Compartilhar via


Compartilhar os dados e gerenciar as permissões

Aplica-se a:Warehouse e Banco de Dados Espelhado no Microsoft Fabric

O compartilhamento é uma maneira conveniente de fornecer aos usuários acesso de leitura aos dados para consumo downstream. O compartilhamento permite que os usuários downstream em sua organização consumam um Warehouse por meio do T-SQL, do Spark ou do Power BI. Você pode personalizar o nível de permissões que o destinatário compartilhado recebe para fornecer o nível apropriado de acesso.

Observação

Você deve ser um administrador ou membro em seu workspace para compartilhar um item no Microsoft Fabric.

Introdução

Depois de identificar o item do Warehouse que você gostaria de compartilhar com outro usuário no workspace do Fabric, selecione a ação rápida na linha para Compartilhar.

O gif animado a seguir analisa as etapas para selecionar um warehouse a ser compartilhado, selecionar as permissões a serem atribuídas e, por fim, Conceder as permissões a outro usuário.

Um gif animado mostrando a interação com o portal do Fabric, onde um usuário compartilha um warehouse no Microsoft Fabric com outro usuário.

Compartilhar um warehouse

  1. Você pode compartilhar seu Warehouse no item do OneLake ou Warehouse escolhendo Compartilhar em uma ação rápida, conforme realçado na imagem a seguir.

  2. Você será solicitado com opções para selecionar com quem deseja compartilhar o Warehouse, com quais permissões conceder e se eles serão notificados por email.

  3. Preencha todos os campos necessários, selecione Conceder acesso.

  4. Quando o destinatário compartilhado recebe o email, ele pode selecionar Abrir e navegar até a página catálogo de Warehouse do OneLake.

    Captura de tela mostrando a notificação por e-mail do usuário compartilhado de um warehouse compartilhado.

  5. Dependendo do nível de acesso que o destinatário compartilhado recebeu, o destinatário compartilhado agora pode se conectar ao ponto de extremidade de análise do SQL, consultar o Warehouse, criar relatórios ou ler dados por meio do Spark.

Funções de segurança do Fabric

Veja mais detalhes sobre cada uma das permissões fornecidas:

  • Se nenhuma permissão adicional for selecionada: por padrão, o destinatário compartilhado receberá a permissão "Leitura", que só permite que o destinatário se conecte ao ponto de extremidade de análise do SQL, o equivalente a permissões CONNECT no SQL Server. O destinatário compartilhado não poderá consultar nenhuma tabela ou exibição ou executar qualquer função ou procedimento armazenado, a menos que eles tenham acesso a objetos no Warehouse usando a instrução T-SQL GRANT.

Dica

ReadData (usado pelo warehouse para permissões T-SQL), ReadAll (usado pelo OneLake e pelo ponto de extremidade de análise do SQL) e Build (usado pelo Power BI) são permissões separadas que não se sobrepõem.

  • "Ler todos os dados usando SQL" está selecionado (permissões "ReadData")- O destinatário compartilhado pode ler todos os objetos no Warehouse. ReadData é o equivalente a db_datareader função em SQL Server. O destinatário compartilhado pode ler dados de todas as tabelas e exibições no Warehouse. Se você quiser restringir ainda mais e fornecer acesso granular a alguns objetos no Warehouse, poderá fazer isso usando instruções T-SQL GRANT/REVOKE/DENY.

    • No ponto de extremidade de análise do SQL do Lakehouse, "Ler todos os dados do ponto de extremidade do SQL" é equivalente a "Ler todos os dados usando SQL".
  • "Ler todos os dados usando o Apache Spark" está selecionado (permissões "ReadAll"): o destinatário compartilhado tem acesso de leitura aos arquivos parquet subjacentes no OneLake, que podem ser consumidos usando o Spark. ReadAll só deverá ser fornecido se o destinatário compartilhado quiser acesso completo aos arquivos do warehouse usando o mecanismo spark.

  • A caixa de seleção "Criar relatórios no conjunto de dados padrão" está selecionada (permissões "Compilar") – o destinatário compartilhado pode criar relatórios sobre o modelo semântico padrão que está conectado ao seu warehouse. O Build deverá ser fornecido se o destinatário compartilhado quiser permissões de Build no modelo semântico padrão para criar relatórios do Power BI nesses dados. A caixa de seleção Build está marcada por padrão, mas pode ser desmarcada.

Permissões ReadData

Com as permissões ReadData , o destinatário compartilhado pode abrir o editor do Warehouse no modo somente leitura e consultar as tabelas e exibições no Warehouse. O destinatário compartilhado também pode optar por copiar o ponto de extremidade de análise do SQL fornecido e se conectar a uma ferramenta de cliente para executar essas consultas.

Permissões ReadAll

Um destinatário compartilhado com permissões ReadAll pode encontrar o caminho do Azure Blob File System (ABFS) para o arquivo específico no OneLake no painel Propriedades no editor do Warehouse. Em seguida, o destinatário compartilhado pode usar esse caminho em um Bloco de Anotações do Spark para ler esses dados.

Por exemplo, na captura de tela a seguir, um usuário com permissões ReadAll pode consultar os dados no FactSale com uma consulta do Spark em um novo notebook.

Captura de tela do portal do Fabric em que um usuário abre um bloco de anotações do Spark para consultar o atalho do Warehouse.

Permissões de build

Com as permissões de Build, o destinatário compartilhado pode criar relatórios sobre o modelo semântico padrão que está conectado ao Warehouse. O destinatário compartilhado pode criar relatórios do Power BI no catálogo do OneLake ou também fazer o mesmo usando o Power BI Desktop.

Gerenciar permissões

A página Gerenciar permissões mostra a lista de usuários que receberam acesso por meio da atribuição de funções no Workspace ou de permissões de itens (conforme descrito anteriormente neste artigo).

Se você for membro das funções de workspace Administrador ou Membro, acesse o workspace e selecione Mais opções. Em seguida, selecione Gerenciar permissões.

Captura de tela mostrando um usuário selecionando Gerenciar permissões no menu de contexto do warehouse.

Para usuários que receberam funções de workspace, você verá o usuário correspondente, a função de workspace e as permissões correspondentes. Os membros das funções de workspace Administrador, Membro e Colaborador têm acesso de leitura/gravação a itens neste workspace. Os visualizadores têm permissões ReadData e podem consultar todas as tabelas e exibições dentro do Warehouse nesse workspace. As permissões de item Read, ReadData e ReadAll podem ser fornecidas aos usuários.

Captura de tela mostrando a página Gerenciar permissões do Warehouse no portal do Fabric.

Você pode optar por adicionar ou remover permissões usando Gerenciar permissões:

  • Remover acesso remove todas as permissões de item.
  • Remover ReadData remove as permissões ReadData.
  • Remove ReadAll remove permissões ReadAll.
  • Remover build remove permissões de Build no modelo semântico padrão correspondente.

Captura de tela mostrando um usuário removendo a permissão ReadAll de um destinatário compartilhado.

Recursos de proteção de dados

O armazenamento de dados do Microsoft Fabric dá suporte a várias tecnologias que os administradores podem usar para proteger dados confidenciais contra exibição não autorizada. Ao proteger ou ofuscar dados de usuários ou funções não autorizadas, esses recursos de segurança podem fornecer proteção de dados em um ponto de extremidade do SQL e o Warehouse sem alterações no aplicativo.

Limitações

  • Se você fornecer permissões de item ou remover usuários que tinham permissões anteriormente, a propagação de permissão poderá levar até duas horas. As novas permissões ficam visíveis imediatamente em Gerenciar permissões. Entre novamente para garantir que as permissões sejam refletidas no ponto de extremidade de análise do SQL.
  • Os destinatários compartilhados podem acessar o Warehouse usando a identidade do proprietário (modo delegado). Verifique se o proprietário do Warehouse não foi removido do workspace.
  • Os destinatários compartilhados só têm acesso ao Warehouse que recebem e não a outros itens no mesmo workspace que o Warehouse. Se você quiser fornecer permissões para que outros usuários em sua equipe colaborem no Warehouse (acesso de leitura e gravação), adicione-os como funções de workspace, como Membro ou Colaborador.
  • Atualmente, quando você compartilha um Warehouse e escolhe Ler todos os dados usando SQL, o destinatário compartilhado pode acessar o editor do Warehouse em um modo somente leitura. Esses destinatários compartilhados podem criar consultas, mas não podem salvar suas consultas no momento.
  • Atualmente, o compartilhamento de um Warehouse só está disponível por meio da experiência do usuário.
  • Se você quiser fornecer acesso granular a objetos específicos no Warehouse, compartilhe o Warehouse sem permissões adicionais e forneça acesso granular a objetos específicos usando a instrução T-SQL GRANT. Para obter mais informações, consulte Sintaxe T-SQL para GRANT, REVOKE e DENY.
  • Se você vir que as permissões ReadAll e ReadData estão desabilitadas na caixa de diálogo de compartilhamento, atualize a página.
  • Os destinatários compartilhados não têm permissão para compartilhar novamente um Warehouse.
  • Se um relatório criado sobre o Warehouse for compartilhado com outro destinatário, o destinatário compartilhado precisará de mais permissões para acessar o relatório. Isso depende do modo de acesso ao modelo semântico pelo Power BI:
    • Se acessadas por meio do Modo de consulta direta , as permissões ReadData (ou aspermissões granulares do SQL para tabelas/modos de exibição específicos) precisarão ser fornecidas ao Warehouse.
    • Se acessadas por meio do modo Direct Lake, as permissões ReadData (ou permissões granulares para as tabelas/exibições específicas) precisarão ser fornecidas ao Warehouse. O modo Direct Lake é o tipo de conexão padrão para modelos semânticos que usam um ponto de extremidade de análise do SQL ou o Warehouse como fonte de dados. Para obter mais informações, consulte Modo Direct Lake.
    • Se acessado por meio do Modo de importação , nenhuma permissão adicional será necessária.
    • No momento, não há suporte para o compartilhamento de um warehouse diretamente com um SPN.