Uso compartido del almacenamiento y administración de permisos

Artículo
12/05/2023

Se aplica a:Almacenamiento y base de datos reflejada en Microsoft Fabric

Compartir es una manera cómoda de proporcionar a los usuarios acceso de lectura a su almacén para el consumo de bajada. El uso compartido permite a los usuarios de nivel inferior de la organización consumir un almacén mediante SQL, Spark o Power BI. Puede personalizar el nivel de permisos que se concede al destinatario compartido para proporcionarle el nivel de acceso adecuado.

Nota:

Debe ser administrador o miembro del área de trabajo para compartir un almacén en Microsoft Fabric.

Introducción

Después de identificar el almacén que desea compartir con otro usuario en el área de trabajo de Fabric, seleccione la acción rápida de la fila para Compartir un almacén.

El siguiente gif animado revisa los pasos para seleccionar un almacén para compartir, seleccionar los permisos que se van a asignar y, por último, Conceder los permisos a otro usuario.

Puede compartir el almacenamiento desde OneLake Data Hub o synapse Data Warehouse eligiendo Compartir en acción rápida, como se resalta en la imagen siguiente.

Se le pedirán opciones para seleccionar con quién desea compartir el almacén, con qué permisos concederlos y si se les notificará por correo electrónico. Cuando haya rellenado todos los campos obligatorios, seleccione Conceder acceso.

A continuación se muestra más detalles sobre cada uno de los permisos proporcionados:

Si no se seleccionan permisos adicionales: el destinatario compartido recibe de forma predeterminada el permiso "Lectura", que solo permite al destinatario conectarse al punto de conexión de análisis SQL, el equivalente de los permisos CONNECT en SQL Server. El destinatario compartido no podrá consultar ninguna tabla o vista ni ejecutar ninguna función o procedimiento almacenado a menos que se les proporcione acceso a los objetos dentro del almacén mediante la instrucción GRANT de T-SQL.

Nota:

ReadData, ReadAll y Build son permisos independientes que no se superponen.

"Leer todos los datos mediante SQL" está seleccionado (permisos "ReadData"): el destinatario compartido puede leer todos los objetos de base de datos dentro del almacén. ReadData es el equivalente del rol db_datareader en SQL Server. El destinatario compartido puede leer datos de todas las tablas y vistas del almacén. Si desea restringir aún más y proporcionar acceso granular a algunos objetos dentro del almacén, puede hacerlo mediante instrucciones GRANT/REVOKE/DENY de T-SQL.
- En el punto de conexión de análisis SQL del lago de datos, "Leer todos los datos del punto de conexión de SQL" equivale a "Leer todos los datos mediante SQL".
"Leer todos los datos con Apache Spark" está seleccionado (permisos "ReadAll"): el destinatario compartido tiene acceso de lectura a los archivos parquet subyacentes de OneLake, que se pueden consumir mediante Spark. Solo se debe proporcionar ReadAll si el destinatario compartido quiere tener acceso completo a los archivos del almacén mediante el motor de Spark.
La casilla "Compilar informes sobre el conjunto de datos predeterminado" está activada (Permisos de "compilación"): el destinatario compartido puede crear informes sobre el modelo semántico predeterminado que está conectado al almacén. Se debe proporcionar Compilar si el destinatario compartido quiere permisos de Compilar en el modelo semántico predeterminado para crear informes de Power BI sobre estos datos. La casilla Compilar está activada de forma predeterminada, pero se puede desactivar.

Cuando el destinatario compartido recibe el correo electrónico, puede seleccionar Abrir y navegar a la página Centro de datos de almacenamiento.

Según el nivel de acceso al destinatario compartido, el destinatario compartido ahora puede conectarse al punto de conexión de análisis SQL, consultar los informes de almacenamiento, compilar informes o leer datos a través de Spark.

Permisos ReadData

Con los permisos ReadData, el destinatario compartido puede abrir el editor de almacenamiento en modo de solo lectura y consultar las tablas y vistas dentro del almacén. El destinatario compartido también puede elegir copiar el punto de conexión de análisis SQL proporcionado y conectarse a una herramienta de cliente para ejecutar estas consultas.

Por ejemplo, en la captura de pantalla siguiente, un usuario con permisos ReadData puede consultar el almacenamiento.

Permisos ReadAll

Un destinatario compartido con permisos ReadAll puede encontrar la ruta del Azure Blob File System (ABFS) al archivo específico en OneLake desde el panel Propiedades en el editor de Warehouse. Después, el destinatario compartido puede usar esta ruta de acceso dentro de un cuaderno de Spark para leer estos datos.

Por ejemplo, en la captura de pantalla siguiente, un usuario con permisos ReadAll puede consultar los datos en FactSale con una consulta de Spark en un nuevo cuaderno.

Permisos de compilación

Con los permisos de Compilar, el destinatario compartido puede crear informes sobre el modelo semántico predeterminado que está conectado al almacén. El destinatario compartido puede crear informes de Power BI desde el centro de datos o también hacer lo mismo mediante Power BI Desktop.

Por ejemplo, en la siguiente captura de pantalla, un usuario con permisos de Compilar puede comenzar a crear automáticamente un informe de Power BI basado en el almacén compartido.

Administración de permisos

En la página Administrar permisos, se muestra la lista de usuarios a los que se les ha concedido acceso mediante la asignación a roles de área de trabajo o permisos de elemento.

Si es miembro o Administración, vaya al área de trabajo y seleccione Más opciones. A continuación, seleccione Administrar permisos.

En el caso de los usuarios a los que se proporcionaron roles de área de trabajo, muestra el usuario, el rol de área de trabajo y los permisos correspondientes. Administración, los miembros y colaboradores tienen acceso de lectura y escritura a los elementos de esta área de trabajo. Los visores tienen permisos ReadData y pueden consultar todas las tablas y vistas dentro del almacén de esa área de trabajo. Los permisos de elemento Read, ReadData y ReadAll se pueden proporcionar a los usuarios.

Puedes optar por agregar o quitar los permisos mediante la experiencia Administrar permisos:

Quitar acceso quita todos los permisos de elemento.
Quitar ReadData quita los permisos ReadData.
Quitar ReadAll quita los permisos ReadAll.
Quitar compilación quita permisos de compilación en el modelo semántico predeterminado correspondiente.

Limitaciones

Si proporciona permisos de elemento o quita usuarios que anteriormente tenían permisos, la propagación de permisos puede tardar hasta dos horas. Los nuevos permisos se reflejarán inmediatamente en "Administrar permisos". Vuelva a iniciar sesión para asegurarse de que los permisos se reflejan en el punto de conexión de análisis SQL.
Los destinatarios compartidos pueden acceder al almacén mediante la identidad del propietario (modo delegado). Asegúrese de que el propietario del almacén no se quite del área de trabajo.
Los destinatarios compartidos solo tienen acceso al almacén que reciben y no a otros elementos dentro del mismo área de trabajo que el almacén. Si desea otorgar permisos para que otros usuarios de su equipo colaboren en el Almacén (acceso de lectura y escritura), agréguelos como roles de Área de trabajo como "Miembro" o "Colaborador".
Actualmente, al compartir un almacén y elegir Leer todos los datos mediante SQL, el destinatario compartido puede acceder al editor de almacenamiento en un modo de solo lectura. Estos destinatarios compartidos pueden crear consultas, pero actualmente no pueden guardar sus consultas.
Actualmente, el uso compartido de un almacén solo está disponible a través de la experiencia del usuario.
Si desea proporcionar acceso pormenorizados a objetos específicos dentro del almacén, comparta el almacén sin permisos adicionales y proporcione acceso granular a objetos específicos mediante la instrucción GRANT de T-SQL. Para obtener más información, consulte Sintaxis de T-SQL para GRANT, REVOKE y DENY.
Si ve que los permisos ReadAll y ReadData están deshabilitados en el cuadro de diálogo para compartir, actualice la página.
Los destinatarios compartidos no tienen permiso para volver a compartir un almacén.
Si un informe basado en el almacén se comparte con otro destinatario, el destinatario compartido necesita más permisos para acceder al informe. Esto depende del modo de acceso al modelo semántico mediante Power BI:
- Si se accede a través del Modo de consulta directa es necesario proporcionar permisos ReadData (o permisos SQL granulares para tablas o vistas específicas) al almacén.
- Si se accede a través del Modo de lago directo es necesario proporcionar permisos ReadData (o permisos granulares para tablas o vistas específicas) al almacén. El modo Direct Lake es el tipo de conexión predeterminado para modelos semánticos que usan un punto de conexión de análisis SQL o almacén como origen de datos. Para obtener más información, consulte Modo de lago directo.
- Si se accede a través del modo de importación, no se necesitan permisos adicionales.
- Actualmente, no se admite el uso compartido de un almacén directamente con un SPN.

Características de protección de datos

El almacenamiento de datos de Microsoft Fabric admite varias tecnologías que los administradores pueden usar para proteger los datos confidenciales frente a la visualización no autorizada. Al proteger u ofuscar datos de usuarios o roles no autorizados, estas características de seguridad pueden proporcionar protección de datos en un punto de conexión de Almacén y de análisis SQL sin cambios en la aplicación.

La seguridad de nivel de columna impide la visualización no autorizada de columnas en tablas.
La seguridad de nivel de fila impide la visualización no autorizada de filas en tablas mediante predicados de filtro de cláusulas WHERE conocidos.
El enmascaramiento de datos dinámico impide la visualización no autorizada de datos confidenciales mediante máscaras para evitar el acceso completo, como direcciones de correo electrónico o números.