Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Neste artigo, analisaremos as melhores práticas para a proteção de dados no OneLake. Para obter mais informações sobre como implementar segurança em casos de uso específicos, confira os guias de instruções.
Privilégios mínimos
O acesso com privilégios mínimos é um princípio de segurança fundamental na ciência da computação. Ele defende a restrição das permissões e dos direitos de acesso de um usuário apenas às permissões necessárias para executar suas tarefas. No OneLake, isso significa atribuir permissões no nível adequado para garantir que os usuários não sejam provisionados em excesso e reduzir os riscos.
Se os usuários precisarem de acesso a um único lakehouse ou item de dados, você pode usar o recurso de compartilhamento para conceder acesso apenas a esse item. A atribuição de um usuário a uma função de espaço de trabalho só deve ser usada se esse usuário precisar ver TODOS os itens no espaço de trabalho.
Use a segurança do OneLake para restringir o acesso a pastas e tabelas dentro de um lakehouse. Para dados confidenciais, a segurança de linha de segurança ou de nível de coluna do OneLake garante que as linhas e colunas protegidas permaneçam ocultas.
Proteger por caso de uso
Diferentes usuários precisam da capacidade de executar diferentes ações no Fabric para realizar seus trabalhos. Esta seção conta com alguns casos de uso comuns, juntamente com a configuração de permissões necessária no Fabric e no OneLake.
Gerenciar acesso ao espaço de trabalho As funções de Administrador ou Membro do espaço de trabalho são necessárias. Essas funções também podem gerenciar funções de segurança do OneLake em um item.
Criar novos itens no Fabric As funções Administrador, Membro ou Colaborador podem criar ou excluir novos itens.
Gravar dados no OneLake As funções de Administrador, Membro ou Colaborador podem gravar dados no OneLake por meio do Spark ou de uploads. Eles também podem gravar dados em um depósito. Os usuários somente com acesso de leitura em um depósito podem receber permissões para gravar dados por meio de permissões do SQL.
Ler dados do OneLake Um usuário precisa ser um Visualizador de espaço de trabalho ou ter a permissão de leitura e a permissão ReadAll para ler os dados do OneLake. Para lakehouses com o recurso de segurança do OneLake (versão prévia) habilitado, o acesso aos dados é controlado pelas permissões de função de segurança do OneLake do usuário.
Assinar eventos do OneLake Um usuário precisa de SubscribeOneLakeEvents para poder assinar eventos de um item do Fabric. As funções de administrador, membro e colaborador têm essa permissão por padrão. Você pode adicionar essa permissão para um usuário com a função Visualizador.