Introdução à segurança do OneLake (visualização)

A segurança do OneLake permite que você aplique o controle de acesso baseado em função (RBAC) aos seus dados armazenados no OneLake. Pode definir papéis de segurança que concedam acesso a pastas específicas dentro de um item do Fabric e depois atribuir esses papéis a utilizadores ou grupos. As funções também podem conter segurança em nível de linha ou coluna para limitar ainda mais o acesso. As permissões de segurança do OneLake determinam quais dados o usuário pode ver em todas as experiências no Fabric.

Os usuários de malha com permissões de Gravação e Recompartilhamento (geralmente usuários do espaço de trabalho Administrador e Membro) podem começar criando funções de segurança do OneLake para conceder acesso apenas a pastas ou tabelas específicas em um item de dados de malha. Para conceder acesso aos dados em um item, adicione usuários a uma função de acesso a dados. Os usuários que não fazem parte de uma função de acesso a dados não veem dados nesse item.

Pré-requisitos

Para configurar a segurança do OneLake, você deve ser um Administrador ou Membro no espaço de trabalho ou ter permissões de Gravação e Recompartilhamento. A criação de funções e a atribuição de associação entram em vigor assim que a função é salva, portanto, certifique-se de conceder acesso antes de adicionar alguém a uma função.

A tabela seguinte descreve quais os itens de dados que suportam a segurança OneLake:

Como aderir

A segurança do OneLake está atualmente em versão de teste e, como resultado, está desativada por padrão. O recurso de visualização é configurado por item. O controle opt-in permite que um único item experimente a visualização sem habilitá-la em nenhum outro item do Fabric.

A funcionalidade de pré-visualização não pode ser desativada depois de ativada.

1. Navegue até uma casa no lago e selecione Gerenciar segurança do OneLake (visualização).
2. Reveja a caixa de diálogo de confirmação. A visualização das funções de acesso a dados não é compatível com a visualização de compartilhamento de dados externo. Se concordar com a alteração, selecione Continuar.

Para garantir uma experiência de aceitação suave, todos os usuários com permissão de leitura para dados no item continuam a ter acesso de leitura por meio de uma função de acesso a dados padrão chamada DefaultReader. Com as associações a papéis virtualizados, todos os utilizadores que tinham as permissões necessárias para visualizar dados no lakehouse (permissão ReadAll) são incluídos como membros deste papel predefinido. Para começar a restringir o acesso a esses usuários, exclua a função DefaultReader ou remova a permissão ReadAll dos usuários que acessam.

Que tipos de dados podem ser protegidos?

Use as funções de segurança do OneLake para gerenciar o acesso de leitura do OneLake a quaisquer tabelas ou pastas em um item. O acesso às tabelas pode ser ainda mais restrito usando a segurança em nível de linha e/ou coluna. Qualquer conjunto de segurança se aplica ao acesso de todos os mecanismos na malha. Para obter mais informações, consulte o modelo de controle de acesso a dados.

Para tipos específicos de itens, também pode ser configurado o acesso ReadWrite. Esta permissão dá aos utilizadores a capacidade de editar dados numa casa de lago em tabelas ou pastas especificadas sem lhes dar acesso para criar ou gerir itens do Fabric. O acesso ReadWrite permite aos utilizadores realizar operações de escrita através de cadernos Spark, do explorador de ficheiros OneLake ou das APIs OneLake. Operações de escrita através da UX do Lakehouse para os espectadores não são suportadas.

Criar uma função

Use as etapas a seguir para criar uma função de segurança OneLake.

1. Abra o item Malha onde você deseja definir segurança.

2. Selecione Gerenciar segurança do OneLake (visualização) no menu do item.

3. No painel de segurança (visualização) do OneLake , selecione Novo.

4. Forneça um nome para a nova função que atenda às seguintes diretrizes:

   • O nome da função só pode conter caracteres alfanuméricos.
   • O nome da função deve começar com uma letra.
   • Os nomes não diferenciam maiúsculas de minúsculas e devem ser exclusivos.
   • O comprimento máximo do nome é de 128 caracteres.

5. Selecione Grant como tipo de cargo.

6. Escolhe as permissões que queres conceder. Ler é selecionado no mínimo, e podes opcionalmente escolher ReadWrite.

7. Se você quiser que essa função se aplique a todas as tabelas e arquivos nesta casa do lago, selecione a alternância Todos os dados .

   Esta seleção também fornece acesso a quaisquer pastas que serão adicionadas no futuro.

8. Se desejar que essa função se aplique apenas a um grupo selecionado de tabelas e pastas, selecione a alternância Dados selecionados . Em seguida, use as etapas a seguir para definir os dados aprovados para essa função.

   1. Selecione Browse Lakehouse ou o equivalente para o item com o qual está a trabalhar.

      

   2. Expanda os diretórios Tabelas e Arquivos para exibir dados em sua casa do lago.

   3. Marque as caixas ao lado das tabelas e arquivos aos quais você deseja que a função se aplique.

   4. Selecione Adicionar dados para adicionar os itens selecionados à sua função.

9. Use a caixa de texto Adicionar membros à sua função para inserir manualmente os nomes ou endereços de email dos usuários que você deseja incluir na função. Ou selecione Configuração avançada e siga as orientações em Atribuir membros virtuais.

   Para adicionar membros manualmente:

   1. Digite o nome ou endereço de e-mail de um usuário.
   2. Selecione o nome correto na lista sugerida.
   3. Selecione o ícone de verificação para confirmar a sua seleção ou o ícone X para limpar a seleção.

10. Analise os resumos de função de visualização .

    1. Para editar a visualização de dados, selecione Procurar Lakehouse e atualize as tabelas e pastas selecionadas.
    2. Para remover um utilizador da pré-visualização de membros, selecione mais opções (...) junto ao respetivo nome e, em seguida, Remover da função.

11. Selecione Criar função e aguarde a notificação de que a função foi publicada com êxito.

Editar uma função

Use as etapas a seguir para editar uma função de segurança existente do OneLake.

1. Abra o item onde você deseja definir segurança.

2. Selecione Gerenciar segurança do OneLake (visualização) no menu do item.

3. No painel de segurança (visualização) do OneLake , selecione a função que você deseja editar.

   Esta ação abre a página de detalhes da função, que inclui duas guias: Dados na função e Membros na função.

4. Analise as informações na guia Dados na função :

   Esta guia mostra todos os dados que os membros da função podem acessar.

   O nome da função indica-te qual a função que estás a considerar. Para editar o nome da função, selecione a lista suspensa Editar no canto superior direito, selecione Atualizar nome da função, insira um novo nome e confirme com o símbolo de confirmação. Podes descartar as tuas alterações selecionando o X.

   O item Permissões no topo indica-te que permissões o papel concede atualmente. Para alterar as permissões de funções, selecione o menu suspenso Editar no canto superior direito, selecione Editar permissões de funções, edite as permissões selecionadas no menu suspenso e depois confirme com o ícone de confirmação. Podes descartar as tuas alterações selecionando o X.

   A coluna Dados mostra o nome das tabelas ou pastas que fazem parte do acesso à função. Você pode expandir e recolher esquemas para exibir os itens abaixo. Passe o rato sobre uma entrada para ver o caminho completo da tabela ou pasta. Passe o rato sobre o ... para ver opções para configurar segurança ao nível de linha ou a nível de coluna. Os guias de segurança em nível de linha e de segurança em nível de coluna fornecem mais informações sobre como isso funciona.

   A coluna Tipo informa o tipo de item selecionado. Os valores são: Schema, Table ou Folder.

   A coluna Acesso a dados indica se alguma restrição de nível de linha ou coluna é aplicada ao item. Um ícone com um cadeado e linhas horizontais indica que a segurança no nível da linha é aplicada, enquanto um ícone com um cadeado e linhas verticais indica que a segurança no nível da coluna é aplicada.

5. Para editar os dados incluídos na função, selecione Adicionar dados.

   Esta ação abre a caixa de diálogo de seleção de tabela e pasta.

6. Marque e desmarque tabelas ou pastas para adicioná-las ou removê-las da função.

7. Selecione Adicionar dados para confirmar suas seleções.

8. Selecione a guia Membros na função para exibir os membros da função.

   A coluna Membros mostra a foto do perfil e o nome do membro.

   A coluna Tipo indica se o membro é um Usuário ou Grupo.

   A coluna Adicionado usando indica se um usuário foi adicionado por meio de seu Email como membro da função ou incluído como parte de um grupo de permissões lakehouse. Para obter mais informações sobre como adicionar usuários usando permissões de item, consulte Atribuir membros virtuais.

9. Para editar os membros da função, selecione Adicionar membros.

10. Para adicionar membros manualmente, insira um nome ou e-mail na caixa de texto Adicionar membros à sua função . Selecione o nome correto na lista sugerida. Em seguida, selecione o ícone de verificação para confirmar sua seleção ou selecione o ícone X para limpar a seleção.

11. Para remover usuários da função, selecione mais opções (...) ao lado do nome e selecione Remover da função.

Fazer quaisquer alterações na associação de função atualiza a função imediatamente. Uma notificação observa o sucesso ou fracasso de quaisquer alterações.

Excluir uma função

Use as etapas a seguir para excluir uma função de acesso a dados do OneLake.

1. Abra a casa do lago onde você deseja definir a segurança.

2. Selecione Gerenciar segurança do OneLake (visualização) no menu Lakehouse.

3. No painel de segurança (visualização) do OneLake , marque a caixa ao lado das funções que você deseja excluir.

4. Selecione Excluir e aguarde a notificação de que as funções foram excluídas com êxito.

Atribuir um membro ou grupo

A função de segurança OneLake suporta dois métodos de adicionar usuários a uma função. O método principal é adicionar usuários ou grupos diretamente a uma função usando a caixa Adicionar pessoas ou grupos na página Atribuir função . A segunda é criando associações virtuais com grupos de permissão usando o controle de configuração Avançado .

Adicionar usuários diretamente a uma função adiciona os usuários como membros explícitos da função. Esses usuários aparecem com seu nome e imagem mostrados na lista de membros .

Os membros virtuais permitem que a associação da função seja ajustada dinamicamente com base nas permissões de item de malha dos usuários. Ao selecionar Configuração avançada e selecionar uma permissão, você adiciona qualquer usuário no espaço de trabalho Malha que tenha todas as permissões selecionadas como um membro implícito da função. Por exemplo, se você escolher ReadAll, Write , qualquer usuário do espaço de trabalho Fabric que tenha permissões ReadAll e Write para o item será incluído como membro da função. Você pode ver quais usuários estão sendo adicionados por um grupo de permissões observando a coluna Adicionado usando na guia Membros na função . Esses membros não podem ser removidos manualmente diretamente. Para remover um membro que foi adicionado por meio de um grupo de permissões, remova o grupo de permissões da função.

Independentemente do tipo de associação que você usa, as funções de segurança do OneLake oferecem suporte à adição de usuários individuais, grupos do Microsoft Entra e entidades de segurança.

Atribuir membros virtuais

As permissões que podem ser usadas para membros virtuais são:

• Leitura
• Escreve
• Republicar
• Execute
• ReadAll

Para atribuir usuários com grupos de permissão, use as seguintes etapas:

1. Selecione o nome da função à qual deseja atribuir membros.

2. Na página de detalhes da função, selecione a guia Membros na função .

3. Selecione Adicionar membros.

4. Selecione Configuração avançada.

   

5. Na caixa Grupos de permissões , marque a caixa de seleção ao lado de cada permissão para a qual você deseja incluir usuários.

   Cada grupo de permissões mostra uma contagem de quantos usuários estão incluídos nesse grupo.

   A seleção de vários grupos de permissões inclui usuários com todas as permissões necessárias selecionadas.

6. Selecione Adicionar para incluir os grupos e salvar a função.

Conteúdo relacionado

• Visão geral da segurança de malha
• Visão geral da segurança do Fabric e do OneLake
• Modelo de controle de acesso a dados