Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
La seguridad de OneLake permite aplicar el control de acceso basado en rol (RBAC) a los datos almacenados en OneLake. Puede definir roles de seguridad que concedan acceso a carpetas específicas dentro de un elemento de Fabric y, a continuación, asignar estos roles a usuarios o grupos. Los roles también pueden contener seguridad de nivel de fila o columna para limitar aún más el acceso. Los permisos de seguridad de OneLake determinan qué datos puede ver el usuario en todas las experiencias de Fabric.
Los usuarios de Fabric con permisos de escritura y volver a compartir (por lo general, usuarios del área de trabajo administrador y miembro) pueden empezar a crear roles de seguridad de OneLake para conceder acceso solo a carpetas o tablas específicas de un elemento de datos de Fabric. Para conceder acceso a los datos de un elemento, agregue usuarios a un rol de acceso a datos. Los usuarios que no forman parte de un rol de acceso a datos no ven datos en ese elemento.
¿Qué tipos de datos se pueden proteger?
Utilice los roles de seguridad de OneLake para administrar el acceso de lectura en OneLake a las tablas o carpetas en un elemento de datos compatible. El acceso a las tablas se puede restringir aún más mediante la seguridad de nivel de fila o columna. Cualquier conjunto de seguridad se aplica al acceso desde todos los motores de Fabric. Para obtener más información, consulte el modelo de control de acceso a datos.
Para tipos de elementos específicos, también puede configurar el acceso de lectura y escritura. Este permiso permite a los usuarios editar datos en un lakehouse en tablas o carpetas específicas sin darles acceso para la creación o administración de elementos de Fabric. El acceso ReadWrite permite a los usuarios realizar operaciones de escritura a través de cuadernos de Spark, el explorador de archivos oneLake o las API de OneLake. No se admiten las operaciones de escritura a través de Lakehouse UX para los visualizadores.
Los siguientes ítems de datos admiten la seguridad de OneLake:
| Elemento de tejido | Permisos compatibles |
|---|---|
| Lakehouse | Lectura, Lectura/Escritura |
| Catálogo replicado de Azure Databricks | Read |
| Bases de datos en espejo | Read |
Configuración predeterminada
Cuando se crea un nuevo elemento, se incluye un conjunto de roles predeterminados. Los roles predeterminados garantizan que los usuarios con privilegios puedan ver e interactuar con los datos en el elemento recién creado. Los distintos elementos tienen roles predeterminados diferentes en función de los casos de uso de ese elemento, pero la mayoría contienen un rol DefaultReader . Mediante el uso de pertenencias a roles virtualizados, todos los usuarios que tienen los permisos necesarios para ver los datos del elemento (el permiso ReadAll, por ejemplo) se incluyen como miembros de este rol predeterminado. Para restringir el acceso a esos usuarios, elimine el rol DefaultReader o quite el permiso ReadAll de los usuarios que acceden.
Los elementos recién creados que tienen un punto de conexión de SQL Analytics correspondiente se inician en el modo de identidad del usuario de forma predeterminada. Los administradores y miembros pueden cambiar el modo en cualquier momento en la configuración del punto de conexión.
Importante
Al agregar un usuario a un rol de acceso a datos, asegúrese de quitarlos del rol DefaultReader. De lo contrario, mantienen el acceso total a los datos.
Habilitación de la seguridad de OneLake para el punto de conexión de SQL Analytics
Para poder usar la seguridad de OneLake con el punto de conexión de SQL Analytics, debe configurarla para usar el modo de acceso a identidades del usuario.
Note
Solo tiene que cambiar al modo de acceso de identidad de usuario una vez por punto de conexión de SQL Analytics. Los puntos de conexión que no se cambian al modo de identidad del usuario siguen usando una identidad delegada para evaluar los permisos.
Vaya al punto de conexión de SQL Analytics.
En la experiencia del punto de conexión de SQL Analytics, seleccione la pestaña Seguridad .
Seleccione Ver modo de acceso a datos (versión preliminar)>Configuración del modo de acceso a datos.
Seleccione Usar seguridad de OneLake para las tablas (modo de acceso de identidad del usuario) y, a continuación, seleccione Aplicar.
Seleccione Continuar para confirmar su elección.
Ahora el punto de conexión de SQL Analytics está listo para usarse con la seguridad de OneLake.