Cómo proteger un almacén de lago para equipos de ciencia de datos
Introducción
En este artículo, se proporcionará información general sobre cómo configurar la seguridad de un almacén de lago en Fabric para su uso con equipos y cargas de trabajo de ciencia de datos.
Características de seguridad
Microsoft Fabric usa un modelo de seguridad de varias capas con distintos controles disponibles en distintos niveles para proporcionar solo los permisos mínimos necesarios. Para más información sobre las distintas características de seguridad disponibles en Fabric, vea este documento.
Protección por caso de uso
La seguridad de Microsoft Fabric está optimizada en torno a la protección de datos para casos de uso específicos. Un caso de uso es un conjunto de usuarios que necesitan acceso específico y que acceden a los datos mediante un motor determinado. En escenarios de ciencia de datos, algunos casos de uso de ejemplo son los siguientes:
- Escritores de Apache Spark: usuarios que necesitan escribir datos en un almacén de lago mediante cuadernos de Apache Spark.
- Lectores de Apache Spark: usuarios que necesitan leer datos mediante cuadernos de Apache Spark.
- Lectores de canalización: usuarios que necesitan leer datos de un almacén de lago mediante canalizaciones.
- Creadores de accesos directos: usuarios que necesitan crear accesos directos a los datos de un almacén de lago.
Después, se puede alinear cada caso de uso con los permisos necesarios en Fabric.
Acceso de escritura
Para los usuarios que necesitan escribir datos en Fabric, el acceso se controla mediante los roles de área de trabajo de Fabric. Hay tres roles de área de trabajo que conceden permisos de escritura: Administrador, Miembro y Colaborador. Elija el rol necesario y conceda a los usuarios acceso a ese rol.
Los usuarios con acceso de escritura no están restringidos por los roles de acceso a datos de OneLake (versión preliminar). Los usuarios de escritura pueden tener su acceso restringido a los datos mediante los datos del punto de conexión de SQL Analytics, pero conservar el acceso total a los datos de OneLake. Para restringir el acceso a los datos de los usuarios de escritura, es necesario crear un área de trabajo independiente para esos datos.
acceso de lectura
Para los usuarios que necesitan leer datos mediante canalizaciones o cuadernos de Apache Spark, los permisos se rigen por los permisos de elemento de Fabric junto con los roles de acceso a datos de OneLake (versión preliminar). Los permisos de elemento de Fabric rigen qué elementos puede ver un usuario y cómo puede acceder a ese elemento. Los roles de acceso a datos de OneLake rigen los datos a los que el usuario puede acceder mediante experiencias que se conectan a OneLake. En el caso de almacenes de lago sin la versión preliminar de los roles de acceso a datos de OneLake habilitada, el acceso se rige por el permiso de elemento ReadAll y se concede acceso a los datos de OneLake para todo el almacén de lago.
Para leer los datos, un usuario primero necesita acceso al almacén de lago donde residen esos datos. Para conceder acceso a un almacén de lago, seleccione el botón Compartir de un almacén de lago desde la página del área de trabajo o desde la interfaz de usuario del almacén de lago. Escriba las direcciones de correo electrónico o el grupo de seguridad para esos usuarios y seleccione Compartir. (Deje desactivadas las casillas Permisos adicionales. Para los almacenes de lago sin la versión preliminar de los roles de acceso a datos de OneLake habilitada, active la casilla Leer todos los datos de OneLake (ReadAll)).
A continuación, vaya al almacén de lago y seleccione el botón Administrar acceso a datos de OneLake (versión preliminar). Con estas opciones, puede crear roles que concedan a los usuarios acceso para ver y leer desde carpetas específicas en el almacén de lago. El acceso a carpetas no se permite de manera predeterminada. A los usuarios que se agregan a un rol se les concede acceso a las carpetas cubiertas por ese rol. Para más información, vea Roles de acceso a datos de OneLake (versión preliminar). Cree roles según sea necesario para conceder a los usuarios acceso para leer las carpetas mediante canalizaciones, accesos directos o cuadernos de Spark.
Importante
Todos los almacenes de lago que usan la versión preliminar de los roles de acceso a datos de OneLake tienen un rol DefaultReader que concede acceso a los datos del almacén de lago. Si un usuario tiene el permiso ReadAll, no estará restringido por otros roles de acceso a datos. Asegúrese de que los usuarios que se incluyen en un rol de acceso a datos no forman parte del rol DefaultReader, o bien quite el rol DefaultReader.
Uso con accesos directos
Los accesos directos son una característica de OneLake que permite hacer referencia a los datos desde una ubicación sin copiarlos físicamente. Para más información sobre los accesos directos, vea este documento.
Puede proteger los datos para usarlos con accesos directos como cualquier otra carpeta de OneLake. Después de configurar los roles de acceso a datos, los usuarios de otros almacenes de lago solo podrán crear accesos directos a carpetas a las que tienen acceso. Esto se puede usar para conceder a los usuarios acceso a otras áreas de trabajo para seleccionar solo los datos de un almacén de lago.
Importante
El punto de conexión de SQL Analytics usa una identidad fija para acceder a los accesos directos. Cuando un usuario consulta una tabla de acceso directo mediante el punto de conexión de SQL Analytics, se comprueba la identidad del propietario del almacén de lago para acceder al acceso directo. Esto significa que al crear accesos directos para su uso con consultas SQL, el creador del almacén de lago también debe formar parte de cualquier rol de acceso a datos de OneLake que restrinja el acceso solo a carpetas seleccionadas.