Seguridad para el almacenamiento de datos en Microsoft Fabric

  • Artículo

Se aplica a: punto de conexión de análisis SQL y Almacenamiento de datos en Microsoft Fabric

En este artículo se tratan los temas de seguridad para proteger el punto de conexión de análisis SQL del almacén de lago y el almacén en Microsoft Fabric.

Para obtener información sobre la seguridad de Microsoft Fabric, consulte Seguridad en Microsoft Fabric.

Para obtener información sobre cómo conectarse al punto de conexión de análisis SQL y al almacén, consulte Conectividad.

Modelo de acceso de almacén

Los permisos de Microsoft Fabric y los permisos de SQL granulares funcionan conjuntamente para controlar el acceso de almacén y los permisos de usuario una vez conectados.

  • La conectividad de almacenamiento depende de que se le conceda el permiso de lectura de Microsoft Fabric, como mínimo, para el almacén.
  • Los permisos de elementos de Microsoft Fabric permiten proporcionar a un usuario permisos de SQL, sin necesidad de conceder esos permisos dentro de SQL.
  • Los roles de área de trabajo de Microsoft Fabric proporcionan permisos de Microsoft Fabric para todos los almacenes de un área de trabajo.
  • Los permisos de usuario granulares se pueden administrar aún más a través de T-SQL.

Roles de área de trabajo

Los roles de área de trabajo se usan para la colaboración de equipo de desarrollo dentro de un área de trabajo. La asignación de roles determina las acciones disponibles para el usuario y se aplica a todos los elementos del área de trabajo.

Para obtener más información sobre las funcionalidades de almacén específicas proporcionadas a través de roles de área de trabajo, consulte Roles de área de trabajo en el almacén de datos de Fabric.

Permisos de elemento

A diferencia de los roles de área de trabajo, que se aplican a todos los elementos de un área de trabajo, los permisos de elementos pueden asignarse directamente a almacenes individuales. El usuario recibirá el permiso asignado en ese único almacén. El propósito principal de estos permisos es habilitar el uso compartido para el consumo descendente del almacén.

Para obtener más información sobre los permisos específicos proporcionados para los almacenes, consulte Uso compartido del almacén y administración de permisos.

Seguridad granular

Los roles de área de trabajo y los permisos de elemento proporcionan una manera sencilla de asignar permisos generales a un usuario para todo el almacén. Sin embargo, en algunos casos, se necesitan permisos más granulares para un usuario. Para ello, se pueden usar construcciones de T-SQL estándar para proporcionar permisos específicos a los usuarios.

El almacenamiento de datos de Microsoft Fabric admite varias tecnologías de protección de datos que los administradores pueden usar para proteger los datos confidenciales frente al acceso no autorizado. Al proteger u ofuscar datos de usuarios o roles no autorizados, estas características de seguridad pueden proporcionar protección de datos en un punto de conexión de Almacén y de análisis SQL sin cambios en la aplicación.

Seguridad de nivel de objeto

La seguridad de nivel de objeto es un mecanismo de seguridad que controla el acceso a objetos de base de datos específicos, como tablas, vistas o procedimientos, en función de los privilegios o roles de usuario. Garantiza que los usuarios o roles solo puedan interactuar y manipular los objetos para los que se les han concedido permisos, protegiendo la integridad y confidencialidad del esquema de la base de datos y sus recursos asociados.

Para obtener más información sobre la administración de permisos granulares en SQL, consulte Permisos granulares de SQL.

Seguridad de nivel de fila

La seguridad de nivel de fila es una característica de seguridad de base de datos que restringe el acceso a filas o registros individuales dentro de una tabla de base de datos en función de los criterios especificados, como roles de usuario o atributos. Garantiza que los usuarios solo puedan ver o manipular datos que estén autorizados explícitamente para su acceso, lo que mejora la privacidad y el control de los datos.

Para obtener más información sobre la seguridad de nivel de fila, consulte Seguridad de nivel de fila en el almacenamiento de datos de Fabric.

Seguridad de nivel de columna

La seguridad de nivel de columna es una medida de seguridad de base de datos que limita el acceso a columnas o campos específicos dentro de una tabla de base de datos, lo que permite a los usuarios ver e interactuar solo con las columnas autorizadas al ocultar información confidencial o restringida. Ofrece un control específico sobre el acceso a los datos, lo que protege los datos confidenciales en una base de datos.

Para obtener más información sobre la seguridad de nivel de columna, consulte Seguridad de nivel de columna en el almacenamiento de datos de Fabric.

Enmascaramiento de datos dinámicos

El enmascaramiento de datos dinámico ayuda a evitar la visualización no autorizada de datos confidenciales al permitir a los administradores especificar la cantidad de datos confidenciales que se van a revelar, con un efecto mínimo en la capa de aplicación. El enmascaramiento de datos dinámico se puede configurar en los campos de la base de datos designados para ocultar información confidencial en los conjuntos de resultados de consultas. Con el enmascaramiento dinámico de datos, los datos de la base de datos no cambian, por lo que se puede usar con aplicaciones existentes, ya que las reglas de enmascaramiento se aplican a los resultados de la consulta. Muchas aplicaciones pueden enmascarar información confidencial sin modificar las consultas existentes.

Para obtener más información sobre el enmascaramiento dinámico de datos, consulte Enmascaramiento dinámico de datos en el almacenamiento de datos de Fabric.

Uso compartido de un almacén

Compartir es una manera cómoda de proporcionar a los usuarios acceso de lectura a su almacén para el consumo de bajada. El uso compartido permite a los usuarios de nivel inferior de la organización consumir un almacén mediante SQL, Spark o Power BI. Puede personalizar el nivel de permisos que se concede al destinatario compartido para proporcionarle el nivel de acceso adecuado.

Para obtener más información sobre el uso compartido, consulte Uso compartido del almacén y administración de permisos.

Instrucciones sobre el acceso de los usuarios

Al evaluar los permisos que se van a asignar a un usuario, tenga en cuenta la guía siguiente:

  • Solo los miembros del equipo que colaboran actualmente en la solución deben asignarse a roles de área de trabajo (Administrador, Miembro, Colaborador), ya que esto les proporciona acceso a todos los elementos del área de trabajo.
  • Si requieren principalmente acceso de solo lectura, asígnelos al rol Visor y conceda acceso de lectura en objetos específicos a través de T-SQL. Para más información, consulte Administración de permisos granulares de SQL.
  • Si son usuarios con privilegios más elevados, asígnelos a los roles de Administrador, Miembro o Colaborador. El rol adecuado depende de las demás acciones que deban realizar.
  • A otros usuarios, que solo necesitan acceder a un almacén individual o solo necesitan acceder a objetos SQL específicos, se les deben conceder permisos de elemento de Fabric y acceso a través de SQL a los objetos específicos.
  • También puede administrar permisos en grupos de Microsoft Entra ID (anteriormente Azure Active Directory) en lugar de agregar cada miembro específico.

Contenido relacionado