Segurança para armazenamento de dados no Microsoft Fabric
Aplica-se a:✅ ponto de extremidade de análise do SQL e Warehouse no Microsoft Fabric
Este artigo aborda os tópicos de segurança para proteger o ponto de extremidade de análise do SQL do lakehouse e o warehouse no Microsoft Fabric.
Para obter informações sobre a segurança do Microsoft Fabric, consulte Segurança no Microsoft Fabric.
Para saber mais sobre como se conectar ao ponto de extremidade de análise e warehouse de SQL, confira Conectividade.
Modelo de acesso ao warehouse
As permissões do Microsoft Fabric e as permissões granulares do SQL funcionam juntas para controlar o acesso ao Warehouse e as permissões de usuário uma vez conectadas.
- A conectividade do warehouse depende da concessão da permissão de Leitura do Microsoft Fabric, no mínimo, para o Warehouse.
- As permissões de item do Microsoft Fabric permitem fornecer permissões SQL a um usuário, sem a necessidade de conceder essas permissões no SQL.
- As funções de workspace do Microsoft Fabric fornecem permissões do Microsoft Fabric para todos os warehouses em um workspace.
- As permissões de usuário granulares podem ser gerenciadas ainda mais por meio do T-SQL.
Funções de workspace
As funções de workspace são usadas para colaboração em equipe de desenvolvimento em um workspace. A atribuição de função determina as ações disponíveis para o usuário e se aplica a todos os itens dentro do workspace.
- Para obter uma visão geral das funções de workspace do Microsoft Fabric, consulte Funções nos workspaces.
- Para obter instruções sobre como atribuir funções do espaço de trabalho, consulte Conceder acesso ao espaço de trabalho.
Para obter detalhes sobre os recursos específicos do Warehouse fornecidos por meio de funções de workspace, consulte Funções de workspace no armazenamento de dados do Fabric.
Permissões de item
Diferentemente das funções de workspace, que se aplicam a todos os itens em um workspace, é possível usar permissões de item para conceder acesso a warehouses individuais. O usuário receberá a permissão atribuída nesse único warehouse. A principal finalidade dessas permissões é habilitar o compartilhamento para consumo downstream do Warehouse.
Para obter detalhes sobre as permissões específicas fornecidas para warehouses, consulte Compartilhar seus dados e gerenciar permissões.
Segurança granular
As funções de workspace e as permissões de item fornecem uma maneira fácil de atribuir permissões grosseiras a um usuário para todo o warehouse. No entanto, em alguns casos, permissões mais granulares são necessárias para um usuário. Para fazer isso, constructos T-SQL padrão podem ser usados para fornecer permissões específicas aos usuários.
O armazenamento de dados do Microsoft Fabric dá suporte a várias tecnologias de proteção de dados que os administradores podem usar para proteger dados confidenciais contra acesso não autorizado. Ao proteger ou ofuscar dados de usuários ou funções não autorizadas, esses recursos de segurança podem fornecer proteção de dados em um ponto de extremidade do SQL e o Warehouse sem alterações no aplicativo.
- A segurança no nível do objeto controla o acesso a objetos de banco de dados específicos.
- A segurança em nível de coluna impede a exibição não autorizada de colunas em tabelas.
- A segurança em nível de linha impede a exibição não autorizada de linhas em tabelas, usando predicados de filtro de cláusula familiares
WHERE
. - O mascaramento de dados dinâmicos impede a exibição não autorizada de dados confidenciais usando máscaras para impedir a conclusão do acesso, como endereços de email ou números.
Segurança em nível de objeto
A segurança em nível de objeto é um mecanismo de segurança que controla o acesso a objetos de banco de dados específicos, como tabelas, exibições ou procedimentos, com base em privilégios ou funções do usuário. Ele garante que os usuários ou funções só possam interagir e manipular os objetos para os quais receberam permissões, protegendo a integridade e a confidencialidade do esquema de banco de dados e seus recursos associados.
Para obter detalhes sobre o gerenciamento de permissões granulares no SQL, consulte Permissões granulares do SQL.
Segurança em nível de linha
A segurança em nível de linha é um recurso de segurança de banco de dados que restringe o acesso a linhas ou registros individuais em uma tabela de banco de dados com base em critérios especificados, como funções de usuário ou atributos. Ele garante que os usuários só possam visualizar ou manipular dados que estejam explicitamente autorizados para seu acesso, melhorando a privacidade e o controle dos dados.
Para obter detalhes sobre segurança em nível de linha, consulte segurança em nível de linha no armazenamento de dados do Fabric.
Segurança ao nível da coluna
A segurança em nível de coluna é uma medida de segurança de banco de dados que limita o acesso a colunas ou campos específicos dentro de uma tabela de banco de dados, permitindo que os usuários vejam e interajam apenas com as colunas autorizadas enquanto ocultam informações confidenciais ou restritas. Ele oferece controle refinado sobre o acesso a dados, protegendo dados confidenciais em um banco de dados.
Para obter detalhes sobre segurança em nível de coluna, consulte Segurança em nível de coluna no armazenamento de dados do Fabric.
Mascaramento de dados dinâmicos
O mascaramento de dados dinâmicos ajuda a impedir a exibição não autorizada de dados confidenciais, permitindo que os administradores especifiquem a quantidade de dados confidenciais a serem revelados, com efeito mínimo na camada do aplicativo. O mascaramento de dados dinâmico pode ser configurado em campos de banco de dados designados para ocultar dados confidenciais nos conjuntos de resultados de consultas. Com o mascaramento de dados dinâmico, os dados no banco de dados não são alterados, portanto, podem ser usados com aplicativos existentes, uma vez que as regras de mascaramento são aplicadas aos resultados da consulta. Muitos aplicativos podem mascarar dados confidenciais sem modificar consultas existentes.
Para obter detalhes sobre mascaramento de dados dinâmicos, consulte Mascaramento de dados dinâmicos no armazenamento de dados do Fabric.
Compartilhar um warehouse
O compartilhamento é uma maneira conveniente de fornecer aos usuários acesso de leitura ao warehouse para consumo downstream. O compartilhamento permite que os usuários downstream em sua organização consumam um Warehouse por meio do SQL, do Spark ou do Power BI. Você pode personalizar o nível de permissões que o destinatário compartilhado recebe para fornecer o nível apropriado de acesso.
Para obter mais informações sobre compartilhamento, consulte Compartilhar seu dados e gerenciar permissões.
Diretrizes sobre o acesso do usuário
Ao avaliar as permissões a serem atribuídas a um usuário, considere as seguintes diretrizes:
- Somente os membros da equipe que estão colaborando atualmente na solução devem ser atribuídos a funções do Workspace (Administração, Membro, Colaborador), pois isso lhes fornece acesso a todos os itens dentro do workspace.
- Se eles exigirem principalmente acesso somente leitura, atribua-os à função Visualizador e conceda acesso de leitura em objetos específicos por meio do T-SQL. Para obter mais informações, consulte Gerenciar permissões granulares do SQL.
- Se forem usuários com privilégios mais altos, atribua-os às funções Administração, Membro ou Colaborador. A função apropriada depende das outras ações que elas precisam executar.
- Outros usuários, que só precisam de acesso a um warehouse individual ou exigem acesso apenas a objetos SQL específicos, devem receber permissões de Item de Malha e conceder acesso por meio de SQL aos objetos específicos.
- Você também pode gerenciar permissões em grupos do Microsoft Entra ID (antigo Azure Active Directory), em vez de adicionar cada membro específico. Para obter mais informações, confira Autenticação do Microsoft Entra como uma alternativa para a autenticação SQL no Microsoft Fabric.
Logs de auditoria do usuário
Para acompanhar a atividade do usuário no warehouse e ponto de extremidade de análise do SQL, a fim de atender aos requisitos de conformidade regulatória e gerenciamento de registros, um conjunto de atividades de auditoria pode ser acessado por meio do Microsoft Purview e do PowerShell. Você pode usar logs de auditoria do usuário para identificar quem está tomando qual ação nos seus itens do Fabric.
Para obter mais informações sobre como acessar logs de auditoria do usuário, visite Acompanhar as atividades do usuário no Microsoft Fabric e na Lista de operações.