Compartir en el portal de Fabric. Puede ver y administrar los permisos concedidos para un elemento de base de datos a través de la acción rápida Administrar permisos en el portal de Fabric. Para obtener más información, consulte Uso compartido de la base de datos SQL y administración de permisos.

Controles de acceso de SQL

Los siguientes conceptos de SQL permiten un control de acceso mucho más pormenorizado en comparación con los roles de área de trabajo y permisos de elemento de Fabric.

  • Roles de nivel de base de datos. Existen dos tipos de roles en el nivel de base de datos: los roles fijos de base de datos que están predefinidos en la base de datos y los roles de base de datos definidos por el usuario que puede crear.
    • Puede administrar la pertenencia a roles de nivel de base de datos y definir roles definidos por el usuario para escenarios comunes en el portal de Fabric.
    • También puede administrar definiciones de roles y de pertenencia a roles mediante Transact-SQL.
      • Para agregar y quitar usuarios en un rol de base de datos, use las opciones ADD MEMBER y DROP MEMBER de la instrucción ALTER ROLE . Para administrar definiciones de roles definidos por el usuario, utilice CREATE ROLE, ALTER ROLE y DROP ROLE.
  • Permisos de SQL. Puede administrar permisos para usuarios o roles de base de datos mediante las instrucciones Transact-SQL GRANT, REVOKE y DENY.
  • La seguridad a nivel de fila (RLS) permite controlar el acceso a filas específicas de una tabla.

Para obtener más información, consulte Configuración del control de acceso pormenorizado para una base de datos SQL.