Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
O OneLake é um data lake hierárquico, como o Azure Data Lake Storage (ADLS) Gen2 ou o sistema de arquivos do Windows. A segurança no OneLake é aplicada em vários níveis, cada um correspondendo a diferentes aspetos de acesso e controle. Compreender a distinção entre permissões do plano de controle e do plano de dados é fundamental para proteger seus dados de forma eficaz:
- Permissões de plano de controle: Governe quais ações os usuários podem executar no ambiente (por exemplo, criar, gerenciar ou compartilhar itens). As permissões do plano de controle geralmente fornecem permissões do plano de dados por padrão.
- Permissões do plano de dados: governam quais dados os usuários podem acessar ou visualizar, independentemente de sua capacidade de gerenciar recursos.
Você pode definir a segurança em cada nível dentro do data lake. No entanto, alguns níveis na hierarquia recebem tratamento especial porque se correlacionam com os conceitos de Fabric. A segurança do OneLake controla toda a acessibilidade aos dados do OneLake com diferentes permissões herdadas do item principal ou das permissões da área de trabalho. Você pode definir permissões nos seguintes níveis:
Espaço de trabalho: um ambiente colaborativo para criar e gerenciar itens. A segurança é gerenciada por meio de funções de espaço de trabalho nesse nível.
Item: Um conjunto de recursos agrupados em um único componente. Um item de dados é um subtipo de item que permite que os dados sejam armazenados nele usando o OneLake. Os itens herdam permissões das funções do espaço de trabalho, mas também podem ter permissões adicionais.
Pastas: Pastas dentro de um item que são usadas para armazenar e gerenciar dados, como Tabelas/ ou Arquivos/.
Os itens sempre vivem dentro de espaços de trabalho e os espaços de trabalho sempre vivem diretamente sob o namespace OneLake. Você pode visualizar essa estrutura da seguinte maneira:
Segurança em OneLake
Esta seção descreve o modelo de segurança com base nos recursos do OneLake geralmente disponíveis.
Permissões de espaço de trabalho
As permissões de espaço de trabalho definem quais ações os usuários podem executar em um espaço de trabalho e seus itens. Essas permissões são gerenciadas no nível do espaço de trabalho e são principalmente permissões de plano de controle; eles determinam os recursos administrativos e de gerenciamento de itens, não o acesso direto aos dados. No entanto, as permissões de espaço de trabalho geralmente herdam até o nível de item e pasta para conceder acesso aos dados por padrão. As permissões de espaço de trabalho permitem definir o acesso a todos os itens dentro desse espaço de trabalho. Existem quatro funções de espaço de trabalho diferentes, cada uma das quais concede diferentes tipos de acesso. Abaixo estão os comportamentos padrão de cada função de espaço de trabalho.
| Função | Pode adicionar administradores? | Pode adicionar membros? | Pode editar a segurança do OneLake? | Pode escrever dados e criar itens? | Pode ler dados no OneLake? | Atualize e exclua o espaço de trabalho. |
|---|---|---|---|---|---|---|
| Administrador | Sim | Sim | Sim | Sim | Sim | Sim |
| Membro | Não | Sim | Sim | Sim | Sim | Não |
| Colaborador | Não | Não | Não | Sim | Sim | Não |
| Visualizador | Não | Não | Não | Não | Não* | Não |
Saiba mais sobre Funções em espaços de trabalho no Microsoft Fabric.
Nota
*Os espectadores podem ter acesso aos dados através das funções de segurança do OneLake.
Você pode simplificar o gerenciamento de funções de espaço de trabalho do Fabric atribuindo-as a grupos de segurança. Esse método permite controlar o acesso adicionando ou removendo membros do grupo de segurança.
Permissões de item
Com o recurso de compartilhamento , você pode dar a um usuário acesso direto a um item. O usuário só pode ver esse item no espaço de trabalho e não é membro de nenhuma função do espaço de trabalho. As permissões de item concedem acesso para se conectar a esse item e seus pontos de extremidade que o usuário pode acessar.
| Permissão | Viu os metadados do item? | Ver dados em SQL? | Ver os dados no OneLake? |
|---|---|---|---|
| Leia | Sim | Não | Não |
| LerDados | Não | Sim | Não |
| LerTudo | Não | Não | Sim* |
*Não aplicável a itens com funções de segurança ou acesso a dados do OneLake habilitadas. Se a visualização estiver habilitada, ReadAll só concederá acesso se a função DefaultReader estiver em uso. Se a função DefaultReader for editada ou excluída, o acesso será concedido com base em quais funções de acesso a dados o usuário faz parte.
Outra maneira de configurar permissões é por meio da página Gerenciar permissões de um item. Usando esta página, você pode adicionar ou remover permissão de item individual para usuários ou grupos. O tipo de item determina quais permissões estão disponíveis.
Segurança do OneLake (visualização)
A segurança do OneLake permite que os usuários definam segurança granular baseada em função para os dados armazenados no OneLake e apliquem essa segurança de forma consistente em todos os mecanismos de computação no Fabric. A segurança do OneLake é o modelo de segurança do plano de dados para dados no OneLake.
Utilizadores da Fabric nas funções de Administrador ou Membro podem criar papéis de segurança do OneLake para conceder acesso aos dados a utilizadores dentro de um item. Cada função tem quatro componentes:
- Data: As tabelas ou pastas que os utilizadores podem acessar.
- Permissão: As permissões que os utilizadores têm sobre os dados.
- Membros: Os utilizadores que são membros do cargo.
- Restrições: Os componentes dos dados, caso existam, que são excluídos de acesso por função, como linhas ou colunas específicas.
As funções de segurança do OneLake concedem acesso aos dados para os usuários na função de espaço de trabalho Visualizador ou com permissão de Leitura no item. Administradores, Membros e Colaboradores não são afetados pelas funções de segurança do OneLake e podem ler e gravar todos os dados em um item, independentemente de sua associação de função. Existe uma função DefaultReader em todas as lakehouses que dá a qualquer utilizador com a permissão ReadAll acesso aos dados no lakehouse. A função DefaultReader pode ser excluída ou editada para remover esse acesso.
Saiba mais sobre a criação de funções de segurança do OneLake para Tabelas e pastas, Colunas e Linhas.
Saiba mais sobre o modelo de controle de acesso para segurança OneLake..
Permissões de computação
As permissões de computação são um tipo de permissão de plano de dados que se aplica a um mecanismo de consulta específico no Microsoft Fabric. O acesso concedido aplica-se apenas a consultas executadas nesse mecanismo específico, como o ponto de extremidade SQL ou um modelo semântico do Power BI. No entanto, os usuários podem ver resultados diferentes quando acessam dados por meio de um mecanismo de computação em comparação com quando acessam dados diretamente no OneLake, dependendo das permissões de computação aplicadas. A segurança do OneLake é a abordagem recomendada para proteger dados no OneLake para garantir resultados consistentes em todos os mecanismos com os quais um usuário possa interagir.
Os mecanismos de computação podem ter recursos de segurança mais avançados que ainda não estão disponíveis na segurança do OneLake e, nesse caso, usar as permissões de computação pode ser necessário para resolver alguns cenários. Ao usar permissões de computação para proteger o acesso aos dados, certifique-se de que os usuários finais tenham acesso apenas ao mecanismo de computação onde a segurança está definida. Isso impede que os dados sejam acessados através de um mecanismo diferente sem os recursos de segurança necessários.
Segurança de atalho
Os atalhos no Microsoft Fabric permitem o gerenciamento simplificado de dados. A segurança da pasta OneLake aplica-se aos atalhos do OneLake com base nas funções definidas no Lakehouse onde os dados são armazenados.
Para obter mais informações sobre considerações de segurança de atalho, consulte Modelo de controle de acesso de segurança do OneLake.
Para obter informações sobre detalhes de acesso e autenticação para atalhos específicos, consulte Tipos de atalhos do OneLake.
Autenticação
O OneLake usa o Microsoft Entra ID para autenticação; Você pode usá-lo para conceder permissões a identidades de usuário e entidades de serviço. OneLake extrai automaticamente a identidade do utilizador das ferramentas, que usam a autenticação da Microsoft Entra e associa-a às permissões que definiu no portal do Fabric.
Nota
Para utilizar principais de serviço num tenant Fabric, um administrador do tenant deve ativar Nomes Principais de Serviço (SPNs) para todo o tenant ou para grupos de segurança específicos. ** Saiba mais sobre como ativar Princípios de Serviço nas configurações do desenvolvedor no portal de administração do inquilino.
Logs de auditoria
Para exibir seus logs de auditoria do OneLake, siga as instruções em Rastrear atividades do usuário no Microsoft Fabric. Os nomes de operação do OneLake correspondem às APIs ADLS, como CreateFile ou DeleteFile. Os logs de auditoria do OneLake não incluem solicitações de leitura ou solicitações feitas ao OneLake por meio de cargas de trabalho do Fabric.
Encriptação e ligação em rede
Dados em repouso
Os dados armazenados no OneLake são criptografados em repouso por padrão usando chaves gerenciadas pela Microsoft. As chaves geridas pela Microsoft são rotacionadas adequadamente. Os dados no OneLake são criptografados e descriptografados de forma transparente e são compatíveis com FIPS 140-2.
Pode usar encriptação em repouso usando chaves geridas pelo cliente para adicionar outra camada de proteção usando chaves que possui e controla. Para saber mais, consulte Chaves geridas pelo cliente para espaços de trabalho Fabric.
Dados em trânsito
Os dados em trânsito na Internet pública entre os serviços da Microsoft são sempre criptografados com, pelo menos, TLS 1.2. A plataforma negoceia com TLS 1.3 sempre que possível. O tráfego entre os serviços Microsoft é sempre encaminhado através da rede global da Microsoft.
A comunicação OneLake de entrada também impõe o TLS 1.2 e negocia com o TLS 1.3 sempre que possível. A comunicação externa Fabric para infraestruturas pertencentes ao cliente prefere protocolos seguros, mas pode recorrer a protocolos mais antigos e menos seguros (incluindo TLS 1.0) quando os protocolos mais modernos não são suportados.
Ligações privadas
Para configurar links privados no Fabric, consulte Configurar e usar links privados.
Permitir que aplicativos executados fora da malha acessem dados por meio do OneLake
Você pode permitir ou restringir o acesso aos dados do OneLake a partir de aplicativos que estão fora do ambiente de malha. Os administradores podem encontrar essa configuração na seção OneLake das configurações de locatário do portal de administração.
Quando você ativa essa configuração, os usuários podem acessar dados de todas as fontes. Por exemplo, ative essa configuração se você tiver aplicativos personalizados que usam APIs do Azure Data Lake Storage (ADLS) ou o explorador de arquivos OneLake. Quando você desativa essa configuração, os usuários ainda podem acessar dados de aplicativos internos, como Spark, Engenharia de Dados e Data Warehouse, mas não podem acessar dados de aplicativos executados fora de ambientes de malha.