Compartilhar via

Proteger o Fabric Data Warehouse

Aplica-se a:✅ Warehouse no Microsoft Fabric

O Fabric Data Warehouse fornece uma solução de data warehouse empresarial, gerenciada totalmente e totalmente integrada no Microsoft Fabric. No entanto, ao armazenar dados confidenciais e comercialmente críticos, você deve tomar medidas para maximizar a segurança de seus armazéns e os dados armazenados neles.

Este artigo fornece diretrizes sobre como proteger melhor seu armazém no Microsoft Fabric.

Modelo de acesso ao warehouse

As permissões do Microsoft Fabric e as permissões de SQL granulares funcionam em conjunto para controlar o acesso ao armazém e as permissões do usuário uma vez conectadas.

  • A conectividade do warehouse depende da concessão da permissão de Leitura do Microsoft Fabric, no mínimo, para o Warehouse.
  • As permissões de item do Microsoft Fabric permitem fornecer permissões SQL a um usuário, sem a necessidade de conceder essas permissões no SQL.
  • As funções de workspace do Microsoft Fabric fornecem permissões do Microsoft Fabric para todos os warehouses em um workspace.
  • As permissões de usuário granulares podem ser gerenciadas ainda mais por meio do T-SQL.

Funções de workspace

As funções de workspace são usadas para colaboração em equipe de desenvolvimento em um workspace. A atribuição de função determina as ações disponíveis para o usuário e se aplica a todos os itens dentro do workspace.

Para obter detalhes sobre os recursos específicos do Warehouse fornecidos por meio de funções de workspace, consulte as funções de workspace no Fabric Data Warehouse.

Permissões de item

Ao contrário das funções de workspace, que se aplicam a todos os itens em um workspace, as permissões de item podem ser atribuídas diretamente a armazéns individuais.

Sempre siga a entidade de segurança de privilégios mínimos ao conceder permissões e associações de função. Ao avaliar as permissões a serem atribuídas a um usuário, considere as seguintes diretrizes:

  • Se eles exigirem principalmente acesso somente leitura, atribua-os à função Visualizador e conceda acesso de leitura em objetos específicos por meio do T-SQL. Para obter mais informações, consulte Gerenciar permissões granulares do SQL.
  • Somente os membros da equipe que estão colaborando na solução devem ser atribuídos às funções de workspace Administrador, Membro e Colaborador, pois fornecem acesso a todos os itens dentro do workspace.
  • Se forem usuários com privilégios mais altos, atribua-os às funções Administração, Membro ou Colaborador. A função apropriada depende das outras ações que elas precisam executar.
  • Outros usuários, que só precisam de acesso a um warehouse individual ou exigem acesso apenas a objetos SQL específicos, devem receber permissões de Item de Malha e conceder acesso por meio de SQL aos objetos específicos.
  • Você também pode gerenciar permissões em grupos de ID do Microsoft Entra, em vez de adicionar cada membro específico. Para obter mais informações, confira Autenticação do Microsoft Entra como uma alternativa para a autenticação SQL no Microsoft Fabric.
  • Audite a atividade do usuário em seu armazém com logs de auditoria do usuário.

Para obter mais informações sobre compartilhamento, consulte Compartilhar seu dados e gerenciar permissões.

Segurança granular

As funções de workspace e as permissões de item fornecem uma maneira fácil de atribuir permissões grosseiras a um usuário para todo o warehouse. No entanto, em alguns casos, permissões mais granulares são necessárias para um usuário. Para fazer isso, constructos T-SQL padrão podem ser usados para fornecer permissões específicas aos usuários.

O armazenamento de dados do Microsoft Fabric dá suporte a várias tecnologias de proteção de dados que os administradores podem usar para proteger dados confidenciais contra acesso não autorizado. Ao proteger ou ofuscar dados de usuários ou funções não autorizadas, esses recursos de segurança podem fornecer proteção de dados em um ponto de extremidade do SQL e o Warehouse sem alterações no aplicativo.

Segurança em nível de objeto

A segurança em nível de objeto é um mecanismo de segurança que controla o acesso a objetos de banco de dados específicos, como tabelas, exibições ou procedimentos, com base em privilégios ou funções do usuário. Ele garante que os usuários ou funções só possam interagir e manipular os objetos para os quais receberam permissões, protegendo a integridade e a confidencialidade do esquema de banco de dados e seus recursos associados.

Para obter detalhes sobre o gerenciamento de permissões granulares no SQL, consulte as permissões granulares do SQL no Microsoft Fabric.

Segurança em nível de linha

A segurança em nível de linha é um recurso de segurança de banco de dados que restringe o acesso a linhas ou registros individuais em uma tabela de banco de dados com base em critérios especificados, como funções de usuário ou atributos. Ele garante que os usuários só possam visualizar ou manipular dados que estejam explicitamente autorizados para seu acesso, melhorando a privacidade e o controle dos dados.

Para obter detalhes sobre segurança em nível de linha, consulte segurança em nível de linha no armazenamento de dados do Fabric.

Segurança ao nível da coluna

A segurança em nível de coluna é uma medida de segurança de banco de dados que limita o acesso a colunas ou campos específicos dentro de uma tabela de banco de dados, permitindo que os usuários vejam e interajam apenas com as colunas autorizadas enquanto ocultam informações confidenciais ou restritas. Ele oferece controle refinado sobre o acesso a dados, protegendo dados confidenciais em um banco de dados.

Para obter detalhes sobre segurança em nível de coluna, consulte Segurança em nível de coluna no armazenamento de dados do Fabric.

Mascaramento de dados dinâmicos

O mascaramento de dados dinâmicos ajuda a impedir a exibição não autorizada de dados confidenciais, permitindo que os administradores especifiquem a quantidade de dados confidenciais a serem revelados, com efeito mínimo na camada do aplicativo. O mascaramento de dados dinâmico pode ser configurado em campos de banco de dados designados para ocultar dados confidenciais nos conjuntos de resultados de consultas. Com o mascaramento de dados dinâmico, os dados no banco de dados não são alterados, portanto, podem ser usados com aplicativos existentes, uma vez que as regras de mascaramento são aplicadas aos resultados da consulta. Muitos aplicativos podem mascarar dados confidenciais sem modificar consultas existentes.

Para obter detalhes sobre mascaramento de dados dinâmicos, consulte Mascaramento de dados dinâmicos no armazenamento de dados do Fabric.

Logs de auditoria do usuário

Para acompanhar a atividade do usuário no warehouse e ponto de extremidade de análise do SQL, a fim de atender aos requisitos de conformidade regulatória e gerenciamento de registros, um conjunto de atividades de auditoria pode ser acessado por meio do Microsoft Purview e do PowerShell.

Segurança de endpoint de analítica SQL

Para obter mais informações sobre segurança no ponto de extremidade de análise de SQL, consulte a segurança do OneLake para pontos de extremidade de análise de SQL.

Criptografia de CMK (chave gerenciada pelo cliente)

Você pode aprimorar sua postura de segurança usando CMK (chaves gerenciadas pelo cliente), fornecendo controle direto sobre as chaves de criptografia que protegem seus dados e metadados. Quando você habilita o CMK para um workspace que contém um Fabric Data Warehouse, os dados do OneLake e os metadados do data warehouse são protegidos usando suas chaves de criptografia que estão hospedadas no Azure Key Vault. Para obter mais informações, consulte a Criptografia de Dados no Fabric Data Warehouse.

Conteúdo relacionado

  • Last updated on