Partilhar via


Visão geral da segurança do OneLake

O OneLake é um data lake hierárquico, como o Azure Data Lake Storage (ADLS) Gen2 ou o sistema de arquivos do Windows. Essa estrutura permite que você defina a segurança em diferentes níveis na hierarquia para controlar o acesso. Alguns níveis na hierarquia recebem tratamento especial, pois se correlacionam com os conceitos de Fabric.

  • Espaço de trabalho: um ambiente colaborativo para criar e gerenciar itens.

  • Item: um conjunto de recursos agrupados em um único componente. Um item de dados é um subtipo de item que permite que os dados sejam armazenados nele usando o OneLake.

  • Pastas: pastas dentro de um item que são usadas para armazenar e gerenciar dados.

Os itens sempre vivem dentro de espaços de trabalho e os espaços de trabalho sempre vivem diretamente sob o namespace OneLake. Você pode visualizar essa estrutura da seguinte maneira:

Diagrama mostrando a natureza hierárquica do OneLake como uma estrutura de pastas. OneLake/Workspace/Item como exemplo.

Permissões de espaço de trabalho

As permissões de espaço de trabalho permitem definir o acesso a todos os itens dentro desse espaço de trabalho. Existem 4 funções de espaço de trabalho diferentes, cada uma das quais concede diferentes tipos de acesso.

Role Pode adicionar administradores? Pode adicionar membros? Pode escrever dados e criar itens? Pode ler dados?
Admin Sim Sim Sim Sim
Membro Não Sim Sim Sim
Contribuinte No No Sim Sim
Visualizador No No No Sim

Nota

Você pode exibir o item de depósito com funções de leitura-gravação, mas só pode gravar em armazéns usando consultas SQL.

Você pode simplificar o gerenciamento de funções de espaço de trabalho do Fabric atribuindo-as a grupos de segurança. Esse método permite controlar o acesso adicionando ou removendo membros do grupo de segurança.

Permissões de item

Com o recurso de compartilhamento , você pode dar a um usuário acesso direto a um item. O usuário só pode ver esse item no espaço de trabalho e não é membro de nenhuma função do espaço de trabalho. As permissões de item concedem acesso para se conectar a esse item e a quais pontos de extremidade de item o usuário pode acessar.

Permissão Viu os metadados do item? Ver dados em SQL? Ver dados no OneLake?
Lida Sim No Não
ReadData Não Sim No
ReadAll No Não Sim*

*Não aplicável a itens com funções de acesso a dados do OneLake (visualização) habilitadas. Se a visualização estiver habilitada, ReadAll só concederá acesso se a função DefaultReader estiver em uso. Se essa função for editada ou excluída, o acesso será concedido com base em quais funções de acesso a dados o usuário faz parte.

Outra maneira de configurar permissões é por meio da página Gerenciar permissões de um item. Usando esta página, você pode adicionar ou remover permissão de item individual para usuários ou grupos. As permissões exatas disponíveis são determinadas pelo tipo de item.

Permissões de computação

O acesso aos dados também pode ser dado por meio do mecanismo de computação SQL no Microsoft Fabric. O acesso concedido por meio do SQL só se aplica aos usuários que acessam dados por meio do SQL, mas você pode usar essa segurança para dar acesso mais seletivo a determinados usuários. Em seu estado atual, o SQL oferece suporte à restrição de acesso a tabelas e esquemas específicos, bem como à segurança em nível de linha e coluna.

Os usuários que acessam dados por meio do SQL podem ver resultados diferentes do que acessar dados diretamente no OneLake, dependendo das permissões de computação aplicadas. Para evitar isso, certifique-se de que as permissões de item de um usuário estejam configuradas para conceder acesso apenas ao ponto de extremidade de análise SQL (usando ReadData) ou ao OneLake (usando ReadAll ou visualização de funções de acesso a dados).

No exemplo a seguir, um usuário recebe acesso somente leitura a uma casa de lago por meio do compartilhamento de itens. O usuário recebe a permissão SELECT em uma tabela por meio do ponto de extremidade de análise SQL. Quando esse usuário tenta ler dados por meio das APIs do OneLake, o acesso é negado porque não tem permissões suficientes. O usuário pode ler com êxito as instruções SQL SELECT.

Diagrama mostrando um usuário acessando dados por meio de SQL, mas negando acesso ao consultar o OneLake diretamente.

Funções de acesso a dados do OneLake (visualização)

As funções de acesso a dados do OneLake são um novo recurso que permite aplicar RBAC (controle de acesso baseado em função) aos dados armazenados no OneLake. Você pode definir funções de segurança que concedem acesso de leitura a pastas específicas dentro de um item de malha e atribuí-las a usuários ou grupos. As permissões de acesso determinam quais pastas os usuários veem ao acessar a visualização de lago dos dados por meio da UX do lakehouse, blocos de anotações ou APIs OneLake.

Os usuários de malha nas funções de Administrador, Membro ou Colaborador podem começar criando funções de acesso a dados do OneLake para conceder acesso apenas a pastas específicas em uma casa do lago. Para conceder acesso aos dados em uma casa de lago, adicione usuários a uma função de acesso a dados. Os usuários que não fazem parte de uma função de acesso a dados não verão dados nessa casa do lago.

Saiba mais sobre como criar funções de acesso a dados em Introdução às funções de acesso a dados.

Saiba mais sobre o modelo de segurança para funções de acesso Modelo de Controle de Acesso a Dados.

Segurança de atalho

Os atalhos no Microsoft Fabric permitem o gerenciamento simplificado de dados, mas têm algumas considerações de segurança a serem observadas. Para obter informações sobre como gerenciar a segurança de atalhos, consulte este documento.

Para funções de acesso a dados do OneLake (visualização), os atalhos recebem tratamento especial dependendo do tipo de atalho. O acesso a um atalho OneLake é sempre controlado pelas funções de acesso no destino do atalho. Isso significa que, para um atalho de LakehouseA para LakehouseB, a segurança de LakehouseB entra em vigor. As funções de acesso a dados no LakehouseA não podem conceder ou editar a segurança do atalho para o LakehouseB.

Para atalhos externos para Amazon S3 ou ADLS Gen2, a segurança é configurada por meio de funções de acesso a dados na própria lakehouse. Um atalho de LakehouseA para um bucket do S3 pode ter funções de acesso a dados configuradas no LakehouseA. É importante notar que apenas o nível raiz do atalho pode ter segurança aplicada. A atribuição de acesso a subpastas do atalho resultará em erros de criação de função.

Saiba mais sobre o modelo de segurança para atalhos no Modelo de Controle de Acesso a Dados