Seguridad para el almacenamiento de datos en Microsoft Fabric
Se aplica a:
Punto de conexión y almacenamiento de SQL en Microsoft Fabric
En este artículo se tratan los temas de seguridad para proteger el punto de conexión SQL de lakehouse y el almacén en Microsoft Fabric.
Importante
Microsoft Fabric está en versión preliminar.
Para obtener información sobre la seguridad de Microsoft Fabric, consulte Seguridad en Microsoft Fabric.
Para obtener información sobre cómo conectarse al punto de conexión y almacenamiento de SQL, consulte Conectividad.
Modelo de acceso de almacenamiento
Los permisos de Microsoft Fabric y los permisos de SQL granulares funcionan conjuntamente para controlar el acceso de almacenamiento y los permisos de usuario una vez conectados.
- La conectividad de almacenamiento depende de que se conceda el permiso de lectura de Microsoft Fabric, como mínimo, para el almacén.
- Los permisos de elementos de Microsoft Fabric permiten proporcionar a un usuario permisos SQL, sin necesidad de conceder esos permisos dentro de SQL.
- Los roles de área de trabajo de Microsoft Fabric proporcionan permisos de Microsoft Fabric para todos los almacenes de un área de trabajo.
- Los permisos de usuario granulares se pueden administrar aún más a través de T-SQL.
Roles de área de trabajo
Los roles de área de trabajo se usan para la colaboración en equipo de desarrollo dentro de un área de trabajo. La asignación de roles determina las acciones disponibles para el usuario y se aplica a todos los elementos del área de trabajo.
- Para obtener información general sobre los roles de área de trabajo de Microsoft Fabric, consulte Roles en áreas de trabajo.
- Para obtener instrucciones sobre cómo asignar roles de área de trabajo, consulte Conceder acceso al área de trabajo.
Consulte Roles de área de trabajo en almacenamiento de datos de Fabric para obtener más información sobre las funcionalidades de almacenamiento específicas proporcionadas a través de roles de área de trabajo.
Seguridad de nivel de objeto
Los roles de área de trabajo y los permisos de elemento proporcionan una manera sencilla de asignar permisos generales a un usuario para todo el almacenamiento. Sin embargo, en algunos casos, se necesitan permisos más pormenorizados para un usuario. Para ello, las construcciones estándar de T-SQL se pueden usar para proporcionar permisos específicos a los usuarios.
Consulte Permisos pormenorizados de SQL para obtener más información sobre la administración de permisos granulares en SQL.
Instrucciones
Al evaluar los permisos para asignar a un usuario, tenga en cuenta las instrucciones siguientes:
- Solo los miembros del equipo que colaboran actualmente en la solución deben asignarse a roles de área de trabajo (Administración, Miembro, Colaborador), ya que esto les proporciona acceso a todos los elementos del área de trabajo.
- Si requieren principalmente acceso de solo lectura, asígnelos al rol Visor y conceda acceso de lectura en objetos específicos a través de T-SQL. Para más información, consulte Administración de permisos pormenorizados de SQL.
- Si son usuarios con privilegios más elevados, asígnelos a los roles de Administración, Miembro o Colaborador. El rol adecuado depende de las demás acciones que tendrán que realizar.
- A otros usuarios, que solo necesitan acceso a un almacén individual o que solo necesitan acceso a objetos SQL específicos, se les deben conceder permisos de elemento de Tejido y conceder acceso a través de SQL a los objetos específicos.
- También puede administrar permisos en grupos de Azure Activity Directory, en lugar de agregar cada miembro específico.