Control del acceso a datamarts

En este artículo, se describe el control de acceso a los datamarts, incluida la Seguridad de nivel de fila, las reglas de Power BI Desktop y cómo los datamarts pueden llegar a estar inaccesibles o no disponibles.

Roles de área de trabajo

La asignación de usuarios a los distintos roles de área de trabajo proporciona las siguientes funcionalidades con respecto a Datamarts:

Rol de área de trabajo Descripción
Administrador Concede al usuario permisos para ingerir datos a través de un flujo de datos, escribir consultas SQL y visuales, y actualizar el modelo o modelo semántico (crear relaciones, crear medidas, etc.)
Member Concede al usuario permisos para ingerir datos a través de un flujo de datos, escribir consultas SQL y visuales, y actualizar el modelo o modelo semántico (crear relaciones, crear medidas, etc.)
Colaborador Concede al usuario permisos para ingerir datos a través de un flujo de datos, escribir consultas SQL y visuales, y actualizar el modelo o modelo semántico (crear relaciones, crear medidas, etc.)
Visor Concede a los usuarios permisos para escribir consultas SQL y visuales y acceder a la "vista modelo" en modo de solo lectura. Para obtener más información, vea Restricciones de espectador.

Restricciones de espectador

El rol Espectador es un rol más limitado en comparación con los otros roles de área de trabajo. Además de menos permisos de SQL concedidos a los visores, hay acciones más restringidas.

Característica Limitación
Configuración Los visores tienen acceso de solo lectura, por lo que no pueden cambiar el nombre de datamart, agregar descripción ni cambiar la etiqueta de confidencialidad.
Vista Modelo Los espectadores tienen el modo de solo lectura en la vista Modelo.
Ejecución de consultas Los visores no tienen funcionalidades completas de DML/DDL a menos que se concedan específicamente. Los espectadores pueden leer datos mediante la instrucción SELECT en el editor de consultas SQL y usar todas las herramientas de la barra de herramientas en el editor de consultas visuales. Los espectadores también pueden leer datos de Power BI Desktop y otras herramientas de cliente SQL.
Analizar en Excel Los visores no tienen permiso para analizar en Excel.
Actualizar de forma manual el modelo semántico Los visores no pueden actualizar manualmente el modelo semántico predeterminado al que está conectado datamart.
Nueva medida Los visores no tienen permiso para crear medidas.
Vista de linaje Los visores no tienen acceso para leer el gráfico de vistas de linaje.
Compartir/Administrar permisos Los visores no tienen permiso para compartir datamarts con otros usuarios.
Crear un informe Los visores no tienen acceso para crear contenido en el área de trabajo y, por tanto, no pueden crear informes sobre datamart.

Seguridad de nivel de fila

La Seguridad de nivel de fila (RLS) se puede usar para restringir el acceso a los datos de usuarios específicos a un datamart. Los filtros restringen el acceso a los datos en el nivel de fila y se pueden definir en roles. En el servicio Power BI, los miembros de un área de trabajo tienen acceso a los datamarts del área de trabajo y RLS no restringe ese acceso a los datos.

Puede configurar RLS para datamarts en el editor de datamarts. El RLS configurado en los datamarts se aplica automáticamente a los elementos posteriores, incluidos los modelos semánticos y los informes generados automáticamente.

Nota:

Los datamarts usan el editor de seguridad de nivel de fila mejorado, lo que significa que no se pueden definir todos los filtros de seguridad de nivel de fila admitidos en Power BI. Las limitaciones incluyen expresiones que hoy solo pueden definirse mediante DAX, incluidas reglas dinámicas como USERNAME() o USERPRINCIPALNAME(). Para definir roles con estos filtros, empiece a usar el editor DAX.

Definición de roles y reglas de Seguridad de nivel de fila (RLS) para datamarts

Para definir roles de RLS, siga estos pasos:

  1. Abra el datamart y seleccione Administrar roles en la cinta de opciones. Captura de pantalla de la opción Administrar roles en la cinta de opciones.

  2. Cree nuevos roles de RLS en la ventana Configuración de seguridad de la fila. Puede definir una combinación de filtros en las tablas y seleccionar Guardar para guardar el rol. Captura de pantalla de la ventana Configuración de seguridad de la fila.

  3. Una vez guardado el rol, seleccione Asignar para agregar usuarios al rol. Una vez asignado, seleccione Guardar para guardar las asignaciones del rol y cerrar el cuadro de diálogo modal de configuración de RLS. Captura de pantalla de la selección de opciones de configuración de la seguridad de fila.

Para validar los roles creados, siga estos pasos:

  1. Seleccione el botón Ver como en la cinta de opciones. Captura de pantalla del botón Ver como en la cinta de opciones.

  2. Seleccione el rol que se va a validar. Para ello, active la casilla del rol y elija Aceptar. Captura de pantalla de la ventana Ver como rol.

  3. La vista de datos muestra el acceso que tiene el rol seleccionado. Captura de pantalla de los resultados de Ver como.

Para revertir al acceso, vuelva a seleccionar el botón Ver como en la cinta de opciones y elija Ninguno.

Captura de pantalla de la ventana Ver como rol con el valor Ninguno seleccionado.

Por qué los datamarts pueden dejar de estar disponibles

Un datamart se puede marcar como datamart no disponible cuando se da alguna de las siguientes situaciones.

Situación 1: cuando se cambia un área de trabajo Premium a no Premium, todos los datamarts de esa área de trabajo dejan de estar disponibles. El editor de Datamart deja de estar disponible y se bloquea el uso posterior del datamart y de los modelos semánticos generados de forma automática. Los usuarios o administradores deben actualizar el área de trabajo a su capacidad Premium original para restaurar los datamarts.

Situación 2: Cuando el flujo de datos actualiza un datamart y un modelo semántico asociado, pero debido a un bloqueo del sistema la actualización del datamart o del modelo semántico está pendiente, el datamart deja de estar disponible. El editor de datamarts no está accesible cuando un datamart deja de estar disponible. La acción volver a intentarlo, que se muestra en la siguiente imagen, permite a los usuarios activar la sincronización entre el flujo de datos, el datamart y el modelo semántico. Puede tardar unos minutos en completar la acción solicitada, pero se puede continuar con el consumo de bajada.

Captura de pantalla de la configuración de solicitud de acceso.

Situación 3: cuando se migra un área de trabajo Premium a otra capacidad Premium en otra región, datamart deja de estar disponible con el error: "No se puede abrir datamart porque la región del área de trabajo ha cambiado. Para abrir datamart, vuelva a conectar el área de trabajo a la región conectada cuando se creó datamart". Este comportamiento es por diseño, ya que la región donde se crearon los datamarts debe ser la región donde reside el área de trabajo y no se admiten las migraciones.

En este artículo, se proporciona información sobre cómo controlar el acceso a los datamarts.

En los artículos siguientes, encontrará más información sobre los datamarts y Power BI:

Para más información sobre los flujos de datos y la transformación de datos, consulte los artículos siguientes: