Compartilhe seus dados e gerencie permissões

Aplica-se a:Warehouse e Banco de Dados Espelhado no Microsoft Fabric

O compartilhamento é uma maneira conveniente de fornecer aos usuários acesso de leitura aos seus dados para consumo downstream. O compartilhamento permite que os usuários downstream em sua organização consumam um Warehouse usando T-SQL, Spark ou Power BI. Você pode personalizar o nível de permissões que o destinatário compartilhado recebe para fornecer o nível apropriado de acesso.

Observação

Você deve ser um administrador ou membro em seu espaço de trabalho para compartilhar um item no Microsoft Fabric.

Introdução

Depois de identificar o item do Warehouse que você gostaria de compartilhar com outro usuário no espaço de trabalho do Fabric, selecione a ação rápida na linha para Compartilhar.

O gif animado a seguir analisa as etapas para selecionar um warehouse a ser compartilhado, selecionar as permissões a serem atribuídas e, por fim, Conceder as permissões a outro usuário.

Um gif animado mostrando a interação com o portal do Fabric, onde um usuário compartilha um warehouse no Microsoft Fabric com outro usuário.

Compartilhar um warehouse

  1. Você pode compartilhar o seu Warehouse a partir do Hub de dados do OneLake ou do item do Warehouse selecionando Compartilhar na ação rápida, conforme destacado na imagem a seguir.

    Captura de tela mostrando como compartilhar um warehouse na página Hub de dados do OneLake.

  2. Você receberá opções para selecionar com quem gostaria de compartilhar o Armazém, quais permissões conceder a eles e se eles serão notificados por e-mail.

  3. Preencha todos os campos obrigatórios e selecione Conceder acesso.

  4. Quando o destinatário compartilhado recebe o email, ele pode selecionar Abrir e navegar até a página Hub de Dados do Warehouse.

    Captura de tela mostrando a notificação por e-mail do usuário compartilhado de um warehouse compartilhado.

  5. Dependendo do nível de acesso que o destinatário compartilhado recebeu, o destinatário compartilhado agora pode se conectar ao ponto de extremidade de análise do SQL, consultar o Warehouse, criar relatórios ou ler dados por meio do Spark.

Direitos de acesso da malha

Veja mais detalhes sobre cada uma das permissões fornecidas:

  • Se nenhuma permissão adicional for selecionada: por padrão, o destinatário compartilhado receberá a permissão "Leitura", que só permite que o destinatário se conecte ao ponto de extremidade de análise do SQL, o equivalente a permissões CONNECT no SQL Server. O destinatário compartilhado não poderá consultar nenhuma tabela, exibir ou executar qualquer função ou procedimento armazenado, a menos que tenha acesso a objetos dentro do Warehouse usando a instrução T-SQL GRANT .

Dica

ReadData (usado pelo warehouse para permissões T-SQL), ReadAll (usado pelo OneLake e pelo ponto de extremidade de análise SQL) e Build (usado pelo Power BI) são permissões separadas que não se sobrepõem.

  • "Ler todos os dados usando SQL" está selecionado (permissões "ReadData") - O destinatário compartilhado pode ler todos os objetos dentro do Warehouse. ReadData é o equivalente a db_datareader função em SQL Server. O destinatário compartilhado pode ler dados de todas as tabelas e exibições no Warehouse. Se você quiser restringir ainda mais e fornecer acesso granular a alguns objetos dentro do Warehouse, poderá fazer isso usando instruções T-SQLGRANTDENY/REVOKE/.

    • No ponto de extremidade de análise do SQL do Lakehouse, "Ler todos os dados do ponto de extremidade do SQL" é equivalente a "Ler todos os dados usando SQL".
  • "Ler todos os dados usando o Apache Spark" está selecionado (permissões "ReadAll"): o destinatário compartilhado tem acesso de leitura aos arquivos parquet subjacentes no OneLake, que podem ser consumidos usando o Spark. ReadAll só deverá ser fornecido se o destinatário compartilhado quiser acesso completo aos arquivos do warehouse usando o mecanismo spark.

  • A caixa de seleção "Criar relatórios no conjunto de dados padrão" está selecionada (permissões "Compilar") – o destinatário compartilhado pode criar relatórios sobre o modelo semântico padrão que está conectado ao seu warehouse. O Build deverá ser fornecido se o destinatário compartilhado quiser permissões de Build no modelo semântico padrão para criar relatórios do Power BI nesses dados. A caixa de seleção Build está marcada por padrão, mas pode ser desmarcada.

Permissões ReadData

Com as permissões ReadData , o destinatário compartilhado pode abrir o editor do Warehouse no modo somente leitura e consultar as tabelas e exibições no Warehouse. O destinatário compartilhado também pode optar por copiar o ponto de extremidade de análise do SQL fornecido e se conectar a uma ferramenta de cliente para executar essas consultas.

Permissões ReadAll

Um destinatário compartilhado com permissões ReadAll pode encontrar o caminho do Azure Blob File System (ABFS) para o arquivo específico no OneLake no painel Propriedades no editor do Warehouse. Em seguida, o destinatário compartilhado pode usar esse caminho em um Bloco de Anotações do Spark para ler esses dados.

Por exemplo, na captura de tela a seguir, um usuário com permissões ReadAll pode consultar os dados no FactSale com uma consulta do Spark em um novo notebook.

Captura de tela do portal do Fabric em que um usuário abre um bloco de anotações do Spark para consultar o atalho do Warehouse.

Permissões de build

Com as permissões de Build, o destinatário compartilhado pode criar relatórios sobre o modelo semântico padrão que está conectado ao Warehouse. O destinatário compartilhado pode criar relatórios do Power BI no Hub de Dados ou também fazer o mesmo usando Power BI Desktop.

Gerenciar permissões

A página Gerenciar permissões mostra a lista de usuários que receberam acesso por meio da atribuição de funções no Workspace ou de permissões de itens (conforme descrito anteriormente neste artigo).

Se você for membro das funções de workspace Admin ou Membro , acesse seu workspace e selecione Mais opções. Em seguida, selecione Gerenciar permissões.

Captura de tela mostrando um usuário selecionando Gerenciar permissões no menu de contexto do warehouse.

Para usuários que receberam funções de workspace, você verá o usuário, a função de workspace e as permissões correspondentes. Os membros das funções de espaço de trabalho Administrador, Membro e Colaborador têm acesso de leitura/gravação aos itens neste espaço de trabalho. Os visualizadores têm permissões ReadData e podem consultar todas as tabelas e exibições dentro do Warehouse nesse workspace. As permissões de item Read, ReadData e ReadAll podem ser fornecidas aos usuários.

Captura de tela mostrando a página Gerenciar permissões do Warehouse no portal do Fabric.

Você pode optar por adicionar ou remover permissões usando Gerenciar permissões:

  • Remover acesso remove todas as permissões de item.
  • Remover ReadData remove as permissões ReadData.
  • Remove ReadAll remove permissões ReadAll.
  • Remover build remove permissões de Build no modelo semântico padrão correspondente.

Captura de tela mostrando um usuário removendo a permissão ReadAll de um destinatário compartilhado.

Recursos de proteção de dados

O armazenamento de dados do Microsoft Fabric dá suporte a várias tecnologias que os administradores podem usar para proteger dados confidenciais contra exibição não autorizada. Ao proteger ou ofuscar dados de usuários ou funções não autorizadas, esses recursos de segurança podem fornecer proteção de dados em um ponto de extremidade do SQL e o Warehouse sem alterações no aplicativo.

Limitações

  • Se você fornecer permissões de item ou remover usuários que tinham permissões anteriormente, a propagação de permissão poderá levar até duas horas. As novas permissões ficam visíveis em Gerenciar permissões imediatamente. Entre novamente para garantir que as permissões sejam refletidas no ponto de extremidade de análise do SQL.
  • Os destinatários compartilhados podem acessar o Warehouse usando a identidade do proprietário (modo delegado). Verifique se o proprietário do Warehouse não foi removido do workspace.
  • Os destinatários compartilhados só têm acesso ao Warehouse que recebem e não a outros itens no mesmo workspace que o Warehouse. Se você quiser fornecer permissões para que outros usuários em sua equipe colaborem no Warehouse (acesso de leitura e gravação), adicione-os como funções do Workspace, como Membro ou Colaborador.
  • Atualmente, quando você compartilha um Warehouse e escolhe Ler todos os dados usando SQL, o destinatário compartilhado pode acessar o editor do Warehouse em um modo somente leitura. Esses destinatários compartilhados podem criar consultas, mas não podem salvar suas consultas no momento.
  • Atualmente, o compartilhamento de um Warehouse só está disponível por meio da experiência do usuário.
  • Se você quiser fornecer acesso granular a objetos específicos no Warehouse, compartilhe o Warehouse sem permissões adicionais e forneça acesso granular a objetos específicos usando a instrução T-SQL GRANT. Para obter mais informações, consulte Sintaxe T-SQL para GRANT, REVOKE e DENY.
  • Se você vir que as permissões ReadAll e ReadData estão desabilitadas na caixa de diálogo de compartilhamento, atualize a página.
  • Os destinatários compartilhados não têm permissão para compartilhar novamente um Warehouse.
  • Se um relatório criado sobre o Warehouse for compartilhado com outro destinatário, o destinatário compartilhado precisará de mais permissões para acessar o relatório. Isso depende do modo de acesso ao modelo semântico pelo Power BI:
    • Se acessadas por meio do Modo de consulta direta , as permissões ReadData (ou aspermissões granulares do SQL para tabelas/modos de exibição específicos) precisarão ser fornecidas ao Warehouse.
    • Se acessadas por meio do modo Direct Lake, as permissões ReadData (ou permissões granulares para tabelas/exibições específicas) precisam ser fornecidas ao Warehouse. O modo Direct Lake é o tipo de conexão padrão para modelos semânticos que usam um ponto de extremidade de análise do SQL ou o Warehouse como fonte de dados. Para obter mais informações, consulte Modo Direct Lake.
    • Se acessado por meio do Modo de importação , nenhuma permissão adicional será necessária.
    • Atualmente, não há suporte para o compartilhamento de um depósito diretamente com um SPN.