Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
La seguridad de nivel de columna (CLS) es una característica de la seguridad de OneLake que permite tener acceso a columnas seleccionadas en una tabla en lugar de acceso total a la tabla. CLS permite especificar un subconjunto de tablas a las que pueden acceder los usuarios. Los datos de las columnas que se quitan de la lista no son visibles para los usuarios.
Prerrequisitos
- Elemento de datos que asegura la seguridad de OneLake. Para obtener una lista de los tipos de elementos admitidos, consulte Introducción a la seguridad de OneLake.
- Revise la sección de limitaciones conocidas.
Comprender la seguridad a nivel de columna
OneLake security CLS se aplica de una de las dos maneras siguientes:
- Tablas filtradas en motores de Fabric: Las consultas a los motores de Fabric, como los cuadernos de Spark, dan lugar a que el usuario vea solo las columnas que pueden ver según las reglas de CLS.
- Acceso bloqueado a tablas: Las tablas con reglas CLS aplicadas no se pueden leer fuera de los motores de Fabric compatibles ni de los motores de terceros autorizados que aplican la seguridad de OneLake. El acceso está bloqueado para los motores no autorizados.
En el caso de las tablas filtradas, se aplican los comportamientos siguientes:
- Las reglas CLS no restringen el acceso a los usuarios con los roles De administrador, miembro y colaborador.
- Si la regla de CLS tiene una discrepancia con la tabla en la que se define, se produce un error en la consulta y no se devuelve ninguna columna. Por ejemplo, si CLS se define para una columna que no forma parte de la tabla.
- Las consultas de tablas de CLS producen un error si un usuario forma parte de dos roles diferentes y uno de los roles tiene seguridad de nivel de fila (RLS).
- Las reglas CLS solo se pueden aplicar a los objetos de tabla Delta Parquet.
- Las reglas CLS que se aplican a objetos de tabla no delta bloquean el acceso a toda la tabla para los miembros del rol.
- Si un usuario ejecuta una
select *consulta en una tabla donde solo tiene acceso a algunas de las columnas, las reglas CLS se comportan de forma diferente en función del motor de Fabric.- Cuadernos de Spark: la consulta se realiza correctamente y solo muestra las columnas permitidas.
- Punto de conexión de SQL Analytics: el acceso a columnas está bloqueado para las columnas a las que el usuario no puede acceder.
- Modelos semánticos: el acceso a columnas está bloqueado para las columnas a las que el usuario no puede acceder.
- El nombre de una columna protegida puede ser visible en determinadas experiencias, pero los valores de datos nunca se muestran.
Acceso a datos desde motores autorizados
Motores de Fabric compatibles pueden acceder a tablas con reglas CLS aplicadas.
Sugerencia
- Para acceder a los datos desde un punto de conexión de SQL Analytics, habilite la seguridad de OneLake para el punto de conexión de SQL Analytics.
- Para acceder a los datos desde un modelo semántico, el modelo semántico debe usar Direct Lake en OneLake.
Los motores de terceros autorizados pueden recuperar el acceso efectivo a las columnas de un usuario de OneLake mediante las API del motor autorizadas y aplicar CLS en el momento de la consulta. OneLake sigue siendo la única fuente de verdad, y las definiciones de CLS creadas en OneLake se aplican de forma coherente a través de motores fabric y motores externos autorizados.
Para obtener más información, consulte Integración de un motor de terceros con la seguridad de OneLake.
Definición de reglas de seguridad de nivel de columna
Puede definir la seguridad de nivel de columna como parte de un rol de seguridad de OneLake para cualquier tabla Delta-parquet en la sección Tablas de un elemento. CLS siempre se especifica para una tabla y está habilitada o deshabilitada. De forma predeterminada, CLS está deshabilitado y los usuarios tienen acceso a todas las columnas. Los usuarios pueden habilitar CLS y quitar columnas de la lista para revocar el acceso.
Importante
Al quitar el acceso a una columna, no se deniega el acceso a esa columna si otro rol concede acceso a ella.
Siga estos pasos para definir la seguridad de nivel de columna:
Vaya al elemento de datos y seleccione Administrar seguridad de OneLake.
Seleccione un rol existente para el que quiera definir la seguridad de la tabla o carpeta, o seleccione Nuevo para crear un nuevo rol.
En la página de detalles del rol, seleccione más opciones (...) junto a la tabla para la que desea definir CLS y, a continuación, seleccione Seguridad de columnas.
De manera predeterminada, CLS para una tabla está deshabilitado. Seleccione Habilitar CLS o cree una nueva regla para habilitarla.
La interfaz de usuario se completa con una lista de columnas de esa tabla que los usuarios tienen permiso para ver. De forma predeterminada, muestra todas las columnas.
Para restringir el acceso a una columna, active la casilla situada junto al nombre de la columna y, a continuación, seleccione Quitar. Debe permanecer al menos una columna en la lista de columnas permitidas.
Seleccione Guardar para actualizar el rol.
Si desea agregar una columna eliminada, seleccione Nueva regla. Esta acción agrega una nueva entrada de regla CLS al final de la lista. A continuación, use la lista desplegable para elegir la columna que desea incluir en el acceso.
Una vez completados los cambios, seleccione Guardar.
Combinación de la seguridad a nivel de fila y a nivel de columna
La seguridad a nivel de fila y a nivel de columna se puede usar conjuntamente para restringir el acceso de usuario a una tabla. Sin embargo, las dos políticas deben aplicarse mediante un solo rol de seguridad de OneLake. En este escenario, el acceso a los datos se restringe según las reglas que se establecen en un rol.
La seguridad de OneLake no admite la combinación de dos o más roles en los que uno contiene reglas RLS y otro contiene reglas CLS. Los usuarios que intentan acceder a tablas que forman parte de una combinación de roles no compatibles reciben errores de consulta.