Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Os atalhos do OneLake servem como ponteiros para dados que residem em várias contas de armazenamento, seja dentro do próprio OneLake ou em sistemas externos, como o Azure Data Lake Storage (ADLS). Este artigo examina as permissões necessárias para criar atalhos e acessar dados usando-os.
Para garantir clareza em torno dos componentes de um atalho, este documento usa os seguintes termos:
- Caminho de destino: o local para o qual um atalho aponta.
- Caminho do atalho: o local onde o atalho aparece.
Criar e excluir atalhos
Para criar um atalho, um usuário precisa ter permissão de gravação no item do Fabric onde o atalho está sendo criado. Além disso, o usuário precisa de acesso de leitura aos dados para os quais o atalho está apontando. Atalhos para fontes externas podem exigir determinadas permissões no sistema externo. O artigo O que são atalhos? tem a lista completa de tipos de atalho e permissões necessárias.
| Recurso | Permissão no caminho de atalho | Permissão no caminho de destino |
|---|---|---|
| Criar um atalho | Gravação2 | Leia-tudo1 |
| Excluir um atalho | Gravação2 | N/D |
1 Se a segurança do OneLake estiver habilitada, o usuário precisará estar em uma função que conceda acesso ao caminho de destino. 2 Se as funções de acesso a dados do OneLake estiverem habilitadas, o usuário precisará estar em uma função que conceda acesso ao caminho de destino.
Acessar atalhos
Uma combinação das permissões no caminho do atalho e no caminho do destino controla as permissões dos atalhos. Quando um usuário acessa um atalho, a permissão mais restritiva dos dois locais é aplicada. Portanto, um usuário que tenha permissões de leitura/gravação no lakehouse, mas somente permissões de leitura no caminho de destino, não poderá gravar no caminho de destino. Da mesma forma, um usuário que tenha apenas permissões de leitura no lakehouse, mas de leitura/gravação no caminho de destino, também não poderá gravar no caminho de destino.
Esta tabela mostra as permissões necessárias para cada ação de atalho.
| Recurso | Permissão no caminho de atalho | Permissão no caminho de destino |
|---|---|---|
| Ler conteúdo de arquivo/pasta do atalho | Leia-tudo1 | Leia-tudo1 |
| Gravar no local de destino de atalho | Gravação2 | Gravação2 |
| Leia os dados dos atalhos na seção de tabelas do Lakehouse por meio do ponto de extremidade TDS | Ler | LerTudo3 |
1 Se a segurança do OneLake estiver habilitada, o usuário precisará estar em uma função que conceda acesso ao caminho de destino.
2 Como alternativa, segurança do OneLake com permissão de leitura e gravação no caminho do atalho.
Importante
3Exceção à passagem de identidade: embora a segurança do OneLake normalmente utilize a identidade do usuário chamador para impor as permissões, determinados mecanismos de consulta operam de maneira diferente. Ao acessar dados de atalho por meio de modelos semânticos do Power BI usando o DirectLake em mecanismos SQL ou T-SQL configurados para o modo de identidade delegado, esses mecanismos não passam a identidade do usuário de chamada para o destino de atalho. Em vez disso, eles usam a identidade do proprietário do item para acessar os dados e, em seguida, aplicam funções de segurança do OneLake para filtrar o que o usuário de chamada pode ver.
Isso significa:
- O destino de atalho é acessado usando as permissões do proprietário do item (não o do usuário final)
- As funções de segurança do OneLake ainda determinam quais dados o usuário final pode ler
- Todas as permissões configuradas diretamente no caminho de destino do atalho para o usuário final são ignoradas.
Segurança do OneLake
A segurança do OneLake (versão prévia) é um recurso que permite aplicar o RBAC (controle de acesso baseado em função) aos seus dados armazenados no OneLake. Você pode definir funções de segurança que concedem acesso de leitura a tabelas e pastas específicas em um item do Fabric e atribuí-las a usuários ou grupos. As permissões de acesso determinam o que os usuários farão em todos os mecanismos no Fabric, garantindo um controle de acesso consistente.
Os usuários com as funções de Administrador, Membro e Colaborador possuem acesso completo para ler os dados de um atalho, independentemente das funções de acesso a dados do OneLake definidas. No entanto, eles ainda precisam de acesso no caminho de atalho e no caminho de destino, conforme mencionado nas funções do espaço de trabalho.
Os usuários com a função de Visualizador ou que tiveram um lakehouse compartilhado diretamente com eles têm restrição de acesso com base em se o usuário tem acesso por meio de uma função de acesso a dados do OneLake. Para obter mais informações sobre o modelo de controle de acesso com atalhos, confira Modelo de controle de acesso a dados no OneLake.
Os usuários em funções de Visualizador poderão criar atalhos se tiverem permissões ReadWrite no caminho em que o atalho é criado.
A tabela a seguir ilustra as permissões necessárias para executar operações de atalho.
| Operação de atalho | Permissão no caminho de atalho | Permissão no caminho de destino |
|---|---|---|
| Criar | Leitura do Fabric e ReadWrite de segurança do OneLake | Leitura de segurança do OneLake |
| Leitura (atalhos GET/LIST) | Leitura de malha e leitura de segurança do OneLake | N/D |
| Atualização | Read fabric e segurança do OneLake ReadWrited | Visualização de segurança do OneLake (no novo destino) |
| excluir | Leitura do Fabric e ReadWrite de segurança do OneLake | N/D |
Modelos de autenticação de atalho
Os atalhos usam dois modelos de autenticação com a segurança do OneLake: pass-through e delegado.
No modelo de passagem, o atalho acessa os dados no local de destino 'passando' a identidade do usuário para o sistema de destino. Isso garante que qualquer usuário que acesse o atalho só possa ver o que tiver acesso no destino.
Com os atalhos do OneLake para o OneLake, há suporte apenas para o modo de passagem. Esse design garante que o sistema de origem mantenha controle total sobre seus dados. As organizações se beneficiam da segurança aprimorada porque não há necessidade de replicar ou redefinir controles de acesso para o atalho. No entanto, é importante entender que a segurança dos atalhos do OneLake não pode ser modificada diretamente do item downstream. Todas as alterações nas permissões de acesso devem ser feitas no local de origem.
Atalhos delegados acessam dados usando alguma credencial intermediária, como outro usuário ou uma chave de conta. Esses atalhos permitem que o gerenciamento de permissões seja separado ou "delegado" para que outra equipe ou usuário downstream gerencie. Os atalhos delegados sempre quebram o fluxo de segurança de um sistema para outro. Todos os atalhos delegados no OneLake podem ter funções de segurança do OneLake definidas para eles.
Todos os atalhos do OneLake para sistemas externos (atalhos multinuvem) como o AWS S3 ou o Google Cloud Storage são delegados. Isso permite que os usuários se conectem ao sistema externo sem receber acesso direto. A segurança do OneLake pode ser configurada no atalho para limitar quais dados no sistema externo podem ser acessados
Limitações de segurança do OneLake
- Além do acesso de segurança do OneLake ao caminho de destino, o acesso a atalhos externos por meio do Spark ou chamadas à API direta também exige permissões de leitura no item que contém o caminho de atalho externo.