Compartilhar via

Proteja dados com o Fabric, mecanismos de computação e OneLake

  • Artigo

O Fabric oferece um modelo de segurança de várias camadas que fornece simplicidade e flexibilidade no gerenciamento do acesso a dados. A segurança pode ser definida para um espaço de trabalho inteiro, para itens individuais ou por meio de permissões granulares em cada mecanismo do Fabric.

As permissões de mecanismo granular permitem a definição do controle de acesso refinado, como segurança em nível de tabela, coluna e linha. Essas permissões granulares se aplicam a consultas executadas nesse mecanismo. Diferentes mecanismos oferecem suporte a diferentes tipos de segurança granular, permitindo que cada mecanismo seja adaptado especificamente para seus usuários-alvo.

Diagrama mostrando diferentes camadas de segurança no Fabric, em mecanismos de computação e no OneLake.

Segurança de dados do Fabric

O Fabric controla o acesso a dados usando espaços de trabalho e itens. Os dados aparecem na forma de itens do Fabric nos espaços de trabalho. Os usuários não podem visualizar ou usar os dados nos itens a menos que você conceda a eles acesso ao espaço de trabalho.

As permissões de espaço de trabalho permitem acesso a todos os itens em um espaço de trabalho. Por outro lado, as permissões de item do Fabric autorizam a permissão de acesso a itens específicos, como lakehouses, depósitos ou relatórios. Os administradores podem determinar com qual item do Fabric o usuário pode interagir. Por exemplo, limitar o acesso aos dados por meio do ponto de extremidade de análise do SQL, ao mesmo tempo em que fornece acesso aos mesmos dados por meio do Lakehouse ou da API do OneLake diretamente.

Saiba mais sobre como controlar o acesso a dados usando as permissões de Espaço de Trabalho e de Item do Fabric em Segurança no Microsoft.

Segurança de dados específica do mecanismo

Muitos mecanismos do Fabric permitem a definição do controle de acesso refinado, como segurança em nível de tabela, coluna e linha. Alguns mecanismos de computação no Fabric têm seus próprios modelos de segurança. Por exemplo, o Fabric Warehouse permite que os usuários definam o acesso usando instruções T-SQL. A segurança específica da computação é sempre imposta ao acessar os dados usando esse mecanismo. A segurança do mecanismo de computação pode não se aplicar a usuários em determinadas funções do Fabric quando eles acessam o OneLake diretamente.

Saiba mais sobre a segurança de dados granulares específica do mecanismo:

Funções de acesso a dados do OneLake (Visualização)

As funções de acesso a dados do OneLake (Visualização) permitem que os usuário criem funções personalizadas em um lakehouse para conceder permissões de leitura apenas às pastas especificadas ao acessar o OneLake. Os usuários podem atribuir usuários, grupos de segurança ou conceder uma atribuição automática com base na função de espaço de trabalho para cada função do OneLake.

Diagrama mostrando a estrutura de um data lake conectando-se a contêineres protegidos separadamente.

Saiba mais sobre o Modelo de controle de acesso a dados do OneLake e a Introdução ao acesso a dados.

Segurança de atalho

Os atalhos no Microsoft Fabric permitem o gerenciamento simplificado de dados. A segurança da pasta do OneLake se aplica aos atalhos do OneLake com base nas funções definidas no lakehouse no qual os dados são armazenados.

Para obter mais informações sobre as considerações de segurança dos atalhos, confira Modelo de controle de acesso do OneLake. Encontre mais informações sobre atalhos aqui.

Autenticação

O OneLake usa o Microsoft Entra ID para autenticação. Você pode usá-lo para conceder permissões a identidades de usuário e entidades de serviço. O OneLake extrai automaticamente a identidade do usuário das ferramentas, que usam a autenticação do Microsoft Entra e a mapeia para as permissões definidas no portal do Fabric.

Observação

Para usar entidades de serviço em um locatário do Fabric, um administrador de locatários deve habilitar Nomes de Entidade de Serviço (SPNs) para todo o locatário ou grupos de segurança específicos. Saiba mais sobre como habilitar as Entidades de serviço nas Configurações do desenvolvedor do portal de administrador de locatários

Dados inativos

Os dados armazenados no OneLake são criptografados em repouso por padrão usando a chave gerenciada pela Microsoft. As chaves gerenciadas pela Microsoft são giradas adequadamente. Os dados OneLake são criptografados e descriptografados de maneira transparente e estão em conformidade com o FIPS 140-2.

Atualmente, não há suporte para criptografia em repouso usando a chave gerenciada pelo cliente. Você pode enviar uma solicitação para esse recurso no Microsoft Fabric Ideas.

Dados em trânsito

Os dados em trânsito na Internet pública entre os serviços Microsoft sempre são criptografados ao menos com TLS 1.2. O Fabric negocia com o TLS 1.3 sempre que possível. O tráfego entre os serviços Microsoft sempre é roteado pela rede global da Microsoft.

A comunicação de entrada do OneLake também impõe o TLS 1.2 e negocia para o TLS 1.3, sempre que possível. A comunicação de saída do Fabric para a infraestrutura de propriedade do cliente prefere protocolos seguros, mas pode retornar para protocolos mais antigos e inseguros (incluindo TLS 1.0) quando não houver compatibilidade com protocolos mais recentes.

Atualmente, o Fabric não oferece suporte ao acesso de link privado aos dados do OneLake por meio de produtos que não sejam do Fabric e do Apache Spark.

Permitir que aplicativos em execução fora do Fabric acessem dados por meio do OneLake

O OneLake fornece a capacidade de restringir o acesso a dados de aplicativos em execução fora dos ambientes do Fabric. Os administradores podem encontrar a configuração na seção OneLake do portal de administrador de locatários. Quando você ativa esse comutador, os usuários podem acessar dados por meio de todas as fontes. Quando você desativa o desativamento, os usuários não podem acessar dados por meio de aplicativos em execução fora dos ambientes do Fabric. Por exemplo, os usuários podem acessar dados por meio de aplicativos como o Azure Databricks, aplicativos personalizados usando APIs do Azure Data Lake Storage (ADLS) ou o Gerenciador de Arquivos Do OneLake.

Conteúdo relacionado