Introdução à segurança do OneLake (versão prévia)

A segurança do OneLake permite aplicar o RBAC (controle de acesso baseado em função) aos seus dados armazenados no OneLake. Você pode definir funções de segurança que concedem acesso a pastas específicas em um item do Fabric e, em seguida, atribuir essas funções a usuários ou grupos. As funções também podem conter segurança em nível de linha ou coluna para limitar ainda mais o acesso. As permissões de segurança do OneLake determinam quais dados o usuário pode ver em todas as experiências no Fabric.

Os usuários do Fabric com permissões de Gravação e Recompartilhamento (geralmente usuários do workspace administrador e membro) podem começar criando funções de segurança do OneLake para conceder acesso apenas a pastas ou tabelas específicas em um item de dados do Fabric. Para conceder acesso aos dados em um item, adicione usuários a uma função de acesso a dados. Os usuários que não fazem parte de uma função de acesso a dados não veem dados nesse item.

Pré-requisitos

Para configurar a segurança do OneLake, você deve ser um Administrador ou Membro no workspace ou ter permissões de Gravação e Recompartilhamento. A criação de função e a atribuição de associação entrarão em vigor assim que a função for salva, portanto, certifique-se de conceder acesso antes de adicionar alguém a uma função.

A tabela a seguir descreve quais itens de dados dão suporte à segurança do OneLake:

Como aceitar

A segurança do OneLake está atualmente em versão prévia e, como resultado, está desabilitada por padrão. O recurso de visualização é configurado por item. O controle de aceitação permite que um único item experimente a visualização sem habilitá-la em nenhum outro item do Fabric.

O recurso de visualização não pode ser desativado uma vez habilitado.

1. Navegue até um lakehouse e selecione Gerenciar segurança do OneLake (versão prévia).
2. Examine a caixa de diálogo de confirmação. A visualização de funções de acesso a dados não é compatível com a visualização de compartilhamento de dados externo. Se você estiver bem com a alteração, selecione Continuar.

Para garantir uma experiência de aceitação suave, todos os usuários com permissão de leitura para dados no item continuam a ter acesso de leitura por meio de uma função de acesso a dados padrão chamada DefaultReader. Com associações de função virtualizadas, todos os usuários que tinham as permissões necessárias para exibir dados no lakehouse (a permissão ReadAll) são incluídos como membros dessa função padrão. Para começar a restringir o acesso a esses usuários, exclua a função DefaultReader ou remova a permissão ReadAll dos usuários que acessam.

Quais tipos de dados podem ser protegidos?

Use funções de segurança do OneLake para gerenciar o acesso de leitura do OneLake a tabelas ou pastas em um item. O acesso a tabelas pode ser ainda mais restrito usando a segurança em nível de linha e/ou coluna. Qualquer conjunto de segurança se aplica ao acesso de todos os mecanismos no Fabric. Para obter mais informações, consulte o modelo de controle de acesso a dados.

Para tipos de item específicos, o acesso de leitura e escrita também pode ser configurado. Essa permissão oferece aos usuários a capacidade de editar dados em um lakehouse em tabelas ou pastas especificadas sem dar a eles acesso para criar ou gerenciar itens do Fabric. O acesso readWrite permite que os usuários executem operações de gravação por meio de notebooks Spark, do gerenciador de arquivos do OneLake ou das APIs do OneLake. Não há suporte para operações de gravação por meio da interface do usuário do Lakehouse para usuários visualizadores.

Criar uma função

Use as etapas a seguir para criar uma função de segurança do OneLake.

1. Abra o item fabric no qual você deseja definir a segurança.

2. Selecione Gerenciar segurança do OneLake (versão prévia) no menu de item.

3. No painel segurança do OneLake (versão prévia), selecione Novo.

4. Forneça um nome para a nova função que atenda às seguintes diretrizes:

   • O nome da função só pode conter caracteres alfanuméricos.
   • O nome da função deve começar com uma letra.
   • Os nomes não diferenciam maiúsculas de minúsculas e devem ser exclusivos.
   • O comprimento máximo do nome é de 128 caracteres.

5. Selecione Conceder como o tipo de função.

6. Escolha as permissões que você deseja conceder. A leitura é selecionada no mínimo e, opcionalmente, você pode escolher ReadWrite.

7. Se você quiser que essa função se aplique a todas as tabelas e arquivos neste lakehouse, selecione a alternância Todos os dados .

   Essa seleção também fornece acesso a todas as pastas adicionadas no futuro.

8. Se você quiser que essa função se aplique apenas a um grupo selecionado de tabelas e pastas, selecione a alternância de dados selecionada . Em seguida, use as etapas a seguir para definir os dados aprovados para essa função.

   1. Selecione Browse Lakehouse ou o equivalente para o item com o qual você está trabalhando.

      

   2. Expanda os diretórios tabelas e arquivos para exibir dados em seu lakehouse.

   3. Marque as caixas ao lado das tabelas e arquivos aos quais você deseja aplicar a função.

   4. Selecione Adicionar dados para adicionar os itens selecionados à sua função.

9. Use a caixa de texto Adicionar membros à sua caixa de texto de função para inserir manualmente os nomes ou endereços de email dos usuários que você deseja incluir na função. Ou selecione Configuração avançada e siga as diretrizes em Atribuir membros virtuais.

   Para adicionar membros manualmente:

   1. Insira o nome ou o endereço de email de um usuário.
   2. Selecione o nome correto na lista sugerida.
   3. Selecione o ícone de seleção para confirmar sua seleção ou o ícone X para limpar a seleção.

10. Examine os resumos das funções de visualização .

    1. Para editar a visualização de dados, selecione Procurar Lakehouse e atualize as tabelas e pastas selecionadas.
    2. Para remover um usuário da visualização de membros, selecione mais opções (...) ao lado do nome e remova da função.

11. Selecione Criar função e aguarde a notificação de que a função foi publicada com êxito.

Editar uma função

Use as etapas a seguir para editar uma função de segurança existente do OneLake.

1. Abra o item em que você deseja definir a segurança.

2. Selecione Gerenciar segurança do OneLake (versão prévia) no menu de item.

3. No painel de segurança do OneLake (versão prévia), selecione a função que você deseja editar.

   Essa ação abre a página de detalhes da função, que inclui duas guias: Dados na função e Membros na função.

4. Examine as informações na guia Dados na função :

   Essa guia mostra todos os dados que os membros da função podem acessar.

   O nome da função mostra qual função você está visualizando. Para editar o nome da função, selecione a lista suspensa Editar no canto superior direito, selecione Atualizar nome da função, insira um novo nome e confirme com a marca de seleção. Você pode descartar suas alterações selecionando o X.

   O item Permissões na parte superior informa quais permissões a função concede no momento. Para alterar as permissões de função, selecione a lista suspensa Editar no canto superior direito, selecione Editar permissões de função, edite as permissões selecionadas com a lista suspensa e confirme com a marca de seleção. Você pode descartar suas alterações selecionando o X.

   A coluna Dados mostra o nome das tabelas ou pastas que fazem parte do acesso à função. Você pode expandir e recolher esquemas para exibir os itens abaixo. Passe o mouse sobre uma entrada para exibir o caminho completo da tabela ou pasta. Passe o mouse sobre o ... e veja opções para configurar segurança em nível de linha ou segurança em nível de coluna. Os guias de segurança em nível de linha e de segurança em nível de coluna fornecem mais informações sobre como isso funciona.

   A coluna Tipo informa o tipo de item que foi selecionado. Os valores são: Esquema, Tabela ou Pasta.

   A coluna de acesso a dados indica se as restrições de nível de linha ou coluna são aplicadas ao item. Um ícone com um bloqueio e linhas horizontais indica que a segurança no nível da linha é aplicada, enquanto um ícone com um bloqueio e linhas verticais indica que a segurança no nível da coluna é aplicada.

5. Para editar os dados incluídos na função, selecione Adicionar dados.

   Essa ação abre a caixa de diálogo de seleção de tabela e pasta.

6. Verifique e desmarque tabelas ou pastas para adicioná-las ou removê-las da função.

7. Selecione Adicionar dados para confirmar suas seleções.

8. Selecione os Membros na guia Função para exibir os membros da função.

   A coluna Membros mostra a imagem do perfil e o nome do membro.

   A coluna Type indica se o membro é um usuário ou grupo.

   O adicionado usando a coluna indica se um usuário foi adicionado por meio de seu Email como membro da função ou incluído como parte de um grupo de permissões lakehouse. Para obter mais informações sobre como adicionar usuários usando permissões de item, consulte Atribuir membros virtuais.

9. Para editar os membros da função, selecione Adicionar membros.

10. Para adicionar membros manualmente, insira um nome ou email na caixa de texto Adicionar membros à sua função. Selecione o nome correto na lista sugerida. Em seguida, selecione o ícone de seleção para confirmar sua seleção ou selecione o ícone X para limpar a seleção.

11. Para remover os usuários da função, selecione mais opções (...) ao lado do nome e selecione Remover da função.

Fazer alterações na associação de função atualiza a função imediatamente. Uma notificação observa o êxito ou a falha de qualquer alteração.

Excluir uma função

Use as etapas a seguir para excluir uma função de acesso a dados do OneLake.

1. Abra a casa do lago onde você deseja definir a segurança.

2. Selecione Gerenciar segurança do OneLake (versão prévia) no menu Lakehouse.

3. No painel segurança do OneLake (versão prévia), marque a caixa ao lado das funções que você deseja excluir.

4. Selecione Excluir e aguarde a notificação de que as funções foram excluídas com êxito.

Atribuir um membro ou grupo

A função de segurança OneLake dá suporte a dois métodos de adição de usuários a uma função. O método principal é adicionar usuários ou grupos diretamente a uma função usando a caixa Adicionar pessoas ou grupos na página Atribuir função . A segunda é criando associações virtuais com grupos de permissões usando o controle de configuração Avançado .

Adicionar usuários diretamente a uma função adiciona os usuários como membros explícitos da função. Esses usuários aparecem com o nome e a imagem mostrados na lista Membros .

Os membros virtuais permitem que a associação da função seja ajustada dinamicamente com base nas permissões de item do Fabric dos usuários . Selecionando a configuração avançada e selecionando uma permissão, você adiciona qualquer usuário no workspace do Fabric que tenha todas as permissões selecionadas como um membro implícito da função. Por exemplo, se você escolher ReadAll, Escreva, qualquer usuário do workspace do Fabric que tenha permissões ReadAll e Write para o item será incluído como um membro da função. Você pode ver quais usuários estão sendo adicionados por um grupo de permissões examinando a coluna Adicionada usando na guia Membros na função . Esses membros não podem ser removidos manualmente diretamente. Para remover um membro que foi adicionado por meio de um grupo de permissões, remova o grupo de permissões da função.

Independentemente de qual tipo de associação você usa, as funções de segurança do OneLake dão suporte à adição de usuários individuais, grupos do Microsoft Entra e entidades de segurança.

Atribuir membros virtuais

As permissões que podem ser usadas para membros virtuais são:

• Leitura
• Escrever
• Compartilhar novamente
• Execute
• ReadAll

Para atribuir usuários com grupos de permissões, use as seguintes etapas:

1. Selecione o nome da função à qual você deseja atribuir membros.

2. Na página de detalhes da função, selecione a guia Membros na função .

3. Selecione Adicionar membros.

4. Selecione Configuração avançada.

   

5. Na caixa Grupos de permissões , marque a caixa de seleção ao lado de cada permissão para a qual você deseja incluir usuários.

   Cada grupo de permissões mostra uma contagem de quantos usuários estão incluídos nesse grupo.

   A seleção de vários grupos de permissões inclui usuários com todas as permissões necessárias selecionadas.

6. Selecione Adicionar para incluir os grupos e salvar a função.

Conteúdo relacionado

• Visão geral da Segurança do Fabric
• Visão geral de segurança do Fabric e do OneLake
• Modelo de controle de acesso a dados