Compartir vía

Introducción a los roles de acceso a datos de OneLake (versión preliminar)

  • Artículo

Información general

Los roles de acceso a datos de OneLake para carpetas son una nueva característica que permite aplicar el control de acceso basado en rol (RBAC) a los datos almacenados en OneLake. Puede definir roles de seguridad que concedan acceso de lectura a carpetas específicas dentro de un elemento de Fabric y asignarlos a usuarios o grupos. Los permisos de acceso determinan qué carpetas ven los usuarios al acceder a la vista de lago de los datos, ya sea mediante la experiencia del usuario de almacén de lago, cuadernos o API de OneLake.

Los usuarios de Fabric con los roles de Administrador, Miembro o Colaborador pueden empezar a crear roles de acceso a datos de OneLake para conceder acceso solo a carpetas específicas de un lago de datos. Para conceder acceso a los datos de un lago de datos, agregue usuarios a un rol de acceso a datos. Los usuarios que no forman parte de un rol de acceso a datos no ven datos en ese lago de datos.

Nota:

La seguridad del rol de acceso a datos SOLO se aplica a los usuarios que acceden directamente a OneLake. Los elementos de Fabric, como el punto de conexión de análisis de SQL, los modelos semánticos y los almacenes, tienen sus propios modelos de seguridad y acceden a OneLake a través de una identidad delegada. Esto significa que los usuarios pueden ver distintos elementos en cada carga de trabajo si se les concede acceso a varios elementos.

Cómo acceder

Todos los lagos de datos de Fabric tienen la característica de versión preliminar de los roles de acceso a datos deshabilitada de forma predeterminada. La característica de versión preliminar se configura por cada lago de datos. El control opt-in permite que una sola instancia de lago de datos pruebe la versión preliminar sin habilitarla en ningún otro lago o elementos de Fabric.

Para habilitar la versión preliminar, debe ser un Administrador, Miembro o Colaborador en el área de trabajo. Vaya a una instancia de lago de datos y seleccione el botón Administrar el acceso a datos de OneLake (versión preliminar) de la cinta de opciones para abrir el cuadro de diálogo de confirmación. La versión preliminar de los roles de acceso a datos no es compatible con la versión preliminar de uso compartido de datos externos. Si le parece bien el cambio, seleccione Continuar. Se abre la experiencia de usuario de administración de roles y la característica ahora está habilitada.

La característica de vista previa no se puede desactivar una vez habilitada.

Para garantizar una experiencia de participación fluida, todos los usuarios con permiso de lectura para los datos de lago de datos siguen teniendo acceso de lectura. La migración del acceso se realiza mediante la creación de un rol de acceso a datos predeterminado denominado "DefaultReader". Mediante el uso de pertenencias a roles virtualizados, todos los usuarios que tenían los permisos necesarios para ver los datos en el lago de datos (el permiso ReadAll) se incluyen como miembros de este rol predeterminado. Para empezar a restringir el acceso a esos usuarios, asegúrese de que se elimina el rol DefaultReader o de que se quita el permiso ReadAll de los usuarios que acceden.

Importante

Asegúrese de que los usuarios que se incluyen en un rol de acceso a datos no forman parte del rol DefaultReader. De lo contrario, mantendrán el acceso total a los datos.

¿Qué tipos de datos se pueden proteger?

Los roles de acceso a datos de OneLake se pueden usar para administrar el acceso de lectura de OneLake a las carpetas de un lago de datos. El acceso de lectura se puede conceder a cualquier carpeta de una instancia de lago de datos y ningún acceso a una carpeta es el estado predeterminado. El conjunto de seguridad por roles de acceso a datos se aplica exclusivamente al acceso a las API específicas de OneLake o OneLake. Para más información, consulte Modelo de control de acceso a datos.

Requisitos previos

Para configurar la seguridad de una instancia de lago de datos, debe ser un Administrador, Miembro o Colaborador para el área de trabajo. La creación de roles y la asignación de pertenencia surten efecto tan pronto como se guarde el rol, así que asegúrese de que desea conceder acceso antes de agregar a alguien a un rol.

Los roles de acceso a datos de OneLake solo se admiten para los elementos lago de datos.

Crear un rol

  1. Abra el lago de datos donde desea definir la seguridad.
  2. En el lado derecho de la cinta de opciones de lago de datos, seleccione Administrar acceso a datos de OneLake (versión preliminar).
  3. En la parte superior izquierda del panel Administrar acceso a datos de OneLake, seleccione Nuevo rol y escriba el nombre de rol que desee. El nombre de rol tiene ciertas restricciones:
    1. El nombre de rol solo puede contener caracteres alfanuméricos.
    2. El nombre de rol debe empezar con una letra.
    3. Los nombres deben ser únicos y no distinguen entre mayúsculas y minúsculas.
    4. La longitud máxima del nombre es de 128 caracteres.
  4. Seleccione el botón de alternancia Todas las carpetas si desea que este rol se aplique a todas las carpetas de este lago de datos.
    1. Esta selección incluye todas las carpetas que se agregan en el futuro.
  5. Seleccione las Carpetas seleccionadas si desea que este rol solo se aplique a las carpetas seleccionadas.
    1. Active las casillas situadas junto a las carpetas a las que desea que se aplique el rol.
    2. Los roles conceden acceso a las carpetas. Para permitir que un usuario acceda a una carpeta, active la casilla situada junto a ella. Si un usuario no debería ver una carpeta, no active la casilla.
    3. Seleccione Guardar en la parte inferior izquierda para crear el rol.
  6. En la parte superior izquierda, seleccione Asignar rol para abrir el panel de pertenencia a roles.
  7. Agregue personas, grupos o direcciones de correo electrónico al control Agregar personas o grupos. Para obtener más información, consulte Asignación de un miembro o grupo.
  8. Seleccione Agregar para mover la selección a la lista Usuarios asignados. Al seleccionar Agregar aún no se guarda la selección.
  9. Seleccione Guardar y espere a la notificación de que los roles se han publicado correctamente.
  10. Seleccione la X de la parte superior derecha para salir del panel.

Editar un rol

  1. Abra el lago de datos donde desea definir la seguridad.
  2. En el lado derecho de la cinta de opciones de lago de datos, seleccione Administrar acceso a datos de OneLake (versión preliminar).
  3. En el panel Administrar acceso a datos de OneLake, mantenga el puntero sobre el rol que desea editar y selecciónelo.
  4. Puede cambiar a qué carpetas se les concede acceso activando o desactivando las casillas situadas junto a cada carpeta.
  5. Para cambiar las personas, seleccione Asignar rol. Para obtener más información, consulte Asignación de un miembro o grupo.
  6. Para agregar más personas, escriba nombres en el cuadro Agregar personas o grupos y seleccione Agregar.
  7. Para quitar personas, seleccione su nombre en Usuarios asignados y seleccione Quitar.
  8. Seleccione Guardar y espere a la notificación de que los roles se han publicado correctamente.
  9. Seleccione la X de la parte superior derecha para salir del panel.

Eliminación de un rol

  1. Abra el lago de datos donde desea definir la seguridad.
  2. En el lado derecho de la cinta de opciones de lago de datos, seleccione Administrar acceso a datos de OneLake (versión preliminar).
  3. En el panel Administrar acceso a datos de OneLake, active la casilla situada junto a los roles que desea eliminar.
  4. Seleccione Eliminar y espere a la notificación de que los roles se han eliminado correctamente.
  5. Seleccione la X de la parte superior derecha para salir del panel.

Asignación de un miembro o grupo

Los roles de acceso a datos de OneLake admiten dos métodos diferentes para agregar usuarios a un rol. El método principal consiste en agregar usuarios o grupos directamente a un rol mediante el cuadro Agregar personas o grupos en la página Asignar rol. La segunda consiste en usar pertenencias virtuales con el control Agregar usuarios según los permisos de Lakehouse.

Agregar usuarios directamente a un rol con el cuadro Agregar personas o grupo agrega los usuarios como miembros explícitos del rol. Estos usuarios se muestran con su nombre y su imagen que se muestran en la lista Personas y grupos asignados.

Los miembros virtuales permiten ajustar dinámicamente la pertenencia del rol en función de los permisos de elemento de Fabric de los usuarios. Al seleccionar el cuadro Agregar usuarios según los permisos de Lakehouse y seleccionar un permiso, va a agregar cualquier usuario en el área de trabajo de Fabric que tenga todos los permisos seleccionados como miembro implícito del rol. Por ejemplo, si eligió ReadAll, Write, cualquier usuario del área de trabajo de Fabric que tenga permisos ReadAll AND Write en el elemento se incluiría como miembro del rol. Para ver qué usuarios se agregan como miembros virtuales, busque el valor "Permisos de Lakehouse" en su nombre en la columna Asignados por de la lista Usuarios asignados. Estos miembros no se pueden quitar manualmente y deben revocarse sus permisos de Fabric correspondientes para no asignarlos.

Independientemente del tipo de pertenencia, los roles de acceso a datos admiten la adición de usuarios individuales, grupos de Microsoft Entra y entidades de seguridad.

Asignación de miembros

Para llegar a la página asignar miembros, hay dos maneras:

Método 1

  1. Seleccione el nombre del rol al que desea asignar miembros.
  2. En la parte superior de la página de detalles de roles, seleccione Asignación de roles.

Método 2

  1. En la lista de roles, active la casilla situada junto al rol al que desea asignar miembros.
  2. Seleccione Asignar.

Asignar usuarios directamente

En la página Asignar rol, puede agregar miembros o grupos escribiendo su nombre o dirección de correo electrónico en el cuadro Agregar personas o grupos. Seleccione el resultado en el que quiere incluir a ese usuario. Puede repetir este paso para tantos usuarios como desee. Si seleccionó los usuarios incorrectos, puede seleccionar la X junto a su entrada para quitarlos del cuadro o seleccionar Borrar para quitar todas las entradas. Una vez que haya terminado, seleccione Agregar para mover los usuarios seleccionados a la lista de acceso. Agregarlos a la lista aún no se guarda. Se trata de una vista previa de la lista de pertenencia a roles una vez que se agregan esos usuarios y los usuarios recién agregados tendrán un indicador junto a su nombre.

Para publicar los cambios de acceso, seleccione Guardar en la parte inferior del panel.

Asignación de miembros virtuales

Para agregar miembros virtuales, use el cuadro Agregar usuarios basados en permisos de Lakehouse. Seleccione el cuadro para abrir el selector desplegable para elegir los permisos de Fabric que se van a virtualizar. Los usuarios se virtualizan si tienen todos los permisos marcados.

Los permisos que se pueden usar para la virtualización son:

  • Leer
  • Escribir
  • Volver a compartir
  • Ejecutar
  • ReadAll

Después de seleccionar los permisos, seleccione Agregar para actualizar la lista Usuarios asignados con los cambios. Los usuarios tienen un texto junto a su nombre que indica que fueron asignados por los permisos de Lakehouse. Estos usuarios no se pueden quitar manualmente de la asignación de roles. En su lugar, quite los permisos correspondientes del control Agregar usuarios según los permisos de Lakehouse o quite el permiso de Fabric.

Problemas conocidos

La característica de versión preliminar del uso compartido de datos externo no es compatible con la versión preliminar de los roles de acceso a datos. Al habilitar la versión preliminar de los roles de acceso a datos en un lago de datos, los recursos compartidos de datos externos existentes pueden dejar de funcionar.

Contenido relacionado