Protección de datos con Fabric, motores de proceso y OneLake
Fabric ofrece un modelo de seguridad de varias capas para administrar el acceso a datos. La seguridad se puede establecer para todo un área de trabajo, para elementos individuales o mediante permisos pormenorizados en cada motor de Fabric. OneLake tiene sus propias consideraciones de seguridad que se describen en este documento.
Roles de acceso a datos de OneLake (versión preliminar)
Los roles de acceso a datos de OneLake (versión preliminar) permiten a los usuarios crear roles personalizados dentro de un almacén de lago y conceder permisos de lectura solo a las carpetas especificadas al acceder a OneLake. Para cada rol de OneLake, los usuarios pueden asignar usuarios, grupos de seguridad o conceder una asignación automática basada en el rol de área de trabajo.
Más información sobre el modelo e control de acceso a datos de OneLake e Introducción al acceso a datos.
Seguridad de acceso directo
En Microsoft Fabric, los accesos directos permiten la administración simplificada de los datos. La seguridad de carpetas de OneLake se aplica a los accesos directos de OneLake en función de los roles definidos en el almacén de lago donde se almacenan los datos.
Para más información sobre las consideraciones de seguridad de los accesos directos, vea Modelo de control de acceso a datos en OneLake. Aquí puede encontrar más información sobre los accesos directos.
Autenticación
OneLake usa Microsoft Entra ID para la autenticación; puede usarlo para conceder permisos a las identidades de usuario y a las entidades de servicio. OneLake extrae automáticamente la identidad de usuario de las herramientas, que usan la autenticación de Microsoft Entra y la asignan a los permisos establecidos en el portal de Fabric.
Nota:
Para usar entidades de servicio en un inquilino de Fabric, un administrador de inquilinos debe habilitar nombres de entidad de seguridad de servicio (SPN) para todo el inquilino o grupos de seguridad específicos. Más información sobre cómo habilitar entidades de servicio en Configuración para desarrolladores del portal de administración de inquilinos
Datos en reposo
Los datos almacenados en OneLake se cifran en reposo de forma predeterminada mediante la clave administrada por Microsoft. Las claves administradas por Microsoft se giran correctamente. Los datos en OneLake se cifran y descifran de forma transparente y cumplen la norma FIPS 140-2.
Actualmente no se admite el cifrado en reposo mediante la clave administrada por el cliente. Puede enviar una solicitud para esta característica en Microsoft Fabric Ideas.
Datos en tránsito
Los datos en tránsito a través de la red pública de Internet entre servicios Microsoft siempre se cifran con al menos TLS 1.2. Fabric negocia TLS 1.3 siempre que sea posible. El tráfico entre servicios Microsoft siempre se enruta a través de la red global de Microsoft.
La comunicación entrante de OneLake también aplica TLS 1.2 y negocia con TLS 1.3, siempre que sea posible. La comunicación saliente de Fabric con la infraestructura propiedad del cliente prefiere protocolos seguros, pero podría recurrir a protocolos antiguos y no seguros (incluido TLS 1.0) cuando no se admitan protocolos más recientes.
Vínculos privados
Fabric no admite actualmente el acceso de vínculo privado a los datos de OneLake a través de productos que no sean de Fabric y Apache Spark.
Permitir que las aplicaciones que se ejecutan fuera de Fabric accedan a los datos a través de OneLake
OneLake permite restringir el acceso a los datos desde aplicaciones que se ejecutan fuera de entornos de Fabric. Los administradores pueden encontrar el valor en la sección OneLake del portal de administración de inquilinos. Cuando se activa esta opción, los usuarios pueden acceder a los datos a través de todos los orígenes. Cuando se desactiva, los usuarios no pueden acceder a los datos a través de aplicaciones que se ejecutan fuera de entornos de Fabric. Por ejemplo, los usuarios pueden acceder a los datos a través de aplicaciones que utilizan las API de Azure Data Lake Storage (ADLS) o el explorador de archivos de OneLake.