Partilhar via

Partilhe os seus dados e faça a gestão de permissões

  • Artigo

Aplica-se a:Depósito e banco de dados espelhado no Microsoft Fabric

O compartilhamento é uma maneira conveniente de fornecer aos usuários acesso de leitura aos seus dados para consumo downstream. O compartilhamento permite que os usuários downstream em sua organização consumam um Warehouse usando T-SQL, Spark ou Power BI. Você pode personalizar o nível de permissões que o destinatário compartilhado recebe para fornecer o nível apropriado de acesso.

Nota

Você deve ser um administrador ou membro em seu espaço de trabalho para compartilhar um item no Microsoft Fabric.

Começar agora

Depois de identificar o item de depósito que você gostaria de compartilhar com outro usuário em seu espaço de trabalho de malha, selecione a ação rápida na linha para compartilhar.

O gif animado a seguir analisa as etapas para selecionar um depósito para compartilhar, seleciona as permissões a serem atribuídas e, finalmente , concede as permissões a outro usuário.

Um gif animado mostrando a interação com o portal do Fabric em que um usuário compartilha um depósito no Microsoft Fabric com outro usuário.

Partilhar um armazém

  1. Você pode compartilhar seu Armazém a partir do item OneLake ou Armazém escolhendo Compartilhar da ação rápida, conforme destacado na imagem a seguir.

  2. Você será solicitado com opções para selecionar com quem gostaria de compartilhar o Depósito, quais permissões conceder e se eles serão notificados por e-mail.

  3. Preencha todos os campos obrigatórios, selecione Conceder acesso.

  4. Quando o destinatário compartilhado recebe o e-mail, ele pode selecionar Abrir e navegar até a página do catálogo do Warehouse OneLake.

    Captura de tela mostrando a notificação por e-mail do usuário compartilhado de um depósito compartilhado.

  5. Dependendo do nível de acesso concedido ao destinatário compartilhado, o destinatário compartilhado agora pode se conectar ao ponto de extremidade de análise SQL, consultar o Warehouse, criar relatórios ou ler dados através do Spark.

Funções de segurança de malha

Aqui estão mais detalhes sobre cada uma das permissões fornecidas:

  • Se nenhuma permissão adicional for selecionada - O destinatário compartilhado por padrão recebe a permissão "Ler", que só permite que o destinatário se conecte ao ponto de extremidade de análise SQL, o equivalente às permissões CONNECT no SQL Server. O destinatário compartilhado não poderá consultar nenhuma tabela, exibir ou executar qualquer função ou procedimento armazenado, a menos que tenha acesso a objetos dentro do Warehouse usando a instrução T-SQL GRANT .

Gorjeta

ReadData (usado pelo depósito para permissões T-SQL), ReadAll (usado pelo OneLake e pelo ponto de extremidade de análise SQL) e Build (usado pelo Power BI) são permissões separadas que não se sobrepõem.

  • "Ler todos os dados usando SQL" está selecionado (permissões "ReadData")- O destinatário compartilhado pode ler todos os objetos dentro do Warehouse. ReadData é o equivalente a db_datareader função no SQL Server. O destinatário compartilhado pode ler dados de todas as tabelas e exibições dentro do Depósito. Se você quiser restringir ainda mais e fornecer acesso granular a alguns objetos dentro do Warehouse, poderá fazer isso usando instruções T-SQLGRANT/REVOKE/DENY.

    • No ponto de extremidade de análise SQL do Lakehouse, "Read all SQL Endpoint data" é equivalente a "Read all data using SQL".

  • "Ler todos os dados usando o Apache Spark" está selecionado (permissões "ReadAll")- O destinatário compartilhado tem acesso de leitura aos arquivos de parquet subjacentes no OneLake, que podem ser consumidos usando o Spark. ReadAll deve ser fornecido somente se o destinatário compartilhado quiser acesso completo aos arquivos do seu armazém usando o mecanismo Spark.

  • A caixa de seleção "Criar relatórios no conjunto de dados padrão" está selecionada ("Permissões de compilação")- O destinatário compartilhado pode criar relatórios sobre o modelo semântico padrão conectado ao seu Warehouse. A compilação deve ser fornecida se o destinatário compartilhado quiser permissões de compilação no modelo semântico padrão, para criar relatórios do Power BI sobre esses dados. A caixa de seleção Construir está selecionada por padrão, mas pode ser desmarcada.

Permissões ReadData

Com as permissões ReadData , o destinatário compartilhado pode abrir o editor do Warehouse no modo somente leitura e consultar as tabelas e exibições dentro do Warehouse. O destinatário compartilhado também pode optar por copiar o ponto de extremidade de análise SQL fornecido e conectar-se a uma ferramenta de cliente para executar essas consultas.

Permissões ReadAll

Um destinatário compartilhado com permissões ReadAll pode encontrar o caminho do Sistema de Arquivos de Blob do Azure (ABFS) para o arquivo específico no OneLake no painel Propriedades no editor de depósito. O destinatário compartilhado pode usar esse caminho em um Bloco de Anotações do Spark para ler esses dados.

Por exemplo, na captura de tela a seguir, um usuário com permissões ReadAll pode consultar os dados com FactSale uma consulta do Spark em um novo bloco de anotações.

Captura de tela do portal do Fabric onde um usuário abre um bloco de anotações do Spark para consultar o atalho do Warehouse.

Permissões de compilação

Com as permissões de compilação , o destinatário compartilhado pode criar relatórios sobre o modelo semântico padrão conectado ao depósito. O destinatário compartilhado pode criar relatórios do Power BI a partir do catálogo do OneLake ou também fazer o mesmo usando o Power BI Desktop.

Gerir permissões

A página Gerenciar permissões mostra a lista de usuários que receberam acesso atribuindo funções de Espaço de Trabalho ou permissões de item.

Se você for membro das funções de Administrador ou Membro do espaço de trabalho, vá para seu espaço de trabalho e selecione Mais opções. Em seguida, selecione Gerenciar permissões.

Captura de tela mostrando um usuário selecionando Gerenciar permissões no menu de contexto do depósito.

Para os usuários que receberam funções de espaço de trabalho, você verá o usuário, a função de espaço de trabalho e as permissões correspondentes. Os membros das funções de espaço de trabalho Administrador, Membro e Colaborador têm acesso de leitura/gravação aos itens neste espaço de trabalho. Os visualizadores têm permissões ReadData e podem consultar todas as tabelas e exibições dentro do Warehouse nesse espaço de trabalho. As permissões de item Read, ReadData e ReadAll podem ser fornecidas aos usuários.

Captura de tela mostrando a página Gerenciar permissões do Depósito no portal do Fabric.

Você pode optar por adicionar ou remover permissões usando Gerenciar permissões:

  • Remover acesso remove todas as permissões de item.
  • Remove ReadData remove as permissões ReadData .
  • Remove ReadAll remove as permissões ReadAll .
  • Remover compilação remove permissões de compilação no modelo semântico padrão correspondente.

Captura de ecrã a mostrar um utilizador a remover a permissão ReadAll de um destinatário partilhado.

Recursos de proteção de dados

O armazenamento de dados do Microsoft Fabric oferece suporte a várias tecnologias que os administradores podem usar para proteger dados confidenciais contra exibição não autorizada. Ao proteger ou ofuscar dados de usuários ou funções não autorizados, esses recursos de segurança podem fornecer proteção de dados em um ponto de extremidade de análise SQL e Warehouse sem alterações no aplicativo.

  • A segurança em nível de coluna impede a visualização não autorizada de colunas em tabelas.
  • A segurança em nível de linha impede a visualização não autorizada de linhas em tabelas, usando predicados de filtro de cláusula familiares WHERE .
  • O mascaramento dinâmico de dados impede a visualização não autorizada de dados confidenciais usando máscaras para impedir o acesso ao completo, como endereços de e-mail ou números.

Limitações

  • Se você fornecer permissões de item ou remover usuários que anteriormente tinham permissões, a propagação de permissões pode levar até duas horas. As novas permissões são visíveis em Gerenciar permissões imediatamente. Entre novamente para garantir que as permissões sejam refletidas em seu ponto de extremidade de análise SQL.
  • Os destinatários compartilhados podem acessar o Armazém usando a identidade do proprietário (modo delegado). Certifique-se de que o proprietário do Armazém não seja removido do espaço de trabalho.
  • Os destinatários partilhados só têm acesso ao Armazém que recebem e não a quaisquer outros itens dentro do mesmo espaço de trabalho que o Armazém. Se você quiser fornecer permissões para que outros usuários da sua equipe colaborem no Depósito (acesso de leitura e gravação), adicione-os como funções de Espaço de Trabalho, como Membro ou Colaborador.
  • Atualmente, quando você compartilha um Warehouse e escolhe Ler todos os dados usando SQL, o destinatário compartilhado pode acessar o editor do Warehouse em um modo somente leitura. Esses destinatários compartilhados podem criar consultas, mas atualmente não podem salvar suas consultas.
  • Atualmente, a partilha de um Armazém só está disponível através da experiência do utilizador.
  • Se você quiser fornecer acesso granular a objetos específicos dentro do Warehouse, compartilhe o Warehouse sem permissões adicionais e, em seguida, forneça acesso granular a objetos específicos usando a instrução T-SQL GRANT. Para obter mais informações, consulte Sintaxe T-SQL para GRANT, REVOKE e DENY.
  • Se você vir que as permissões ReadAll e ReadData estão desabilitadas na caixa de diálogo de compartilhamento, atualize a página.
  • Os destinatários partilhados não têm permissão para voltar a partilhar um Armazém.
  • Se um relatório criado sobre o Depósito for compartilhado com outro destinatário, o destinatário compartilhado precisará de mais permissões para acessar o relatório. Isso depende do modo de acesso ao modelo semântico pelo Power BI:
    • Se acessado por meio do modo de consulta direta, as permissões ReadData (ou permissões SQL granulares para tabelas/exibições específicas) precisam ser fornecidas ao Warehouse.
    • Se acessado pelo modo Direct Lake, as permissões ReadData (ou permissões granulares para tabelas/exibições específicas) precisam ser fornecidas ao Warehouse. O modo Direct Lake é o tipo de conexão padrão para modelos semânticos que usam um ponto de extremidade de análise SQL ou Warehouse como fonte de dados. Para obter mais informações, consulte Modo Direct Lake.
    • Se acessado através do modo de importação, então nenhuma permissão adicional é necessária.
    • Atualmente, não há suporte para o compartilhamento de um depósito diretamente com um SPN.

Conteúdos relacionados