Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Se aplica a:✅ Almacenamiento en Microsoft Fabric
Fabric Data Warehouse proporciona una solución de almacenamiento de datos empresarial, administrada completamente y totalmente integrada en Microsoft Fabric. Sin embargo, al almacenar datos confidenciales y críticos para la empresa, debe tomar medidas para maximizar la seguridad de los almacenes y los datos almacenados en ellos.
En este artículo se proporcionan instrucciones sobre cómo proteger mejor el almacenamiento en Microsoft Fabric.
Modelo de acceso de almacén
Los permisos de Microsoft Fabric y los permisos de SQL granulares funcionan conjuntamente para controlar el acceso al almacenamiento y los permisos de usuario una vez conectados.
- La conectividad de almacenamiento depende de que se le conceda el permiso de lectura de Microsoft Fabric, como mínimo, para el almacén.
- Los permisos de elementos de Microsoft Fabric permiten proporcionar a un usuario permisos de SQL, sin necesidad de conceder esos permisos dentro de SQL.
- Los roles de área de trabajo de Microsoft Fabric proporcionan permisos de Microsoft Fabric para todos los almacenes de un área de trabajo.
- Los permisos de usuario granulares se pueden administrar aún más a través de T-SQL.
Roles de área de trabajo
Los roles de área de trabajo se usan para la colaboración de equipo de desarrollo dentro de un área de trabajo. La asignación de roles determina las acciones disponibles para el usuario y se aplica a todos los elementos del área de trabajo.
- Para obtener información general sobre los roles de área de trabajo de Microsoft Fabric, consulte Roles en áreas de trabajo en Microsoft Fabric.
- Para obtener instrucciones sobre cómo asignar roles de área de trabajo, consulte Concesión de acceso a los usuarios a las áreas de trabajo.
Para obtener detalles sobre las capacidades específicas de almacén proporcionadas a través de los roles de área de trabajo, consulte Roles de área de trabajo en Fabric Data Warehouse.
Permisos de elemento
A diferencia de los roles de área de trabajo, que se aplican a todos los elementos de un área de trabajo, los permisos de elemento se pueden asignar directamente a almacenes individuales.
Siga siempre el principio de privilegio mínimo al otorgar permisos y asignaciones de roles. Al evaluar los permisos que se van a asignar a un usuario, tenga en cuenta la guía siguiente:
- Si requieren principalmente acceso de solo lectura, asígnelos al rol Visor y conceda acceso de lectura en objetos específicos a través de T-SQL. Para más información, consulte Administración de permisos granulares de SQL.
- Solo los miembros del equipo que colaboran actualmente en la solución deben asignarse a roles de área de trabajo Administrador, Miembro y Colaborador, ya que proporcionan acceso a todos los elementos del área de trabajo.
- Si son usuarios con privilegios más elevados, asígnalos a los roles de Administrador, Miembro o Colaborador. El rol adecuado depende de las demás acciones que deban realizar.
- A otros usuarios, que solo necesitan acceder a un almacén individual o solo necesitan acceder a objetos SQL específicos, se les deben conceder permisos de elemento de Fabric y acceso a través de SQL a los objetos específicos.
- También puede administrar permisos en grupos de identificadores de Microsoft Entra, en lugar de agregar cada miembro específico. Para más información, vea Autenticación de Microsoft Entra como alternativa a la autenticación de SQL en Microsoft Fabric.
- Audite la actividad del usuario en el almacén con registros de auditoría de usuario.
Para obtener más información sobre el uso compartido, consulta Uso compartido de los datos y administración de permisos.
Seguridad granular
Los roles de área de trabajo y los permisos de elemento proporcionan una manera sencilla de asignar permisos generales a un usuario para todo el almacén. Sin embargo, en algunos casos, se necesitan permisos más granulares para un usuario. Para ello, se pueden usar construcciones de T-SQL estándar para proporcionar permisos específicos a los usuarios.
El almacenamiento de datos de Microsoft Fabric admite varias tecnologías de protección de datos que los administradores pueden usar para proteger los datos confidenciales frente al acceso no autorizado. Al proteger u ofuscar datos de usuarios o roles no autorizados, estas características de seguridad pueden proporcionar protección de datos en un punto de conexión de Almacén y de análisis SQL sin cambios en la aplicación.
- La seguridad de nivel de objeto controla el acceso a objetos de base de datos específicos.
- La seguridad de nivel de columna impide la visualización no autorizada de columnas en tablas.
-
La seguridad de nivel de fila impide la visualización no autorizada de filas en tablas mediante predicados de filtro de cláusulas
WHEREconocidos. - El enmascaramiento de datos dinámico impide la visualización no autorizada de datos confidenciales mediante máscaras para evitar el acceso completo, como direcciones de correo electrónico o números.
Seguridad de nivel de objeto
La seguridad de nivel de objeto es un mecanismo de seguridad que controla el acceso a objetos de base de datos específicos, como tablas, vistas o procedimientos, en función de los privilegios o roles de usuario. Garantiza que los usuarios o roles solo puedan interactuar y manipular los objetos para los que se les han concedido permisos, protegiendo la integridad y confidencialidad del esquema de la base de datos y sus recursos asociados.
Para más información sobre la administración de permisos pormenorizados en SQL, consulte Permisos pormenorizados de SQL en Microsoft Fabric.
Seguridad de nivel de fila
La seguridad de nivel de fila es una característica de seguridad de base de datos que restringe el acceso a filas o registros individuales dentro de una tabla de base de datos en función de los criterios especificados, como roles de usuario o atributos. Garantiza que los usuarios solo puedan ver o manipular datos que estén autorizados explícitamente para su acceso, lo que mejora la privacidad y el control de los datos.
Para obtener más información sobre la seguridad de nivel de fila, consulte Seguridad de nivel de fila en el almacenamiento de datos de Fabric.
Seguridad de nivel de columna
La seguridad de nivel de columna es una medida de seguridad de base de datos que limita el acceso a columnas o campos específicos dentro de una tabla de base de datos, lo que permite a los usuarios ver e interactuar solo con las columnas autorizadas al ocultar información confidencial o restringida. Ofrece un control específico sobre el acceso a los datos, lo que protege los datos confidenciales en una base de datos.
Para obtener más información sobre la seguridad de nivel de columna, consulte Seguridad de nivel de columna en el almacenamiento de datos de Fabric.
Enmascaramiento de datos dinámicos
El enmascaramiento de datos dinámico ayuda a evitar la visualización no autorizada de datos confidenciales al permitir a los administradores especificar la cantidad de datos confidenciales que se van a revelar, con un efecto mínimo en la capa de aplicación. El enmascaramiento de datos dinámico se puede configurar en los campos de la base de datos designados para ocultar información confidencial en los conjuntos de resultados de consultas. Con el enmascaramiento dinámico de datos, los datos de la base de datos no cambian, por lo que se puede usar con aplicaciones existentes, ya que las reglas de enmascaramiento se aplican a los resultados de la consulta. Muchas aplicaciones pueden enmascarar información confidencial sin modificar las consultas existentes.
Para obtener más información sobre el enmascaramiento dinámico de datos, consulte Enmascaramiento dinámico de datos en el almacenamiento de datos de Fabric.
Registros de auditoría de usuario
Para realizar un seguimiento de la actividad del usuario en el almacén y el punto de conexión de análisis SQL para cumplir los requisitos de cumplimiento normativo y administración de registros, se puede acceder a un conjunto de actividades de auditoría mediante Microsoft Purview y PowerShell.
- Puede usar los registros de auditoría de usuario para identificar quién realiza la acción en los elementos de Fabric.
- Para empezar, aprenda a configurar los registros de auditoría de SQL en Fabric Data Warehouse (versión preliminar).
- Puede realizar un seguimiento de las actividades del usuario en Microsoft Fabric. Para obtener más información, consulte la lista de operaciones.
Seguridad de los puntos de conexión de SQL Analytics
Para más información sobre la seguridad en el punto de conexión de SQL Analytics, consulte OneLake security for SQL analytics endpoints (Seguridad de OneLake para puntos de conexión de análisis de SQL).
Cifrado de clave administrada por el cliente (CMK)
Puede mejorar la posición de seguridad mediante claves administradas por el cliente (CMK), lo que le proporciona control directo sobre las claves de cifrado que protegen los datos y los metadatos. Al habilitar CMK para un área de trabajo que contiene un almacenamiento de datos de Fabric, los metadatos de almacenamiento y datos de OneLake se protegen mediante las claves de cifrado hospedadas en Azure Key Vault. Para obtener más información, consulte Cifrado de datos en Fabric Data Warehouse.