Seguridad de acceso directo de OneLake
Los accesos directos de OneLake sirven como punteros a los datos que residen en varias cuentas de almacenamiento, ya sea dentro de OneLake en sí o en sistemas externos como Azure Data Lake Storage (ADLS). En este artículo se examinan los permisos necesarios para crear accesos directos y acceder a los datos mediante ellos.
Para garantizar la claridad en torno a los componentes de un acceso directo, este documento usa los siguientes términos:
- Ruta de acceso de destino: ubicación a la que apunta un acceso directo.
- Ruta de acceso directo: ubicación en la que aparece el acceso directo.
Crear y eliminar accesos directos
Para crear un acceso directo, un usuario debe tener permiso de escritura en el elemento de Fabric donde se crea el acceso directo. Además, el usuario necesita acceso de lectura a los datos a los que apunta el acceso directo. Los accesos directos a orígenes externos pueden requerir determinados permisos en el sistema externo. El artículo ¿Qué son los accesos directos? tiene la lista completa de los tipos de acceso directo y los permisos necesarios.
| Funcionalidad | Permiso en la ruta de acceso directo | Permiso en la ruta de acceso de destino |
|---|---|---|
| Crear un acceso directo | Escribir | ReadAll1 |
| Eliminar un acceso directo | Escribir | N/D |
1 Si los roles de acceso a datos de OneLake están habilitados, el usuario debe estar en un rol que conceda acceso a la ruta de acceso de destino.
Acceso a combinaciones de teclas
Una combinación de los permisos de la ruta del acceso directo y la ruta de acceso de destino rige los permisos para los accesos directos. Cuando un usuario accede a un acceso directo, se aplica el permiso más restrictivo de las dos ubicaciones. Por lo tanto, un usuario que tenga permisos de lectura y escritura en el almacén de lago, pero solo permisos de lectura en la ruta de acceso de destino no puede escribir en la ruta del acceso directo de destino. Del mismo modo, un usuario que solo tenga permisos de lectura en el almacén de lago, pero de lectura y escritura en la ruta de destino, tampoco podrá escribir en la ruta del acceso directo de destino.
La siguiente tabla muestra los permisos relacionados con los accesos directos para cada acción del acceso directo.
| Funcionalidad | Permiso en la ruta de acceso directo | Permiso en la ruta de acceso de destino |
|---|---|---|
| Leer el contenido de archivo o carpeta del acceso directo | ReadAll1 | ReadAll1 |
| Escribir en la ubicación de destino de acceso directo | Escritura | Escritura |
| Leer datos de los accesos directos en la sección de tabla del almacén de lago a través del punto de conexión de TDS | Leer | ReadAll2 |
1 Si los roles de acceso a datos de OneLake están habilitados, el usuario debe estar en un rol que conceda acceso a los datos.
Importante
2 Al acceder a los accesos directos a través de modelos semánticos de Power BI o T-SQL, la identidad del usuario que realiza la llamada no se pasa al destino de acceso directo. En su lugar, se pasa la identidad del propietario del elemento que realiza la llamada y se delega el acceso al usuario que realiza la llamada.
Roles de acceso a datos de OneLake
Los roles de acceso a datos de OneLake son una nueva característica que permite aplicar el control de acceso basado en rol (RBAC) a los datos almacenados en OneLake. Puede definir roles de seguridad que concedan acceso de lectura a carpetas específicas dentro de un elemento de Fabric y asignarlos a usuarios o grupos. Los permisos de acceso determinan qué carpetas ven los usuarios al acceder a la vista de lago de los datos, ya sea mediante la experiencia del usuario de almacén de lago, cuadernos o API de OneLake. En el caso de los elementos con la característica de vista previa habilitada, los roles de acceso a datos de OneLake también determinan el acceso de un usuario a un acceso directo.
Los usuarios con los roles de Administrador, Miembro y Colaborador tienen acceso total para leer datos desde un acceso directo, independientemente de los roles de acceso a datos de OneLake definidos. Pero todavía necesitan acceso tanto en la ruta de acceso directo como en la de destino, tal y como se ha mencionado en Roles de área de trabajo.
Los usuarios con el rol Visor o con los que se haya compartido de forma directa un almacén de lago tienen acceso restringido en función de si el usuario tiene acceso mediante un rol de acceso a datos de OneLake. Para más información sobre el modelo de control de acceso con accesos directos, vea Modelo de control de acceso a datos en OneLake.