Nota
L'accés a aquesta pàgina requereix autorització. Podeu provar d'iniciar la sessió o de canviar els directoris.
L'accés a aquesta pàgina requereix autorització. Podeu provar de canviar els directoris.
OneLake es un lago de datos jerárquico, como Azure Data Lake Storage (ADLS) Gen2 o el sistema de archivos de Windows. La seguridad en OneLake se aplica en varios niveles, cada una de ellas correspondiente a distintos aspectos del acceso y el control. Comprender la distinción entre los permisos del plano de control y del plano de datos es clave para proteger eficazmente los datos:
- Permisos del plano de control: controle las acciones que los usuarios pueden realizar en el entorno (por ejemplo, crear, administrar o compartir elementos). Los permisos del plano de control suelen proporcionar permisos de plano de datos de forma predeterminada.
- Permisos del plano de datos: controle los datos a los que los usuarios pueden acceder o ver, independientemente de su capacidad de administrar recursos.
Puede establecer la seguridad en cada uno de los niveles del lago de datos. Pero algunos niveles de la jerarquía reciben un tratamiento especial, ya que se correlacionan con conceptos de Fabric. La seguridad de OneLake controla todo el acceso a los datos de OneLake con permisos diferentes heredados de los del elemento primario o el área de trabajo.
Área de trabajo: un entorno de colaboración para crear y administrar elementos. Los roles del espacio de trabajo se pueden administrar en este nivel.
Elemento: un conjunto de funcionalidades agrupadas en un solo componente. Un elemento de datos es un subtipo de elemento que permite almacenar los datos dentro de él mediante OneLake. Los elementos heredan los permisos de los roles del área de trabajo, pero también pueden tener permisos adicionales.
Carpetas: carpetas dentro de un elemento que se usan para almacenar y administrar datos, como Tablas/ o Archivos/.
Los elementos siempre residen dentro de áreas de trabajo y las áreas de trabajo siempre residen directamente bajo el espacio de nombres de OneLake. Puede visualizar esta estructura de la siguiente manera:
Seguridad en OneLake
En esta sección se describe el modelo de seguridad basado en las características de OneLake disponibles con carácter general.
Permisos de área de trabajo
Los permisos del área de trabajo definen qué acciones pueden realizar los usuarios dentro de un área de trabajo y sus elementos. Estos permisos se administran en el nivel de área de trabajo y son principalmente permisos del plano de control; determinan las funcionalidades administrativas y de administración de elementos, no el acceso directo a los datos. Sin embargo, los permisos del área de trabajo normalmente se heredan al nivel de elementos y carpetas para permitir el acceso a datos de forma predeterminada. Los permisos del área de trabajo permiten definir el acceso a todos los elementos de un área de trabajo. Hay cuatro roles de área de trabajo diferentes, y cada uno concede distintos tipos de acceso. A continuación se muestran los comportamientos predeterminados de cada rol de área de trabajo.
| Rol | ¿Puede agregar administradores? | ¿Puede agregar miembros? | ¿Puede editar la seguridad de OneLake? | ¿Puede escribir datos y crear elementos? | ¿Puede leer datos en OneLake? |
|---|---|---|---|---|---|
| Administración | Sí | Sí | Sí | Sí | Sí |
| Miembro | No | Sí | Sí | Sí | Sí |
| Colaborador | No | No | No | Sí | Sí |
| Visor | No | No | No | No | No* |
Nota:
*Se puede conceder acceso a los usuarios a los datos a través de los roles de seguridad de OneLake.
Puede simplificar la administración de roles de área de trabajo de Fabric mediante su asignación a grupos de seguridad. Este método le permite controlar el acceso agregando o quitando miembros del grupo de seguridad.
Permisos de elemento
Con la característica de uso compartido, puede conceder a un usuario acceso directo a un elemento. El usuario solo puede ver ese elemento en el área de trabajo y no es miembro de ningún rol de área de trabajo. Los permisos de elemento conceden acceso para conectarse a ese elemento y a qué puntos de conexión de elemento puede acceder el usuario.
| Permiso | ¿Ve los metadatos del elemento? | ¿Ver datos en SQL? | Ver datos en OneLake. |
|---|---|---|---|
| Lectura | Sí | No | No |
| LeerDatos | No | Sí | No |
| Leer todo | No | No | Sí* |
*No es aplicable a los elementos con los roles de acceso a datos o seguridad de OneLake habilitados. Si la versión preliminar está habilitada, ReadAll solo concede acceso si el rol DefaultReader está en uso. Si el rol DefaultReader se edita o elimina, en su lugar el acceso se concede en función de los roles de acceso a datos de los que forme parte el usuario.
Otra manera de configurar permisos es a través de la página Administrar permisosde un elemento. Con esta página, puede agregar o quitar permisos de elemento individuales para usuarios o grupos. El tipo de elemento determina qué permisos están disponibles.
Permisos de cómputo
Los permisos de proceso son un tipo de permiso de plano de datos que se aplica a un motor de consulta específico de Microsoft Fabric. El acceso concedido solo se aplica a las consultas que se ejecutan en ese motor específico, como el punto de conexión de SQL o un modelo semántico de Power BI. Sin embargo, los usuarios pueden ver resultados diferentes cuando acceden a datos a través de un motor de proceso en comparación con cuando acceden a los datos directamente en OneLake, en función de los permisos de proceso aplicados. Para evitar este desajuste, asegúrese de que los permisos de elemento de un usuario se configuren para concederles acceso solo al punto de conexión de SQL Analytics (mediante ReadData) o OneLake (mediante ReadAll). El uso de la seguridad de OneLake (versión preliminar) garantizará una vista coherente de los datos en todos los motores de Fabric y se recomienda evitar esta complejidad.
En el ejemplo siguiente, a un usuario se le concede acceso de solo lectura a un almacén de lago mediante el uso compartido de elementos. Al usuario se le concede el permiso SELECT en una tabla mediante el punto de conexión de análisis SQL. Cuando ese usuario intenta leer datos a través de las API de OneLake, se le deniega el acceso porque no tiene permisos suficientes. El usuario puede leer correctamente las instrucciones SELECT de SQL.
Seguridad de OneLake (versión preliminar)
La seguridad de OneLake permite a los usuarios definir la seguridad basada en roles pormenorizados en los datos almacenados en OneLake y aplicar esa seguridad de forma coherente en todos los motores de proceso de Fabric.
Nota:
La seguridad de OneLake se encuentra actualmente en versión preliminar limitada. Para solicitar unirse a la versión preliminar y acceder a estas características, rellene el formulario en https://aka.ms/onelakesecuritypreview.
La seguridad de OneLake reemplaza la característica existente de roles de acceso a datos de OneLake (versión preliminar) que se publicó en abril de 2024. Todos los usuarios con roles de acceso a datos se actualizarán automáticamente a los roles de seguridad de OneLake cuando la funcionalidad pase a la versión preliminar pública. Consulte el mapa de ruta de Fabric para obtener más detalles.
Los usuarios de Fabric en los roles de Administrador o Miembro pueden crear roles de seguridad de OneLake para asignar a los usuarios acceso a los datos de un elemento. Cada rol tiene cuatro componentes:
- Datos: las tablas o carpetas a las que pueden acceder los usuarios.
- Permiso: los permisos que tienen los usuarios en los datos.
- Miembros: los usuarios que son miembros del rol.
- Restricciones: los componentes de los datos, si los hay, que se excluyen del acceso a roles, como filas o columnas específicas.
Los roles de seguridad de OneLake conceden acceso a datos a los usuarios en el rol de área de trabajo Visor. Los administradores, miembros y colaboradores no se ven afectados por los roles de seguridad de OneLake y pueden leer y escribir todos los datos en un elemento independientemente de su pertenencia a roles. Existe un rol DefaultReader en todos los lakehouse que otorga a cualquier usuario con el permiso ReadAll acceso a los datos del lakehouse. El rol DefaultReader se puede eliminar o editar para quitar ese acceso.
Obtenga más información sobre cómo crear roles de seguridad de OneLake para tablas y carpetas, columnasy filas.
Roles de acceso a datos de OneLake (versión preliminar)
Los roles de acceso a datos de OneLake son una característica que le permite aplicar el control de acceso basado en rol (RBAC) a los datos almacenados en OneLake. Puede definir roles de seguridad que concedan acceso de lectura a carpetas específicas dentro de un elemento de Fabric y asignarlos a usuarios o grupos. Los permisos de acceso determinan qué carpetas ven los usuarios al acceder a la vista de lago de los datos mediante la experiencia del usuario de almacén de lago de datos, cuadernos o API de OneLake.
Importante
A partir de la Q3 2025, los roles de acceso a datos de OneLake se reemplazarán por la seguridad de OneLake. Todos los usuarios se actualizarán automáticamente y no se requiere ninguna acción.
Los usuarios de Fabric en los roles de Administrador, Miembro o Colaborador pueden comenzar creando roles de acceso a datos de OneLake para conceder acceso solo a carpetas específicas dentro de un lakehouse. Para conceder acceso a los datos de un lago de datos, agregue usuarios a un rol de acceso a datos. Los usuarios que no forman parte de un rol de acceso a datos no pueden ver datos en ese lago de datos.
Nota:
Para acceder a los datos de acceso directo, los usuarios necesitan el permiso ReadAll en el almacén de lago de datos de destino además de acceder a través de un rol de acceso a datos de OneLake.
Si usa modelos semánticos de Power BI o T-SQL para acceder a atajos, tenga en cuenta que la identidad del usuario que llama no se pasa a la ruta de destino del atajo. En su lugar, se pasa la identidad del propietario del elemento de llamada, que delega el acceso al usuario que realiza la llamada.
Obtenga más información sobre cómo crear roles de acceso a datos en Introducción a los roles de acceso a datos.
Obtenga más información sobre el modelo de seguridad para los roles de acceso Modelo de control de acceso a datos.
Seguridad de atajos
En Microsoft Fabric, los accesos directos permiten la administración simplificada de los datos. La seguridad de carpetas de OneLake se aplica a los accesos directos de OneLake en función de los roles definidos en el almacén de lago de datos donde se almacenan los datos.
Para más información sobre las consideraciones de seguridad de los atajos, consulte el Modelo de control de acceso en OneLake.
Para obtener información sobre el acceso y los detalles de autenticación para accesos directos específicos, vea Accesos directos de OneLake > Tipos de accesos directos.
Autenticación
OneLake usa Microsoft Entra ID para la autenticación; puede usarlo para conceder permisos a las identidades de usuario y a las entidades de servicio. OneLake extrae automáticamente la identidad de usuario de las herramientas, que usan la autenticación de Microsoft Entra y la asignan a los permisos que haya establecido en el portal de Fabric.
Nota:
Para usar entidades de servicio en un inquilino de Fabric, un administrador de inquilinos debe habilitar nombres de entidad de seguridad de servicio (SPN) para todo el inquilino o grupos de seguridad específicos. Más información sobre cómo habilitar entidades de servicio en Configuración para desarrolladores del portal de administración de inquilinos.
Registros de auditoría
Para ver los registros de auditoría de OneLake, siga las instrucciones de Seguimiento de las actividades del usuario en Microsoft Fabric. Los nombres de operación de OneLake corresponden a API de ADLS como CreateFile o DeleteFile. Los registros de auditoría de OneLake no incluyen solicitudes de lectura ni solicitudes realizadas a OneLake desde cargas de trabajo de Fabric.
Cifrado y redes
Datos en reposo
Los datos almacenados en OneLake se cifran en reposo de manera predeterminada mediante claves administradas por Microsoft. Las claves administradas por Microsoft se giran correctamente. Los datos en OneLake se cifran y descifran de forma transparente y cumplen la norma FIPS 140-2.
Actualmente no se admite el cifrado en reposo mediante claves administradas por el cliente. Puede enviar una solicitud para esta característica en Ideas de Microsoft Fabric.
Datos en tránsito
Los datos en tránsito a través de la red pública de Internet entre servicios Microsoft siempre se cifran con al menos TLS 1.2. Fabric negocia TLS 1.3 siempre que sea posible. El tráfico entre servicios Microsoft siempre se enruta a través de la red global de Microsoft.
La comunicación entrante de OneLake también aplica TLS 1.2 y negocia con TLS 1.3, siempre que sea posible. La comunicación saliente de Fabric con la infraestructura propiedad del cliente prefiere protocolos seguros, pero podría recurrir a protocolos antiguos y no seguros (incluido TLS 1.0) cuando no se admitan protocolos más recientes.
Vínculos privados
Para configurar vínculos privados en Fabric, vea Configuración y uso de vínculos privados.
Permitir que las aplicaciones que se ejecutan fuera de Fabric accedan a los datos a través de OneLake
Puede permitir o restringir el acceso a datos de OneLake desde aplicaciones que están fuera del entorno de Fabric. Los administradores pueden encontrar esta configuración en la sección OneLake de la configuración del inquilino del portal de administración.
Al activar esta configuración, los usuarios pueden acceder a los datos de todos los orígenes. Por ejemplo, active esta configuración si tiene aplicaciones personalizadas que usan las API de Azure Data Lake Storage (ADLS) o el explorador de archivos oneLake. Al desactivar esta configuración, los usuarios todavía pueden acceder a datos desde aplicaciones internas como Spark, Ingeniería de datos y Almacenamiento de datos, pero no pueden acceder a datos desde aplicaciones que se ejecutan fuera de entornos de Fabric.