Segurança ao nível de coluna no OneLake (pré-visualização)

A segurança em nível de coluna (CLS) é um recurso da segurança do OneLake (visualização) que permite que você tenha acesso a colunas selecionadas em uma tabela em vez de acesso total à tabela. O CLS permite especificar um subconjunto de tabelas que os usuários podem acessar. As colunas removidas da lista não ficam visíveis para os usuários.

Pré-requisitos

• Um item no OneLake com a segurança do OneLake ativada. Para obter mais informações, consulte Introdução às funções de acesso a dados do OneLake.
• Mude o ponto de extremidade de análise SQL na lakehouse para o modo de identidade do usuário por meio da guia Segurança .
• Para criar modelos semânticos, use as etapas para criar um modelo DirectLake.
• Para obter uma lista completa de limitações, consulte a seção de limitações conhecidas.

Impor segurança em nível de coluna

O CLS de segurança do OneLake é aplicado de uma das seguintes maneiras:

• Tabelas filtradas em mecanismos de malha: As consultas aos mecanismos de malha, como blocos de anotações Spark, fazem com que o usuário veja apenas as colunas que tem permissão para ver de acordo com as regras CLS.
• Acesso bloqueado às tabelas: As tabelas com regras CLS aplicadas não podem ser lidas fora dos motores Fabric suportados.

Para tabelas filtradas, aplicam-se os seguintes comportamentos:

• As regras CLS não restringem o acesso aos usuários com as funções de Administrador, Membro e Colaborador.
• Se a regra CLS tiver uma incompatibilidade com a tabela em que está definida, a consulta falhará e nenhuma coluna será retornada. Por exemplo, se CLS for definido para uma coluna que não faz parte da tabela.
• As consultas de tabelas CLS falham com um erro se um usuário fizer parte de duas funções diferentes e uma das funções tiver segurança em nível de linha (RLS).
• As regras CLS só podem ser aplicadas para objetos de tabela de parquet Delta.
  • As regras CLS aplicadas a objetos de tabela não Delta bloqueiam o acesso a toda a tabela para membros da função.
• Se um usuário executar uma select * consulta em uma tabela onde ele só tem acesso a algumas das colunas, as regras CLS se comportam de forma diferente dependendo do mecanismo de malha.
  • Blocos de anotações do Spark: a consulta é bem-sucedida e mostra apenas as colunas permitidas.
  • Ponto de extremidade da análise SQL: o acesso às colunas é bloqueado para as colunas que o utilizador não pode acessar.
  • Modelos semânticos: o acesso às colunas é bloqueado para as colunas que o usuário não pode acessar.

Definir regras de segurança em nível de coluna

Você pode definir segurança em nível de coluna como parte de uma função de segurança OneLake para qualquer tabela Delta-parquet na seção Tabelas de um item. O CLS é sempre especificado para uma tabela e está ativado ou desativado. Por padrão, o CLS está desabilitado e os usuários têm acesso a todas as colunas. Os usuários podem habilitar o CLS e remover colunas da lista para revogar o acesso.

Use as seguintes etapas para definir a segurança em nível de coluna:

1. Navegue até o item de dados e selecione Gerenciar segurança do OneLake (visualização).

2. Selecione uma função existente para a qual você deseja definir a segurança da tabela ou pasta ou selecione Novo para criar uma nova função.

3. Na página de detalhes do cargo, selecione mais opções (...) ao lado da tabela para a qual deseja definir CLS e, em seguida, selecione Segurança da coluna (versão preliminar).

   

4. Por padrão, o CLS de uma tabela está desativado. Selecione Ativar CLS ou crie uma nova regra para habilitá-la.

   A interface é preenchida com uma lista de colunas dessa tabela que os utilizadores têm permissão para ver. Por padrão, ele mostra todas as colunas.

5. Para restringir o acesso a uma coluna, marque a caixa de seleção ao lado do nome da coluna e selecione Remover. Pelo menos uma coluna deve permanecer na lista de colunas permitidas.

6. Selecione Guardar para atualizar a função.

7. Se quiser adicionar uma coluna removida, selecione Nova regra. Esta ação adiciona uma nova entrada de regra CLS ao final da lista. Depois, utilize a lista suspensa para selecionar a coluna que gostaria de incluir no acesso.

8. Depois de concluir as alterações, selecione Guardar.

Ativar a segurança do OneLake para o ponto final de análise SQL

Antes de poderes usar a segurança do OneLake com o ponto de extremidade de análise SQL, deves habilitar o modo de identidade do utilizador. Os pontos de extremidade de análise SQL recém-criados serão padronizados para o modo de identidade do usuário, portanto, essas etapas devem ser seguidas para os pontos de extremidade de análise SQL existentes.

1. Navegue até o ponto de extremidade da análise SQL.

2. Na interface do ponto de extremidade da análise SQL, selecione o separador Segurança na barra superior de opções.

3. Selecione a identidade do usuário no modo de acesso OneLake.

   

4. No prompt, selecione Sim, use a identidade do usuário.

   

Agora, o ponto de extremidade de análise SQL está pronto para ser utilizado com a segurança do OneLake.

Combine a segurança ao nível de linha e ao nível de coluna

A segurança em nível de linha e em nível de coluna pode ser usada em conjunto para restringir o acesso do usuário a uma tabela. No entanto, as duas políticas devem ser aplicadas usando uma única função de segurança OneLake. Nesse cenário, o acesso aos dados é restrito de acordo com as regras definidas em uma função.

A segurança do OneLake não suporta a combinação de duas ou mais funções em que uma contém regras RLS e outra contém regras CLS. Os usuários que tentam acessar tabelas que fazem parte de uma combinação de funções sem suporte recebem erros de consulta.