Partilhar via


Proteja dados com malha, mecanismos de computação e OneLake

O Fabric oferece um modelo de segurança multicamadas para gerenciar o acesso a dados. A segurança pode ser definida para um espaço de trabalho inteiro, para itens individuais ou por meio de permissões granulares em cada mecanismo de malha. OneLake tem suas próprias considerações de segurança que são descritas neste documento.

Funções de acesso a dados do OneLake (Visualização)

As funções de acesso a dados do OneLake (Visualização) permitem que os usuários criem funções personalizadas dentro de um lakehouse e concedam permissões de leitura somente para as pastas especificadas ao acessar o OneLake. Para cada função OneLake, os usuários podem atribuir usuários, grupos de segurança ou conceder uma atribuição automática com base na função de espaço de trabalho.

Diagrama mostrando a estrutura de um data lake conectando-se a contêineres protegidos separadamente.

Saiba mais sobre o Modelo de Controle de Acesso a Dados do OneLake e Introdução ao Acesso a Dados .

Segurança de atalho

Os atalhos no Microsoft Fabric permitem o gerenciamento simplificado de dados. A segurança da Pasta OneLake se aplica aos atalhos do OneLake com base nas funções definidas na casa do lago onde os dados são armazenados.

Para obter mais informações sobre as considerações de segurança de atalhos, consulte Modelo de controle de acesso OneLake. Mais informações sobre atalhos podem ser encontradas aqui.

Autenticação

O OneLake usa o Microsoft Entra ID para autenticação; Você pode usá-lo para conceder permissões a identidades de usuário e entidades de serviço. O OneLake extrai automaticamente a identidade do usuário das ferramentas, que usam a autenticação do Microsoft Entra e a mapeiam para as permissões definidas no portal do Fabric.

Nota

Para usar entidades de serviço em um locatário de malha, um administrador de locatário deve habilitar SPNs (Nomes de Entidade de Serviço) para todo o locatário ou grupos de segurança específicos. Saiba mais sobre como habilitar Entidades de Serviço nas Configurações do Desenvolvedor do Portal de Administração do Locatário

Registos de Auditoria

Para exibir seus logs de auditoria do OneLake, siga as instruções em Rastrear atividades do usuário no Microsoft Fabric. Os nomes de operação do OneLake correspondem às APIs ADLS, como CreateFile ou DeleteFile. Os logs de auditoria do OneLake não incluem solicitações de leitura ou solicitações feitas ao OneLake por meio de cargas de trabalho do Fabric.

Encriptação e ligação em rede

Dados em repouso

Os dados armazenados no OneLake são criptografados em repouso por padrão usando a chave gerenciada pela Microsoft. As chaves gerenciadas pela Microsoft são giradas adequadamente. Os dados no OneLake são criptografados e descriptografados de forma transparente e são compatíveis com FIPS 140-2.

Atualmente, não há suporte para criptografia em repouso usando chave gerenciada pelo cliente. Você pode enviar solicitações para esse recurso no Microsoft Fabric Ideas.

Dados em trânsito

Os dados em trânsito na Internet pública entre os serviços da Microsoft são sempre criptografados com, pelo menos, TLS 1.2. A malha negocia com TLS 1.3 sempre que possível. O tráfego entre os serviços Microsoft é sempre encaminhado através da rede global da Microsoft.

A comunicação OneLake de entrada também impõe o TLS 1.2 e negocia com o TLS 1.3, sempre que possível. A comunicação de malha de saída com a infraestrutura de propriedade do cliente prefere protocolos seguros, mas pode voltar para protocolos mais antigos e inseguros (incluindo TLS 1.0) quando os protocolos mais recentes não são suportados.

Para configurar links privados na malha, consulte Configurar e usar links privados.

Permitir que aplicativos executados fora da malha acessem dados por meio do OneLake

O OneLake permite restringir o acesso a dados de aplicativos executados fora de ambientes de malha. Os administradores podem encontrar a configuração na seção OneLake do Portal de Administração do Locatário. Quando você ativa essa opção, os usuários podem acessar os dados por meio de todas as fontes. Quando você desliga o interruptor, os usuários não podem acessar dados por meio de aplicativos executados fora de ambientes de malha. Por exemplo, os usuários podem acessar dados por meio de aplicativos usando APIs do Azure Data Lake Storage (ADLS) ou o explorador de arquivos OneLake.