Introdução às funções de acesso a dados do OneLake (visualização)
Descrição geral
As funções de acesso a dados do OneLake para pastas são um novo recurso que permite aplicar RBAC (controle de acesso baseado em função) aos dados armazenados no OneLake. Você pode definir funções de segurança que concedem acesso de leitura a pastas específicas dentro de um item de malha e atribuí-las a usuários ou grupos. As permissões de acesso determinam quais pastas os usuários veem ao acessar a visualização de lago dos dados, seja por meio da UX lakehouse, notebooks ou APIs OneLake.
Os usuários de malha nas funções de Administrador, Membro ou Colaborador podem começar criando funções de acesso a dados do OneLake para conceder acesso apenas a pastas específicas em uma casa do lago. Para conceder acesso aos dados em uma casa de lago, adicione usuários a uma função de acesso a dados. Os usuários que não fazem parte de uma função de acesso a dados não veem dados nessa casa do lago.
Nota
A segurança da função de acesso a dados APENAS se aplica aos usuários que acessam o OneLake diretamente. Itens de malha, como pontos de extremidade de análise SQL, modelos semânticos e armazéns, têm seus próprios modelos de segurança e acessam o OneLake por meio de uma identidade delegada. Isso significa que os usuários podem ver itens diferentes em cada carga de trabalho se tiverem acesso a vários itens.
Como aderir
Todas as lakehouses no Fabric têm o recurso de visualização de funções de acesso a dados desabilitado por padrão. O recurso de visualização é configurado por casa do lago. O controle opt-in permite que uma única lakehouse experimente a visualização sem habilitá-la em nenhum outro lakehouse ou itens de malha.
Para habilitar a visualização, você deve ser um Administrador, Membro ou Colaborador no espaço de trabalho. Navegue até uma casa no lago e selecione o botão Gerenciar acesso a dados do OneLake (visualização) na faixa de opções para abrir a caixa de diálogo de confirmação. A visualização das funções de acesso a dados não é compatível com a visualização de compartilhamento de dados externo. Se você estiver de acordo com a alteração, selecione Continuar. A experiência do usuário de gerenciar funções é aberta e o recurso agora está habilitado.
A funcionalidade de pré-visualização não pode ser desativada depois de ativada.
Para garantir uma experiência de aceitação suave, todos os usuários com permissão de leitura para dados no lakehouse continuam a ter acesso de leitura. A migração do acesso é feita por meio da criação de uma função padrão de acesso a dados chamada "DefaultReader". Usando associações de função virtualizadas, todos os usuários que tinham as permissões necessárias para exibir dados na lakehouse (a permissão ReadAll) são incluídos como membros dessa função padrão. Para começar a restringir o acesso a esses usuários, verifique se a função DefaultReader foi excluída ou se a permissão ReadAll foi removida dos usuários que acessam.
Importante
Certifique-se de que os usuários incluídos em uma função de acesso a dados também não façam parte da função DefaultReader. Caso contrário, manterão pleno acesso aos dados.
Que tipos de dados podem ser protegidos?
As funções de acesso a dados do OneLake podem ser usadas para gerenciar o acesso de leitura do OneLake a pastas em uma casa de lago. O acesso de leitura pode ser dado a qualquer pasta em uma casa de lago, e nenhum acesso a uma pasta é o estado padrão. A segurança definida pelas funções de acesso a dados aplica-se exclusivamente ao acesso contra APIs específicas do OneLake ou OneLake. Para obter mais informações, consulte o modelo de controle de acesso a dados.
Pré-requisitos
Para configurar a segurança de uma lakehouse, você deve ser um administrador, membro ou colaborador do espaço de trabalho. A criação de funções e a atribuição de associação entram em vigor assim que a função é salva, portanto, certifique-se de conceder acesso antes de adicionar alguém a uma função.
As funções de acesso a dados do OneLake são suportadas apenas para itens lakehouse.
Criar uma função
- Abra a casa do lago onde você deseja definir a segurança.
- No lado direito da faixa de opções lakehouse, selecione Gerenciar acesso a dados do OneLake (visualização).
- No canto superior esquerdo do painel Gerenciar acesso a dados do OneLake, selecione Nova Função e digite o nome da função desejado. O nome da função tem certas restrições:
- O nome da função só pode conter caracteres alfanuméricos.
- O nome da função deve começar com uma letra.
- Os nomes não diferenciam maiúsculas de minúsculas e devem ser exclusivos.
- O comprimento máximo do nome é de 128 caracteres.
- Selecione a opção Todas as pastas se quiser que essa função se aplique a todas as pastas desta casa do lago.
- Esta seleção inclui todas as pastas que serão adicionadas no futuro.
- Selecione as pastas selecionadas se quiser que essa função se aplique apenas às pastas selecionadas.
- Marque as caixas ao lado das pastas às quais você deseja que a função se aplique.
- As funções concedem acesso a pastas. Para permitir que um usuário acesse uma pasta, marque a caixa ao lado dela. Se um usuário não vir uma pasta, não marque a caixa.
- No canto inferior esquerdo, selecione Salvar para criar sua função.
- No canto superior esquerdo, selecione Atribuir função para abrir o painel de associação de função.
- Adicione pessoas, grupos ou endereços de email ao controle Adicionar pessoas ou grupos . Para obter mais informações, consulte Atribuir um membro ou grupo.
- Selecione Adicionar para mover sua seleção para a lista de usuários atribuídos. Selecionar Adicionar ainda não salva sua seleção.
- Selecione Salvar e aguarde a notificação de que as funções foram publicadas com êxito.
- Selecione o X no canto superior direito para sair do painel.
Editar uma função
- Abra a casa do lago onde você deseja definir a segurança.
- No lado direito da faixa de opções lakehouse, selecione Gerenciar acesso a dados do OneLake (visualização).
- No painel Gerenciar acesso a dados do OneLake, passe o mouse sobre a função que deseja editar e selecione-a.
- Você pode alterar quais pastas estão recebendo acesso marcando ou desmarcando as caixas de seleção ao lado de cada pasta.
- Para alterar as pessoas, selecione Atribuir função. Para obter mais informações, consulte Atribuir um membro ou grupo.
- Para adicionar mais pessoas, digite nomes na caixa Adicionar pessoas ou grupos e selecione Adicionar.
- Para remover pessoas, selecione seu nome em Usuários atribuídos e selecione Remover.
- Selecione Salvar e aguarde a notificação de que as funções foram publicadas com êxito.
- Selecione o X no canto superior direito para sair do painel.
Excluir uma função
- Abra a casa do lago onde você deseja definir a segurança.
- No lado direito da faixa de opções lakehouse, selecione Gerenciar acesso a dados do OneLake (visualização).
- No painel Gerenciar acesso a dados do OneLake, marque a caixa ao lado das funções que você deseja excluir.
- Selecione Excluir e aguarde a notificação de que as funções foram excluídas com êxito.
- Selecione o X no canto superior direito para sair do painel.
Atribuir um membro ou grupo
As funções de acesso a dados do OneLake suportam dois métodos diferentes de adicionar usuários a uma função. O método principal é adicionar usuários ou grupos diretamente a uma função usando a caixa Adicionar pessoas ou grupos na página Atribuir função. O segundo é usar associações virtuais com o controle Adicionar usuários com base no controle de permissões do Lakehouse.
Adicionar usuários diretamente a uma função com a caixa Adicionar pessoas ou grupo adiciona os usuários como membros explícitos da função. Esses usuários aparecem com seu nome e imagem mostrados na lista Pessoas e grupos atribuídos.
Os membros virtuais permitem que a associação da função seja ajustada dinamicamente com base nas permissões de item de malha dos usuários. Ao selecionar a caixa Adicionar usuários com base nas permissões do Lakehouse e selecionar uma permissão, você está adicionando qualquer usuário no espaço de trabalho Malha que tenha todas as permissões selecionadas como um membro implícito da função. Por exemplo, se você escolher ReadAll, Write , qualquer usuário do espaço de trabalho Fabric que tenha permissões ReadAll And Write para o item será incluído como membro da função. Você pode ver quais usuários estão sendo adicionados como membros virtuais procurando o valor "Lakehouse permissions" na coluna Atribuído por na lista Usuários atribuídos . Esses membros não podem ser removidos manualmente e precisam ter sua permissão de malha correspondente revogada para serem desatribuídos.
Independentemente do tipo de associação, as funções de acesso a dados suportam a adição de usuários individuais, grupos do Microsoft Entra e entidades de segurança.
Atribuição de membros
Para aceder à página de atribuição de membros, existem duas formas:
Método 1
- Selecione o nome da função à qual deseja atribuir membros.
- Na parte superior da página de detalhes da função, selecione Atribuir função.
Método 2
- Na lista de funções, marque a caixa de seleção ao lado da função à qual você deseja atribuir membros.
- Selecione Atribuir.
Atribuir usuários diretamente
Na página Atribuir função, você pode adicionar membros ou grupos digitando seu nome ou endereço de email na caixa Adicionar pessoas ou grupos. Selecione o resultado que você deseja incluir esse usuário. Você pode repetir esta etapa para quantos usuários quiser. Se você selecionou os usuários errados, você pode selecionar o X ao lado de sua entrada para removê-los da caixa ou selecionar Limpar para remover todas as entradas. Quando terminar, selecione Adicionar para mover os usuários selecionados para a lista de acesso. Adicioná-los à lista ainda não salva. É uma visualização da lista de membros de função depois que esses usuários são adicionados, e os usuários recém-adicionados terão um indicador ao lado de seu nome.
Para publicar as alterações de acesso, selecione Salvar na parte inferior do painel.
Atribuir membros virtuais
Para adicionar membros virtuais, use a caixa Adicionar usuários com base nas permissões do Lakehouse. Selecione a caixa para abrir o seletor suspenso para escolher as permissões de malha para virtualizar. Os usuários são virtualizados se tiverem todas as permissões verificadas.
As permissões que podem ser usadas para virtualização são:
- Lida
- Escrita
- Partilhar novamente
- Executar
- ReadAll
Depois de selecionar as permissões, selecione Adicionar para atualizar a lista de usuários atribuídos com as alterações. Os usuários têm texto ao lado de seu nome indicando que eles foram atribuídos pelas permissões lakehouse. Esses usuários não podem ser removidos manualmente da atribuição de função. Em vez disso, remova as permissões correspondentes do controle Adicionar usuários com base nas permissões do Lakehouse ou remova a permissão Malha.
Problemas conhecidos
O recurso de visualização de compartilhamento de dados externo não é compatível com a visualização de funções de acesso a dados. Quando você habilita a visualização de funções de acesso a dados em uma lakehouse, todos os compartilhamentos de dados externos existentes podem parar de funcionar.