Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
O OneLake é um data lake hierárquico, como o Azure Data Lake Storage (ADLS) Gen2 ou o sistema de arquivos do Windows. A segurança no OneLake é imposta em vários níveis, cada um correspondente a diferentes aspectos de acesso e controle. Entender a distinção entre as permissões do plano de controle e do plano de dados é fundamental para proteger efetivamente seus dados:
- Permissões do plano de controle: regem quais ações os usuários podem executar dentro do ambiente (por exemplo, criando, gerenciando ou compartilhando itens). As permissões do plano de controle geralmente fornecem permissões de plano de dados por padrão.
- Permissões do plano de dados: governe quais dados os usuários podem acessar ou exibir, independentemente de sua capacidade de gerenciar recursos.
Você pode definir a segurança em cada nível dentro do data lake. No entanto, alguns níveis na hierarquia recebem tratamento especial, porque eles se correlacionam com conceitos do Fabric. A segurança do OneLake controla todo o acesso aos dados do OneLake com permissões diferentes herdadas do item pai ou das permissões do workspace. Você pode definir permissões nos seguintes níveis:
Workspace: um ambiente colaborativo para criar e gerenciar itens. A segurança é gerenciada por meio de funções de workspace nesse nível.
Item: um conjunto de recursos agrupados em um único componente. Um item de dados é um subtipo de item que permite que os dados sejam armazenados nele usando o OneLake. Os itens herdam permissões das funções do espaço de trabalho, mas também podem ter permissões adicionais.
Pastas: pastas dentro de um item que são usadas para armazenar e gerenciar dados, como Tabelas/ou Arquivos/.
Os itens sempre residem em workspaces e workspaces que sempre residem diretamente no namespace do OneLake. Você pode visualizar essa estrutura da seguinte maneira:
Segurança no OneLake
Esta seção descreve o modelo de segurança com base nos recursos do OneLake disponíveis para o público em geral.
Permissões de workspace
As permissões de workspace definem quais ações os usuários podem executar em um workspace e seus itens. Essas permissões são gerenciadas no nível do workspace e são principalmente permissões de plano de controle; eles determinam recursos administrativos e de gerenciamento de itens, não acesso direto a dados. No entanto, as permissões do workspace geralmente são herdadas até o nível do item e da pasta para conceder acesso aos dados por padrão. As permissões de espaço de trabalho permitem definir o acesso a todos os itens em um espaço de trabalho. Existem quatro diferentes funções de workspace, e cada uma delas concede diferentes tipos de acesso. Abaixo estão os comportamentos padrão de cada função de workspace.
| Função | Pode adicionar administradores? | Pode adicionar membros? | Pode editar a segurança do OneLake? | Pode gravar dados e criar itens? | Pode ler dados no OneLake? | Atualize e exclua o espaço de trabalho. |
|---|---|---|---|---|---|---|
| Administrador | Sim | Sim | Sim | Sim | Sim | Sim |
| Membro | Não | Sim | Sim | Sim | Sim | Não |
| Colaborador | Não | Não | Não | Sim | Sim | Não |
| Visualizador | Não | Não | Não | Não | Não* | Não |
Saiba mais sobre Funções em workspaces no Microsoft Fabric.
Observação
*Os visualizadores podem ter acesso aos dados por meio de funções de segurança do OneLake.
Você pode simplificar o gerenciamento de funções de workspace do Fabric atribuindo-as a grupos de segurança. Isso permite controlar o acesso adicionando ou removendo membros do grupo de segurança.
Permissões de item
Com o recurso de compartilhamento, você pode conceder a um usuário acesso direto a um item. O usuário só pode ver esse item no workspace e não é membro de nenhuma funções de workspace. As permissões de item concedem acesso para se conectar a esse item e seus pontos de extremidade que o usuário pode acessar.
| Permissão | Vê os metadados do item? | Vê os dados no SQL? | Vê os dados no OneLake? |
|---|---|---|---|
| Ler | Sim | Não | Não |
| LerDados | Não | Sim | Não |
| LerTudo | Não | Não | Sim* |
*Não aplicável a itens com funções de segurança ou acesso a dados do OneLake habilitadas. Se a visualização estiver habilitada, ReadAll só concederá acesso se a função DefaultReader estiver em uso. Se essa função DefaultReader for editada ou excluída, o acesso será concedido com base em quais funções de acesso a dados o usuário faz parte.
Outra maneira de configurar permissões é por meio da página Gerenciar permissões de um item. Nesta página, você pode adicionar ou remover permissões de item individuais para usuários ou grupos. O tipo de item determina quais permissões estão disponíveis.
Segurança do OneLake (versão prévia)
A segurança do OneLake permite que os usuários definam a segurança granular baseada em função para os dados armazenados no OneLake e imponham essa segurança consistentemente em todos os mecanismos de computação no Fabric. A segurança do OneLake é o modelo de segurança do plano de dados para dados no OneLake.
Os usuários do Fabric nas funções Administrador ou Membro podem criar funções de segurança do OneLake para conceder aos usuários acesso aos dados em um item. Cada função tem quatro componentes:
- Dados: as tabelas ou pastas que os usuários podem acessar.
- Permissão: as permissões que os usuários têm nos dados.
- Membros: os usuários que são membros da função.
- Restrições: os componentes dos dados, se houver, que são excluídos do acesso à função, como linhas ou colunas específicas.
As funções de segurança do OneLake concedem acesso a dados para usuários na função de workspace do Visualizador ou com permissão de leitura no item. Administradores, Membros e Colaboradores não são afetados pelas funções de segurança do OneLake e podem ler e gravar todos os dados em um item, independentemente de sua associação à função. Existe uma função DefaultReader em todas as lakehouses que permite a qualquer usuário com a permissão ReadAll acessar os dados nos lakehouses. A função DefaultReader pode ser excluída ou editada para remover esse acesso.
Saiba mais sobre como criar funções de segurança do OneLake para tabelas e pastas, colunas e linhas.
Saiba mais sobre o modelo de controle de acesso para segurança do OneLake..
Permissões de computação
As permissões de computação são um tipo de permissão de plano de dados que se aplica a um mecanismo de consulta específico no Microsoft Fabric. O acesso concedido aplica-se apenas a consultas executadas em relação a esse mecanismo específico, como o ponto de extremidade SQL ou um modelo semântico do Power BI. No entanto, os usuários podem ver resultados diferentes quando acessam dados por meio de um mecanismo de computação em comparação com quando acessam dados diretamente no OneLake, dependendo das permissões de computação aplicadas. A segurança do OneLake é a abordagem recomendada para proteger dados no OneLake para garantir resultados consistentes em todos os mecanismos com os quais um usuário pode interagir.
Os mecanismos de computação podem ter recursos de segurança mais avançados que ainda não estão disponíveis na segurança do OneLake e, nesse caso, usar as permissões de computação pode ser necessário para resolver alguns cenários. Ao usar permissões de computação para proteger o acesso aos dados, verifique se os usuários finais recebem acesso somente ao mecanismo de computação em que a segurança está definida. Isso impede que os dados sejam acessados por meio de um mecanismo diferente sem os recursos de segurança necessários.
Segurança de atalho
Os atalhos no Microsoft Fabric permitem o gerenciamento simplificado de dados. A segurança da pasta do OneLake se aplica aos atalhos do OneLake com base nas funções definidas no lakehouse no qual os dados são armazenados.
Para obter mais informações sobre considerações de segurança de atalho, consulte o modelo de controle de acesso de segurança do OneLake.
Para obter informações sobre detalhes de acesso e autenticação para atalhos específicos, consulte os tipos de atalhos do OneLake.
Autenticação
O OneLake usa o Microsoft Entra ID para autenticação. Você pode usá-lo para conceder permissões a identidades de usuário e entidades de serviço. O OneLake extrai automaticamente a identidade do usuário das ferramentas, que usam a autenticação do Microsoft Entra e a mapeia para as permissões definidas no portal do Fabric.
Observação
Para usar entidades de serviço em um locatário do Fabric, um administrador de locatários deve habilitar Nomes de Entidade de Serviço (SPNs) para todo o locatário ou grupos de segurança específicos. Saiba mais sobre como habilitar as Entidades de serviço nas Configurações do desenvolvedor do portal de administrador de locatários.
Logs de Auditoria
Para exibir seus logs de auditoria do OneLake, siga as instruções em Controlar atividades do usuário no Microsoft Fabric. Os nomes de operação do OneLake correspondem às APIs do ADLS, como CreateFile ou DeleteFile. Os logs de auditoria do OneLake não incluem solicitações de leitura ou solicitações feitas ao OneLake por meio de cargas de trabalho do Fabric.
Criptografia e rede
Dados inativos
Os dados armazenados no OneLake são criptografados em repouso por padrão usando as chaves gerenciadas pela Microsoft. As chaves gerenciadas pela Microsoft são giradas adequadamente. Os dados OneLake são criptografados e descriptografados de maneira transparente e estão em conformidade com o FIPS 140-2.
Atualmente, não há suporte para criptografia em repouso usando a chave gerenciada pelo cliente. Você pode enviar uma solicitação para esse recurso no Microsoft Fabric Ideas.
Dados em trânsito
Os dados em trânsito na Internet pública entre os serviços Microsoft sempre são criptografados ao menos com TLS 1.2. O Fabric negocia com o TLS 1.3 sempre que possível. O tráfego entre os serviços Microsoft sempre é roteado pela rede global da Microsoft.
A comunicação de entrada do OneLake também impõe o TLS 1.2 e negocia para o TLS 1.3 sempre que possível. A comunicação de saída do Fabric para a infraestrutura de propriedade do cliente prefere protocolos seguros, mas pode retornar para protocolos mais antigos e inseguros (incluindo TLS 1.0) quando não houver compatibilidade com protocolos mais recentes.
Links privados
Para configurar links privados no Fabric, consulte Configurar e usar links privados.
Permitir que aplicativos em execução fora do Fabric acessem dados por meio do OneLake
Você pode permitir ou restringir o acesso a dados do OneLake de aplicativos que estão fora do ambiente do Fabric. Os administradores podem encontrar essa configuração na seção OneLake das configurações de locatário do portal de administração.
Quando você ativa essa configuração, os usuários podem acessar dados de todas as fontes. Por exemplo, ative essa configuração se você tiver aplicativos personalizados que usam APIs do ADLS (Azure Data Lake Storage) ou do OneLake File Explorer. Quando você desativa essa configuração, os usuários ainda podem acessar dados de aplicativos internos como Spark, Engenharia de Dados e Data Warehouse, mas não podem acessar dados de aplicativos em execução fora dos ambientes do Fabric.