Como proteger uma casa de lago para equipes de ciência de dados
Introdução
Neste artigo, forneceremos uma visão geral de como configurar a segurança de uma casa de lago no Fabric para uso com equipes de ciência de dados e cargas de trabalho.
Funcionalidades de segurança
O Microsoft Fabric usa um modelo de segurança multicamadas com diferentes controles disponíveis em diferentes níveis para fornecer apenas as permissões mínimas necessárias. Para obter mais informações sobre os diferentes recursos de segurança disponíveis no Fabric, consulte este documento.
Seguro por caso de uso
A segurança no Microsoft Fabric é otimizada em torno da proteção de dados para casos de uso específicos. Um caso de uso é um conjunto de usuários que precisam de acesso específico e acessam dados por meio de um determinado mecanismo. Para cenários de ciência de dados, alguns exemplos de casos de uso são:
- Gravadores do Apache Spark: usuários que precisam gravar dados em uma casa do lago usando notebooks Apache Spark.
- Leitores Apache Spark: usuários que precisam ler dados usando notebooks Apache Spark.
- Leitores de pipeline: usuários que precisam ler dados de uma casa de lago usando pipelines.
- Criadores de atalhos: usuários que precisam criar atalhos para dados em uma casa de lago.
Em seguida, podemos alinhar cada caso de uso com as permissões necessárias no Fabric.
Acesso de escrita
Para usuários que precisam gravar dados na Malha, o acesso é controlado por meio das funções do espaço de trabalho Malha. Há três funções de espaço de trabalho que concedem permissões de gravação: Administrador, Membro e Colaborador. Escolha a função necessária e conceda aos usuários acesso a ela.
Os usuários com acesso de gravação não são restritos pelas funções de acesso a dados do OneLake (visualização). Os usuários de gravação podem ter seu acesso restrito aos dados por meio dos dados de ponto de extremidade do SQL Analytics, mas mantêm acesso total aos dados no OneLake. Para restringir o acesso a dados para usuários de gravação, um espaço de trabalho separado precisa ser criado para esses dados.
Acesso de leitura
Para usuários que precisam ler dados usando pipelines ou blocos de anotações Apache Spark, as permissões são regidas pelas permissões de item de malha juntamente com as funções de acesso a dados do OneLake (visualização). As permissões de item de malha controlam quais itens um usuário pode ver e como ele pode acessar esse item. As funções de acesso a dados do OneLake controlam quais dados o usuário pode acessar por meio de experiências que se conectam ao OneLake. Para lakehouses sem a visualização de funções de acesso a dados do OneLake habilitada, em vez disso, o acesso é regido pela permissão de item ReadAll e o acesso aos dados do OneLake é concedido para toda a lakehouse.
Para ler dados, um usuário primeiro precisa acessar a casa do lago onde esses dados vivem. A concessão de acesso a uma lakehouse pode ser feita selecionando o botão Compartilhar em uma lakehouse na página do espaço de trabalho ou na interface do usuário lakehouse. Insira os endereços de e-mail ou o grupo de segurança desses usuários e selecione Compartilhar. (Deixe as caixas Permissões adicionais desmarcadas. Para lakehouses sem a visualização de funções de acesso a dados do OneLake habilitada, marque a caixa Ler todos os dados do OneLake (ReadAll)).
Em seguida, navegue até a casa do lago e selecione o botão Gerenciar acesso aos dados do OneLake (visualização). Com essas opções, você pode criar funções que concedem aos usuários acesso para ver e ler de pastas específicas na casa do lago. O acesso a pastas não é permitido por padrão. Os usuários que são adicionados a uma função recebem acesso às pastas cobertas por essa função. Para obter mais informações, consulte Funções de acesso a dados do OneLake (visualização). Crie funções conforme necessário para conceder aos usuários acesso para ler as pastas por meio de pipelines, atalhos ou blocos de anotações do Spark.
Importante
Todas as lakehouses que usam a visualização de funções de acesso a dados do OneLake têm uma função DefaultReader que concede acesso aos dados da lakehouse. Se um usuário tiver a permissão ReadAll, ele não será restringido por outras funções de acesso a dados. Certifique-se de que os usuários incluídos em uma função de acesso a dados também não façam parte da função DefaultReader ou remova a função DefaultReader.
Utilizar com atalhos
Os atalhos são um recurso do OneLake que permite que os dados sejam referenciados de um local sem copiar fisicamente os dados. Para mais informações sobre atalhos, consulte o documento aqui.
Você pode proteger dados para uso com atalhos como qualquer outra pasta no OneLake. Depois de configurar as funções de acesso a dados, os usuários de outras lakehouses só poderão criar atalhos para pastas às quais tenham acesso. Isso pode ser usado para dar aos usuários em outros espaços de trabalho acesso a apenas dados selecionados em uma casa de lago.
Importante
O SQL Analytics Endpoint usa uma identidade fixa para acessar atalhos. Quando um usuário consulta uma tabela de atalho por meio do SQL Analytics Endpoint, a identidade do proprietário da casa do lago é verificada para acesso ao atalho. Isso significa que, ao criar atalhos para uso com consultas SQL, o criador do lakehouse também precisa fazer parte de quaisquer funções de acesso a dados do OneLake que estejam restringindo o acesso apenas a pastas selecionadas.