Uso compartido de los datos y administración de permisos

Se aplica a:✅Almacenamiento y base de datos reflejada en Microsoft Fabric

El uso compartido es una manera cómoda de proporcionar a los usuarios acceso de lectura a los datos para el consumo de bajada. El uso compartido permite a los usuarios de nivel inferior de su organización consumir un almacenamiento mediante T-SQL, Spark o Power BI. Puede personalizar el nivel de permisos que se concede al destinatario compartido para proporcionarle el nivel de acceso adecuado.

Introducción

Después de identificar el elemento Warehouse que desea compartir con otro usuario en el área de trabajo de Fabric, seleccione la acción rápida de la fila para Compartir.

El siguiente gif animado revisa los pasos para seleccionar un almacén para compartir, seleccionar los permisos que se van a asignar y, por último, Conceder los permisos a otro usuario.

Uso compartido de un almacén

1. Puede compartir el almacén desde el centro de datos de OneLake o el elemento del almacén si elige Compartir en acción rápida, como se muestra en la imagen siguiente.

   

2. Se le pedirán opciones para seleccionar con quién desea compartir el almacén, con qué permisos concederlos y si se les notificará por correo electrónico.

3. Rellene todos los campos obligatorios y seleccione Conceder acceso.

4. Cuando el destinatario compartido recibe el correo electrónico, puede seleccionar Abrir y navegar a la página Centro de datos de almacenamiento.

   

5. Según el nivel de acceso al destinatario compartido, el destinatario compartido ahora puede conectarse al punto de conexión de análisis SQL, consultar los informes de almacenamiento, compilar informes o leer datos a través de Spark.

Roles de seguridad de Tejido

A continuación se muestra más detalles sobre cada uno de los permisos proporcionados:

• Si no se seleccionan permisos adicionales: el destinatario compartido recibe de forma predeterminada el permiso "Lectura", que solo permite al destinatario conectarse al punto de conexión de análisis SQL, el equivalente de los permisos CONNECT en SQL Server. El destinatario compartido no podrá consultar ninguna tabla o vista ni ejecutar ninguna función o procedimiento almacenado a menos que se les proporcione acceso a objetos dentro de la instrucción Warehouse mediante T-SQL GRANT .

• "Leer todos los datos mediante SQL" está seleccionado (permisos "ReadData"): el destinatario compartido puede leer todos los objetos del almacén. ReadData es el equivalente del rol db_datareader en SQL Server. El destinatario compartido puede leer datos de todas las tablas y vistas del almacén. Si desea restringir aún más y proporcionar acceso pormenorizados a algunos objetos dentro de Warehouse, puede hacerlo mediante instrucciones T-SQLGRANTDENY/REVOKE/.

  • En el punto de conexión de análisis SQL del lago de datos, "Leer todos los datos del punto de conexión de SQL" equivale a "Leer todos los datos mediante SQL".

• "Leer todos los datos con Apache Spark" está seleccionado (permisos "ReadAll"): el destinatario compartido tiene acceso de lectura a los archivos parquet subyacentes de OneLake, que se pueden consumir mediante Spark. Solo se debe proporcionar ReadAll si el destinatario compartido quiere tener acceso completo a los archivos del almacén mediante el motor de Spark.

• La casilla "Compilar informes sobre el conjunto de datos predeterminado" está activada (Permisos de "compilación"): el destinatario compartido puede crear informes sobre el modelo semántico predeterminado que está conectado al almacén. Se debe proporcionar Compilar si el destinatario compartido quiere permisos de Compilar en el modelo semántico predeterminado para crear informes de Power BI sobre estos datos. La casilla Compilar está activada de forma predeterminada, pero se puede desactivar.

Permisos ReadData

Con los permisos ReadData, el destinatario compartido puede abrir el editor de almacenamiento en modo de solo lectura y consultar las tablas y vistas dentro del almacén. El destinatario compartido también puede elegir copiar el punto de conexión de análisis SQL proporcionado y conectarse a una herramienta de cliente para ejecutar estas consultas.

Permisos ReadAll

Un destinatario compartido con permisos ReadAll puede encontrar la ruta del Azure Blob File System (ABFS) al archivo específico en OneLake desde el panel Propiedades en el editor de Warehouse. Después, el destinatario compartido puede usar esta ruta de acceso dentro de un cuaderno de Spark para leer estos datos.

Por ejemplo, en la captura de pantalla siguiente, un usuario con permisos ReadAll puede consultar los datos en FactSale con una consulta de Spark en un nuevo cuaderno.

Permisos de compilación

Con los permisos de Compilar, el destinatario compartido puede crear informes sobre el modelo semántico predeterminado que está conectado al almacén. El destinatario compartido puede crear informes de Power BI desde el centro de datos o también hacer lo mismo mediante Power BI Desktop.

Administración de permisos

En la página Administrar permisos, se muestra la lista de usuarios a los que se les ha concedido acceso mediante la asignación a roles de área de trabajo o permisos de elemento.

Si es miembro de los roles de área de trabajo Administrador o Miembro , vaya al área de trabajo y seleccione Más opciones. A continuación, seleccione Administrar permisos.

Para los usuarios que se proporcionaron roles de área de trabajo, verá el usuario, el rol de área de trabajo y los permisos correspondientes. Los miembros de los roles de área de trabajo Administrador, Miembro y Colaborador tienen acceso de lectura y escritura a los elementos de esta área de trabajo. Los visores tienen permisos ReadData y pueden consultar todas las tablas y vistas dentro del almacén de esa área de trabajo. Los permisos de elemento Read, ReadData y ReadAll se pueden proporcionar a los usuarios.

Puedes optar por agregar o quitar los permisos mediante la experiencia Administrar permisos:

• Quitar acceso quita todos los permisos de elemento.
• Quitar ReadData quita los permisos ReadData.
• Quitar ReadAll quita los permisos ReadAll.
• Quitar compilación quita permisos de compilación en el modelo semántico predeterminado correspondiente.

Características de protección de datos

El almacenamiento de datos de Microsoft Fabric admite varias tecnologías que los administradores pueden usar para proteger los datos confidenciales frente a la visualización no autorizada. Al proteger u ofuscar datos de usuarios o roles no autorizados, estas características de seguridad pueden proporcionar protección de datos en un punto de conexión de Almacén y de análisis SQL sin cambios en la aplicación.

• La seguridad de nivel de columna impide la visualización no autorizada de columnas en tablas.
• La seguridad de nivel de fila impide la visualización no autorizada de filas en tablas mediante predicados de filtro de cláusulas WHERE conocidos.
• El enmascaramiento de datos dinámico impide la visualización no autorizada de datos confidenciales mediante máscaras para evitar el acceso completo, como direcciones de correo electrónico o números.

Limitaciones

• Si proporciona permisos de elemento o quita usuarios que anteriormente tenían permisos, la propagación de permisos puede tardar hasta dos horas. Los nuevos permisos están visibles en Administrar permisos inmediatamente. Vuelva a iniciar sesión para asegurarse de que los permisos se reflejan en el punto de conexión de análisis SQL.
• Los destinatarios compartidos pueden acceder al almacén mediante la identidad del propietario (modo delegado). Asegúrese de que el propietario del almacén no se quite del área de trabajo.
• Los destinatarios compartidos solo tienen acceso al almacén que reciben y no a otros elementos dentro del mismo área de trabajo que el almacén. Si desea proporcionar permisos para que otros usuarios del equipo colaboren en el almacenamiento (acceso de lectura y escritura), agréguelos como roles de área de trabajo como Miembro o Colaborador.
• Actualmente, al compartir un almacén y elegir Leer todos los datos mediante SQL, el destinatario compartido puede acceder al editor de almacenamiento en un modo de solo lectura. Estos destinatarios compartidos pueden crear consultas, pero actualmente no pueden guardar sus consultas.
• Actualmente, el uso compartido de un almacén solo está disponible a través de la experiencia del usuario.
• Si desea proporcionar acceso pormenorizados a objetos específicos dentro del almacén, comparta el almacén sin permisos adicionales y proporcione acceso granular a objetos específicos mediante la instrucción GRANT de T-SQL. Para obtener más información, consulte Sintaxis de T-SQL para GRANT, REVOKE y DENY.
• Si ve que los permisos ReadAll y ReadData están deshabilitados en el cuadro de diálogo para compartir, actualice la página.
• Los destinatarios compartidos no tienen permiso para volver a compartir un almacén.
• Si un informe basado en el almacén se comparte con otro destinatario, el destinatario compartido necesita más permisos para acceder al informe. Esto depende del modo de acceso al modelo semántico mediante Power BI:
  • Si se accede a través del Modo de consulta directa es necesario proporcionar permisos ReadData (o permisos SQL granulares para tablas o vistas específicas) al almacén.
  • Si se accede a través del modo Direct Lake, es necesario proporcionar permisos ReadData (o permisos granulares para tablas o vistas específicas) en el almacén. El modo Direct Lake es el tipo de conexión predeterminado para modelos semánticos que usan un punto de conexión de análisis SQL o almacén como origen de datos. Para obtener más información, consulte Modo de lago directo.
  • Si se accede a través del modo de importación, no se necesitan permisos adicionales.
  • Actualmente, no se admite el uso compartido de un almacén directamente con un SPN.

Contenido relacionado

• Consultar el punto de conexión de análisis SQL o Warehouse en Microsoft Fabric
• Cómo usar cuadernos de Microsoft Fabric
• Acceso directo de Fabric OneLake en un cuaderno de Apache Spark
• Navegación por el explorador de Lakehouse de Fabric
• GRANT (Transact-SQL)