Segurança de atalho OneLake
Os atalhos do OneLake servem como ponteiros para dados que residem em várias contas de armazenamento, seja dentro do próprio OneLake ou em sistemas externos, como o Azure Data Lake Storage (ADLS). Este artigo examina as permissões necessárias para criar atalhos e acessar dados usando-os.
Para garantir clareza em torno dos componentes de um atalho, este documento usa os seguintes termos:
- Caminho de destino: o local para o qual um atalho aponta.
- Caminho do atalho: o local onde o atalho aparece.
Criar e excluir atalhos
Para criar um atalho, um usuário precisa ter permissão de gravação no item do Fabric onde o atalho está sendo criado. Além disso, o usuário precisa de acesso de leitura aos dados para os quais o atalho está apontando. Atalhos para origens externas podem exigir determinadas permissões no sistema externo. O artigo O que são atalhos? tem a lista completa de tipos de atalho e permissões necessárias.
| Recurso | Permissão no caminho de atalho | Permissão no caminho de destino |
|---|---|---|
| Criar um atalho | Gravar | Leia-tudo1 |
| Excluir um atalho | Gravar | N/D |
1 Se as funções de acesso a dados do OneLake estiverem habilitadas, o usuário precisará estar em uma função que conceda acesso ao caminho de destino.
Acessar atalhos
Uma combinação das permissões no caminho do atalho e no caminho do destino controla as permissões dos atalhos. Quando um usuário acessa um atalho, a permissão mais restritiva dos dois locais é aplicada. Portanto, um usuário que tenha permissões de leitura/gravação no lakehouse, mas somente permissões de leitura no caminho de destino, não poderá gravar no caminho de destino. Da mesma forma, um usuário que tenha apenas permissões de leitura no lakehouse, mas de leitura/gravação no caminho de destino, também não poderá gravar no caminho de destino.
A tabela a seguir mostra as permissões relacionadas a atalhos para cada ação de atalho.
| Recurso | Permissão no caminho de atalho | Permissão no caminho de destino |
|---|---|---|
| Ler conteúdo de arquivo/pasta do atalho | Leia-tudo1 | Leia-tudo1 |
| Gravar no local de destino de atalho | Gravar | Gravar |
| Leia os dados dos atalhos na seção de tabelas do Lakehouse por meio do ponto de extremidade TDS | Ler | Leia-tudo2 |
1 Se as funções de acesso a dados OneLake estiverem habilitadas, o usuário precisará estar em uma função que conceda acesso aos dados.
Importante
2 Ao acessar atalhos por meio de modelos semânticos do Power BI ou T-SQL, a identidade do usuário da chamada não é passada para o caminho de destino de atalho. Em vez disso, a identidade do proprietário do item da chamada é passada, delegando o acesso ao usuário da chamada.
Funções de acesso a dados do OneLake
As funções de acesso a dados do OneLake são um novo recurso que permite aplicar o RBAC (Controle de acesso baseado em função) aos dados armazenados no OneLake. Você pode definir direitos de acesso que concedem acesso de leitura a pastas específicas em um item do Fabric e atribuí-las a usuários ou grupos. As permissões de acesso determinam quais pastas os usuários veem ao acessar a exibição do Lake dos dados, por meio da UX do lakehouse, notebooks ou APIs do OneLake. Para itens com o recurso de visualização habilitado, as funções de acesso a dados do OneLake também determinam o acesso de um usuário a um atalho.
Os usuários com as funções de Administrador, Membro e Colaborador possuem acesso completo para ler os dados de um atalho, independentemente das funções de acesso a dados do OneLake definidas. No entanto, eles ainda precisam de acesso no caminho de atalho e no caminho de destino, conforme mencionado nas funções do espaço de trabalho.
Os usuários com a função de Visualizador ou que tiveram um lakehouse compartilhado diretamente com eles têm restrição de acesso com base em se o usuário tem acesso por meio de uma função de acesso a dados do OneLake. Para obter mais informações sobre o modelo de controle de acesso com atalhos, confira Modelo de controle de acesso a dados no OneLake.