Introducción a la seguridad de OneLake (versión preliminar)

La seguridad de OneLake permite aplicar el control de acceso basado en rol (RBAC) a los datos almacenados en OneLake. Puede definir roles de seguridad que concedan acceso a carpetas específicas dentro de un elemento de Fabric y, a continuación, asignar estos roles a usuarios o grupos. Los roles también pueden contener seguridad de nivel de fila o columna para limitar aún más el acceso. Los permisos de seguridad de OneLake determinan qué datos puede ver el usuario en todas las experiencias de Fabric.

Los usuarios de Fabric con permisos de escritura y volver a compartir (por lo general, usuarios del área de trabajo administrador y miembro) pueden empezar a crear roles de seguridad de OneLake para conceder acceso solo a carpetas o tablas específicas de un elemento de datos de Fabric. Para conceder acceso a los datos de un elemento, agregue usuarios a un rol de acceso a datos. Los usuarios que no forman parte de un rol de acceso a datos no ven datos en ese elemento.

Prerrequisitos

Para configurar la seguridad de OneLake, debe ser administrador o miembro en el área de trabajo, o tener permisos de escritura y volver a compartir. La creación de roles y la asignación de pertenencia surten efecto tan pronto como se guarde el rol, así que asegúrese de que desea conceder acceso antes de agregar a alguien a un rol.

En la tabla siguiente se describen los elementos de datos que admiten la seguridad de OneLake:

Elemento de tejido	Estado	Permisos admitidos
Lakehouse	Preview	Lectura, Lectura/Escritura
Catálogo reflejado de Azure Databricks	Preview	Read

Cómo participar

La seguridad de OneLake está actualmente en versión preliminar y, como resultado, está deshabilitada de forma predeterminada. La característica de vista previa se configura por elemento. El control opt-in permite que un único elemento pruebe la vista previa sin habilitarlo en ningún otro elemento de Fabric.

La característica de vista previa no se puede desactivar una vez habilitada.

1. Vaya a una instancia de Lakehouse y seleccione Administrar oneLake security (versión preliminar) .
2. Revise el cuadro de diálogo de confirmación. La versión preliminar de los roles de acceso a datos no es compatible con la versión preliminar uso compartido de datos externos. Si está bien con el cambio, seleccione Continuar.

Para garantizar una experiencia de participación fluida, todos los usuarios con permiso de lectura para los datos del elemento siguen teniendo acceso de lectura a través de un rol de acceso a datos predeterminado denominado DefaultReader. Con las pertenencias a roles virtualizados, todos los usuarios que tenían los permisos necesarios para ver los datos en lakehouse (el permiso ReadAll) se incluyen como miembros de este rol predeterminado. Para empezar a restringir el acceso a esos usuarios, elimine el rol DefaultReader o quite el permiso ReadAll de los usuarios que acceden.

Importante

Asegúrese de que los usuarios que se incluyen en un rol de acceso a datos se quitan del rol DefaultReader. De lo contrario, mantienen el acceso total a los datos.

¿Qué tipos de datos se pueden proteger?

Use roles de seguridad de OneLake para administrar el acceso de lectura de OneLake a las tablas o carpetas de un elemento. El acceso a las tablas se puede restringir aún más mediante la seguridad de nivel de fila o columna. Cualquier conjunto de seguridad se aplica al acceso desde todos los motores de Fabric. Para obtener más información, consulte el modelo de control de acceso a datos.

Para tipos de elementos específicos, también se puede configurar el acceso ReadWrite. Este permiso permite a los usuarios editar datos en un lakehouse en tablas o carpetas específicas sin darles acceso para la creación o administración de elementos de Fabric. El acceso ReadWrite permite a los usuarios realizar operaciones de escritura a través de cuadernos de Spark, el explorador de archivos oneLake o las API de OneLake. No se admiten las operaciones de escritura a través de la interfaz de usuario de Lakehouse para usuarios con permiso de visualización.

Creación de un rol

Siga estos pasos para crear un rol de seguridad de OneLake.

1. Abra el elemento Fabric en el que desea definir la seguridad.

2. Seleccione Administrar seguridad de OneLake (versión preliminar) en el menú del elemento.

3. En el panel Seguridad de OneLake (versión preliminar), seleccione Nuevo.

4. Proporcione un nombre para el nuevo rol que cumpla las instrucciones siguientes:

   • El nombre del rol solo puede contener caracteres alfanuméricos.
   • El nombre del rol debe comenzar con una letra.
   • Los nombres no distinguen mayúsculas de minúsculas y deben ser únicos.
   • La longitud máxima del nombre es de 128 caracteres.

5. Seleccione Concesión como el tipo de rol.

6. Elija los permisos que desea conceder. Lectura se selecciona como mínimo y, opcionalmente, puede elegir ReadWrite.

7. Si desea que este rol se aplique a todas las tablas y archivos de esta instancia de Lakehouse, seleccione el botón de alternancia Todos los datos .

   Esta selección también proporciona acceso a las carpetas que se agregan en el futuro.

8. Si desea que este rol se aplique solo a un grupo seleccionado de tablas y carpetas, seleccione el botón de alternancia Datos seleccionados . A continuación, siga estos pasos para definir los datos aprobados para este rol.

   1. Seleccione Examinar Lakehouse o el equivalente para el elemento con el cual está trabajando.

      

   2. Expanda los directorios Tablas y archivos para ver los datos de lakehouse.

   3. Active las casillas situadas junto a las tablas y los archivos a los que desea que se aplique el rol.

   4. Seleccione Agregar datos para agregar los elementos seleccionados al rol.

9. Use el cuadro de texto Agregar miembros al rol para escribir manualmente los nombres o direcciones de correo electrónico de los usuarios que desea incluir en el rol. O bien, seleccione Configuración avanzada y siga las instrucciones de Asignación de miembros virtuales.

   Para agregar miembros manualmente:

   1. Escriba el nombre o la dirección de correo electrónico de un usuario.
   2. Seleccione el nombre correcto en la lista sugerida.
   3. Seleccione el icono de verificación para confirmar la selección o el icono X para borrar la selección.

10. Revise los resúmenes del rol de versión preliminar .

    1. Para editar la vista previa de datos, seleccione Examinar Lakehouse y actualice las tablas y carpetas seleccionadas.
    2. Para quitar un usuario de la versión preliminar de los miembros, seleccione más opciones (...) junto a su nombre y, a continuación, Quitar del rol.

11. Seleccione Crear rol y espere a la notificación de que el rol se publicó correctamente.

Edición de un rol

Siga estos pasos para editar un rol de seguridad de OneLake existente.

1. Abra el elemento en el que desea definir la seguridad.

2. Seleccione Administrar seguridad de OneLake (versión preliminar) en el menú del elemento.

3. En el panel Seguridad de OneLake (versión preliminar), seleccione el rol que desea editar.

   Esta acción abre la página de detalles del rol, que incluye dos pestañas: Datos en rol y Miembros en rol.

4. Revise la información de la pestaña Datos en rol :

   En esta pestaña se muestran todos los datos a los que pueden acceder los miembros del rol.

   El nombre del rol indica qué rol estás viendo. Para editar el nombre del rol, seleccione la lista desplegable Editar en la esquina superior derecha, seleccione Actualizar nombre del rol, escriba un nuevo nombre y, a continuación, confirme con la marca de verificación. Para descartar los cambios, seleccione la X.

   El elemento Permisos de la parte superior indica qué permisos concede el rol actualmente. Para cambiar los permisos de rol, seleccione la lista desplegable Editar en la esquina superior derecha, seleccione Editar permisos de rol, edite los permisos seleccionados con la lista desplegable y, a continuación, confirme con la marca de verificación. Para descartar los cambios, seleccione la X.

   La columna Datos muestra el nombre de las tablas o carpetas que forman parte del acceso al rol. Puede expandir y contraer esquemas para ver los elementos debajo. Mantenga el puntero sobre una entrada para ver la ruta de acceso completa de la tabla o carpeta. Mantenga el puntero sobre ... para ver las opciones para configurar la seguridad de nivel de fila o la seguridad de nivel de columna. Las guías de seguridad de nivel de fila y de nivel de columna proporcionan más información sobre cómo funciona.

   La columna Tipo indica el tipo de elemento seleccionado. Los valores son: Schema, Table o Folder.

   La columna Acceso a datos indica si se aplican restricciones de nivel de fila o columna al elemento. Un icono con líneas de bloqueo y horizontales indica que se aplica seguridad de nivel de fila, mientras que se aplica un icono con líneas verticales y bloqueos indica que se aplica la seguridad de nivel de columna.

5. Para editar los datos incluidos en el rol, seleccione Agregar datos.

   Esta acción abre el cuadro de diálogo de selección de tablas y carpetas.

6. Active y desactive las tablas o carpetas para agregarlas o quitarlas del rol.

7. Seleccione Agregar datos para confirmar las selecciones.

8. Seleccione la pestaña Miembros en rol para ver los miembros del rol.

   La columna Miembros muestra la imagen de perfil y el nombre del miembro.

   La columna Tipo indica si el miembro es un usuario o grupo.

   La columna Agregado mediante indica si un usuario se agregó a través de su correo electrónico como miembro del rol o se incluyó como parte de un grupo de permisos de Lakehouse. Para obtener más información sobre cómo agregar usuarios mediante permisos de elemento, consulte Asignación de miembros virtuales.

9. Para editar los miembros del rol, seleccione Agregar miembros.

10. Para agregar miembros manualmente, escriba un nombre o un correo electrónico en el cuadro de texto Agregar miembros al rol . Seleccione el nombre correcto en la lista sugerida. A continuación, seleccione el icono de verificación para confirmar la selección o seleccione el icono X para borrar la selección.

11. Para quitar usuarios del rol, seleccione más opciones (...) junto a su nombre y seleccione Quitar del rol.

Al realizar cambios en la pertenencia a roles, el rol se actualiza inmediatamente. Una notificación indica el éxito o el error de los cambios.

Eliminación de un rol

Siga estos pasos para eliminar un rol de acceso a datos de OneLake.

1. Abra el lago donde desea definir la seguridad.

2. Seleccione Administrar seguridad de OneLake (versión preliminar) en el menú de Lakehouse.

3. En el panel Seguridad de OneLake (versión preliminar), active la casilla situada junto a los roles que desea eliminar.

4. Seleccione Eliminar y espere a la notificación de que los roles se han eliminado correctamente.

Asignar un miembro o grupo

El rol de seguridad OneLake admite dos métodos para agregar usuarios a un rol. El método principal consiste en agregar usuarios o grupos directamente a un rol mediante el cuadro Agregar personas o grupos en la página Asignar rol . La segunda consiste en crear pertenencias virtuales con grupos de permisos mediante el control de configuración avanzada .

Agregar usuarios directamente a un rol agrega los usuarios como miembros explícitos del rol. Estos usuarios se muestran con su nombre y la imagen que se muestran en la lista Miembros .

Los miembros virtuales permiten ajustar dinámicamente la pertenencia del rol en función de los permisos de elemento de Fabric de los usuarios. Al seleccionar Configuración avanzada y seleccionar un permiso, agregue cualquier usuario en el área de trabajo tejido que tenga todos los permisos seleccionados como miembro implícito del rol. Por ejemplo, si eligió ReadAll, Escribir , cualquier usuario del área de trabajo de Fabric que tenga permisos ReadAll y Write en el elemento se incluiría como miembro del rol. Puede ver qué usuarios están agregando un grupo de permisos examinando la columna Agregado mediante la pestaña Miembros en el rol . Estos miembros no se pueden quitar manualmente directamente. Para quitar un miembro que se agregó a través de un grupo de permisos, quite el grupo de permisos del rol.

Independientemente del tipo de pertenencia que use, los roles de seguridad de OneLake admiten la adición de usuarios individuales, grupos de Microsoft Entra y entidades de seguridad.

Asignación de miembros virtuales

Los permisos que se pueden usar para los miembros virtuales son:

• Read
• Escribir
• Compartir
• Execute
• ReadAll

Para asignar usuarios con grupos de permisos, siga estos pasos:

1. Seleccione el nombre del rol al que desea asignar miembros.

2. En la página de detalles del rol, seleccione la pestaña Miembros en el rol .

3. Seleccione Agregar miembros.

4. Seleccione Configuración avanzada.

   

5. En el cuadro Grupos de permisos , active la casilla situada junto a cada permiso para el que quiera incluir usuarios.

   Cada grupo de permisos muestra un recuento del número de usuarios que se incluyen en ese grupo.

   Al seleccionar varios grupos de permisos se incluyen usuarios con todos los permisos necesarios seleccionados.

6. Seleccione Agregar para incluir los grupos y guardar el rol.

Contenido relacionado

• Información general sobre la seguridad de Fabric
• Introducción a la seguridad de Fabric y OneLake
• Modelo de control de acceso a datos