Compartilhar via

Introdução às funções de acesso a dados do OneLake (visualização)

  • Artigo

Visão geral

As funções de acesso a dados do OneLake para pastas são um novo recurso que permite aplicar o RBAC (Controle de acesso baseado em função) aos dados armazenados no OneLake. Você pode definir direitos de acesso que concedem acesso de leitura a pastas específicas em um item do Fabric e atribuí-las a usuários ou grupos. As permissões de acesso determinam quais pastas os usuários veem ao acessar a exibição do Lake dos dados, por meio da UX do lakehouse, notebooks ou APIs do OneLake.

Os usuários do Fabric com função de Administrador, Membro ou Colaborador podem começar criando funções de acesso a dados do OneLake para permitir acesso apenas a pastas específicas em um lakehouse. Adicione usuários a uma função de acesso a dados para permitir acesso a dados em um lakehouse. Os usuários que não fazem parte de uma função de acesso a dados não veem dados nesse lakehouse.

Observação

A segurança da função de acesso a dados se aplica SOMENTE aos usuários que acessam o OneLake diretamente. Os itens do Fabric, como o ponto de extremidade SQL, modelos semânticos e depósitos têm seus próprios modelos de segurança e acessam o OneLake por meio de uma identidade delegada. Isso significa que os usuários podem ver itens diferentes em cada carga de trabalho se receberem acesso a vários itens.

Como aceitar

Todos os lakehouses no Fabric tem o recurso de visualização das funções de acesso aos dados desabilitado por padrão. O recurso de visualização é configurado por lakehouse. O controle de aceitação permite que um único lakehouse tente fazer a visualização sem habilitá-lo ou habilitar outros lakehouses ou itens do Fabric.

Você deve ser um Administrador, Membro ou Colaborador no espaço de trabalho para habilitar a visualização. Navegue até um lakehouse e clique no botão Gerenciar o acesso a dados do OneLake (visualização) na faixa de opções para abrir a caixa de diálogo de confirmação. A visualização de funções de acesso a dados não é compatível com a visualização de compartilhamento de dados externos. Se você concordar com a alteração, clique em Continuar. A UX de gerenciamento de funções é aberta e o recurso agora está habilitado.

O recurso de visualização não pode ser desligado depois de habilitado.

Para garantir uma experiência de aceitação suave, todos os usuários com permissão de leitura aos dados no lakehouse continuam a ter acesso de leitura. A migração de acesso é feita por meio da criação de uma função de acesso a dados padrão, chamada “DefaultReader”. Usando associações de função virtualizada, todos os usuários com as permissões necessárias para visualizar os dados no lakehouse (a permissão ReadAll) estarão incluídos como membros nesta função padrão. Para começar a restringir o acesso a esses usuários, a função DefaultReader deve ser excluída ou a permissão ReadAll deve ser removida dos usuários com acesso.

Importante

Verifique se todos os usuários incluídos na função de acesso a dados também não fazem parte da função DefaultReader. Caso contrário, eles manterão acesso completo aos dados.

Que tipos de dados podem ser protegidos?

As funções de acesso a dados do OneLake podem ser usadas para gerenciar o acesso de leitura do OneLake a pastas em um lakehouse. O acesso de leitura pode ser concedido a qualquer pasta em um lakehouse. O estado padrão é não ter acesso a uma pasta. A segurança definida pelas funções de acesso a dados se aplica exclusivamente ao acesso ao OneLake ou a APIs específicas do OneLake. Para obter mais informações, confira o modelo de controle de acesso a dados.

Pré-requisitos

Você deve ser um Administrador, Membro ou Colaborador do espaço de trabalho para configurar a segurança de um lakehouse. A criação de função e a atribuição de associação entram em vigor assim que a função é salva, portanto, conceda o acesso antes de adicionar uma pessoa à uma função.

As funções de acesso a dados do OneLake só tem suporte para itens do lakehouse.

Criar uma função

  1. Abra o lakehouse no qual você deseja definir a segurança.
  2. No lado direito da faixa de opções do lakehouse, selecione Gerenciar o acesso a dados do OneLake (visualização).
  3. No canto superior esquerdo do painel Gerenciar o acesso a dados do OneLake, selecione Nova Função e digite o nome da função desejada. O nome da função tem algumas restrições:
    1. O nome da função pode conter somente caracteres alfanuméricos.
    2. O nome da função deve começar com uma letra.
    3. Os nomes devem ser exclusivos e não diferenciam maiúsculas de minúsculas.
    4. O tamanho máximo do nome é de 128 caracteres.
  4. Selecione a alternância Todas as pastas se quiser que essa função seja aplicada a todas as pastas neste lakehouse.
    1. Essa seleção inclui todas as pastas que forem adicionadas no futuro.
  5. Selecione as Pastas selecionadas se quiser que essa função se aplique apenas às pastas selecionadas.
    1. Marque as caixas ao lado das pastas às quais você deseja que a função seja aplicada.
    2. Funções permitem acesso a pastas. Marque a caixa ao lado de uma pasta para permitir que um usuário a acesse. Se um usuário não visualizar uma pasta, não marque a caixa.
    3. Clique em Salvar na parte inferior esquerda para criar a função.
  6. No canto superior esquerdo, clique em Atribuir função para abrir o painel de associação de função.
  7. Adicione pessoas, grupos ou endereços de e-mail ao controle Adicionar pessoas ou grupos. Para obter mais informações, confira Atribuir um membro ou grupo.
  8. Clique em Adicionar para mover sua seleção para a lista Pessoas e grupos atribuídos. Clicar em Adicionar não salva automaticamente sua seleção.
  9. Clique em Salvar e aguarde a notificação de que as funções foram publicadas com êxito.
  10. Clique no X no canto superior direito do painel para fechá-lo.

Editar uma função

  1. Abra o lakehouse no qual você deseja definir a segurança.
  2. No lado direito da faixa de opções do lakehouse, selecione Gerenciar o acesso a dados do OneLake (visualização).
  3. No painel Gerenciar o acesso a dados do OneLake, passe o mouse sobre a função que deseja editar e selecione-a.
  4. Você pode alterar quais pastas estão recebendo acesso marcando ou desmarcando as caixas de seleção ao lado de cada pasta.
  5. Para alterar as pessoas, selecione Atribuir função. Para obter mais informações, confira Atribuir um membro ou grupo.
  6. Para adicionar mais pessoas, digite os nomes na caixa Adicionar pessoas ou grupos e selecione Adicionar.
  7. Para remover pessoas, selecione o nome em Pessoas e grupos atribuídos e selecione Remover.
  8. Clique em Salvar e aguarde a notificação de que as funções foram publicadas com êxito.
  9. Clique no X no canto superior direito do painel para fechá-lo.

Excluir uma função

  1. Abra o lakehouse no qual você deseja definir a segurança.
  2. No lado direito da faixa de opções do lakehouse, selecione Gerenciar o acesso a dados do OneLake (visualização).
  3. No painel Gerenciar o acesso a dados do OneLake, marque a caixa ao lado das funções que você deseja excluir.
  4. Clique em Excluir e aguarde a notificação de que as funções foram excluídas com êxito.
  5. Clique no X no canto superior direito do painel para fechá-lo.

Atribuir um membro ou grupo

As funções de acesso a dados do OneLake oferecem suporte a dois métodos diferentes de adição de usuários a uma função. O método principal é adicionar usuários ou grupos diretamente a uma função usando a caixa Adicionar pessoas ou grupo na página Atribuir função. A segunda é usar associações virtuais com o controle Adicionar automaticamente usuários com todas essas permissões.

Adicionar usuários diretamente a uma função com a caixa Adicionar pessoas ou grupo adiciona os usuários como membros explícitos da função. Esses usuários aparecem apenas com seu nome e imagem exibidos na lista Pessoas e grupos atribuídos.

Os membros virtuais permitem que a associação da função seja ajustada dinamicamente com base nas permissões de item do Fabric dos usuários. Ao selecionar a caixa Adicionar automaticamente usuários com todas essas permissões e selecionar uma permissão, você está adicionando qualquer usuário no espaço de trabalho do Fabric que tenha todas as permissões selecionadas como membro implícito da função. Por exemplo, se você escolher ReadAll, Write, qualquer usuário do espaço de trabalho do Fabric que tenha as permissões ReadAll E Write no lakehouse será incluído como membro da função. Você pode ver quais usuários estão sendo adicionados como membros virtuais procurando por "Atribuído por permissões de espaço de trabalho" sob o nome do usuário na lista Pessoas e grupos atribuídos. Esses membros não podem ser removidos manualmente e precisam ter sua permissão do Fabric correspondente revogada para não serem atribuídos.

Independentemente do tipo de associação, as funções de acesso a dados oferecem suporte à adição de usuários individuais, grupos do Microsoft Entra e entidades de segurança.

Atribuir membros

Há duas maneiras de acessar a página de atribuição de membros:

Método 1

  1. Selecione o nome da função à qual você deseja atribuir membros.
  2. Na parte superior da página de detalhes da função, selecione Atribuir função.

Método 2

  1. Na lista de funções, marque a caixa de seleção ao lado da função à qual você deseja atribuir membros.
  2. Selecione Atribuir.

Atribuir usuários diretamente

Na página Atribuir função, é possível adicionar membros ou grupos digitando o nome ou endereço de e-mail na caixa Adicionar pessoas ou grupos. Selecione o resultado desejado para selecionar o usuário. Você pode repetir essa etapa para quantos usuários desejar. Caso tenha selecionado os usuários errados, você pode clicar no X ao lado da entrada para removê-los da caixa ou clicar em Limpar para remover todas as entradas. Quando terminar, clique em Adicionar para mover os usuários selecionados para a lista de acesso. Adicioná-los à lista não resulta em salvamento. É uma visualização da lista de associação de função depois que esses usuários são adicionados.

Para publicar as alterações de acesso, clique em Salvar alterações na parte inferior do painel.

Atribuir membros virtuais

Para adicionar membros virtuais, use a caixa Adicionar automaticamente usuários com todas essas permissões. Marque a caixa para abrir o seletor suspenso e escolher as permissões do Fabric a serem virtualizadas. Os usuários serão virtualizados se tiverem todas as permissões marcadas.

As permissões que podem ser usadas para virtualização são:

  • Leitura
  • Gravar
  • Compartilhar novamente
  • Executar
  • ReadAll
  • ViewOutput
  • ViewLogs

Quando uma permissão é selecionada, todos os membros virtualizados são exibidos na lista Pessoas e grupos atribuídos. Os usuários terão texto ao lado de seu nome indicando que foram atribuídos pelas permissões do espaço de trabalho. Esses usuários não podem ser removidos manualmente da atribuição de função. Em vez disso, é necessário remover as permissões correspondentes do controle de virtualização ou removera permissão do Fabric.

Problemas conhecidos

O recurso de visualização de compartilhamento de dados externos (vinculação) não é compatível com a visualização das funções de acesso a dados. Ao habilitar a visualização de funções de acesso a dados em um lakehouse, qualquer compartilhamento de dados externos existente será interrompido.

Conteúdo relacionado