Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Aplica-se a:✅ Armazém no Microsoft Fabric
O Fabric Data Warehouse fornece uma solução de armazenamento de dados corporativos, gerenciada totalmente e totalmente integrada ao Microsoft Fabric. Ao armazenar dados confidenciais e críticos para os negócios, no entanto, você deve tomar medidas para maximizar a segurança de seus armazéns e dos dados armazenados neles.
Este artigo fornece orientação sobre como proteger melhor seu depósito no Microsoft Fabric.
Modelo de acesso ao armazém
As permissões do Microsoft Fabric e as permissões granulares do SQL trabalham juntas para controlar o acesso ao depósito e as permissões do usuário depois de conectados.
- A conectividade do Warehouse depende da concessão do Microsoft Fabric permissão de Ler, no mínimo, para o Warehouse.
- As permissões de item do Microsoft Fabric permitem a capacidade de fornecer permissões SQL a um usuário, sem a necessidade de conceder essas permissões no SQL.
- As funções de espaço de trabalho do Microsoft Fabric fornecem permissões do Microsoft Fabric para todos os armazéns dentro de um espaço de trabalho.
- Permissões de usuário granulares podem ser gerenciadas via T-SQL.
Funções do espaço de trabalho
As funções de espaço de trabalho são usadas para colaboração da equipe de desenvolvimento dentro de um espaço de trabalho. A atribuição de função determina as ações disponíveis para o usuário e se aplica a todos os itens dentro do espaço de trabalho.
- Para obter uma visão geral das funções de espaço de trabalho do Microsoft Fabric, consulte Funções em espaços de trabalho no Microsoft Fabric.
- Para obter instruções sobre como atribuir funções de espaço de trabalho, consulte Conceder aos usuários acesso a espaços de trabalho.
Para obter detalhes sobre os recursos específicos do Warehouse fornecidos por meio de funções de espaço de trabalho, consulte Funções de espaço de trabalho no Fabric Data Warehouse.
Permissões de item
Ao contrário das funções de espaço de trabalho, que se aplicam a todos os itens dentro de um espaço de trabalho, as permissões de item podem ser atribuídas diretamente a armazéns individuais.
Sempre siga o princípio de menor privilégio ao conceder permissões e associações de função. Ao avaliar as permissões a serem atribuídas a um usuário, considere as seguintes orientações:
- Se eles exigirem principalmente acesso somente leitura, atribua-os à função Visualizador e conceda acesso de leitura em objetos específicos por meio do T-SQL. Para obter mais informações, consulte Gerenciar permissões granulares do SQL.
- Somente os membros da equipe que estão colaborando atualmente na solução devem ser atribuídos às funções de Administrador, Membro e Colaborador do espaço de trabalho, pois fornecem acesso a todos os itens dentro do espaço de trabalho.
- Se forem utilizadores com privilégios mais elevados, atribua-os às funções de Administrador, Membro ou Colaborador. A função apropriada depende das outras ações que eles precisam realizar.
- Outros usuários, que só precisam de acesso a um depósito individual ou precisam de acesso apenas a objetos SQL específicos, devem receber permissões de Item de Malha e acesso por meio de SQL aos objetos específicos.
- Você também pode gerenciar permissões em grupos de ID do Microsoft Entra, em vez de adicionar cada membro específico. Para obter mais informações, consulte Autenticação do Microsoft Entra como alternativa à autenticação SQL no Microsoft Fabric.
- Audite a atividade do usuário em seu depósito com logs de auditoria do usuário.
Para obter mais informações sobre compartilhamento, consulte Compartilhar seus dados e gerenciar permissões.
Segurança granular
As funções de espaço de trabalho e as permissões de item fornecem uma maneira fácil de atribuir permissões grosseiras a um usuário para todo o depósito. No entanto, em alguns casos, permissões mais granulares são necessárias para um usuário. Para conseguir isso, construções T-SQL padrão podem ser usadas para fornecer permissões específicas aos usuários.
O armazenamento de dados do Microsoft Fabric oferece suporte a várias tecnologias de proteção de dados que os administradores podem usar para proteger dados confidenciais contra acesso não autorizado. Ao proteger ou ofuscar dados de usuários ou funções não autorizados, esses recursos de segurança podem fornecer proteção de dados em um ponto de extremidade de análise SQL e Warehouse sem alterações no aplicativo.
- A segurança no nível do objeto controla o acesso a objetos de banco de dados específicos.
- A segurança em nível de coluna impede a visualização não autorizada de colunas em tabelas.
-
A segurança em nível de linha impede a visualização não autorizada de linhas em tabelas, usando predicados de filtro de cláusula familiares
WHERE. - O mascaramento dinâmico de dados impede a visualização não autorizada de dados confidenciais usando máscaras para impedir o acesso ao completo, como endereços de e-mail ou números.
Segurança ao nível do objeto
A segurança em nível de objeto é um mecanismo de segurança que controla o acesso a objetos de banco de dados específicos, como tabelas, exibições ou procedimentos, com base em privilégios ou funções de usuário. Ele garante que os usuários ou funções só possam interagir e manipular os objetos para os quais receberam permissões, protegendo a integridade e a confidencialidade do esquema de banco de dados e seus recursos associados.
Para obter detalhes sobre o gerenciamento de permissões granulares no SQL, consulte Permissões granulares do SQL no Microsoft Fabric.
Segurança ao nível da linha
A segurança em nível de linha é um recurso de segurança de banco de dados que restringe o acesso a linhas ou registros individuais dentro de uma tabela de banco de dados com base em critérios especificados, como funções ou atributos de usuário. Garante que os utilizadores só podem visualizar ou manipular dados que estejam explicitamente autorizados para o seu acesso, melhorando a privacidade e o controlo dos dados.
Para obter detalhes sobre segurança em nível de linha, consulte Segurança em nível de linha no data warehousing de malha.
Segurança ao nível da coluna
A segurança em nível de coluna é uma medida de segurança de banco de dados que limita o acesso a colunas ou campos específicos dentro de uma tabela de banco de dados, permitindo que os usuários vejam e interajam apenas com as colunas autorizadas enquanto ocultam informações confidenciais ou restritas. Ele oferece controle refinado sobre o acesso aos dados, protegendo dados confidenciais dentro de um banco de dados.
Para obter detalhes sobre segurança em nível de coluna, consulte Segurança em nível de coluna no data warehouse de malha.
Máscara de dados dinâmica
O mascaramento dinâmico de dados ajuda a impedir a visualização não autorizada de dados confidenciais, permitindo que os administradores especifiquem a quantidade de dados confidenciais a serem revelados, com efeito mínimo na camada do aplicativo. O mascaramento de dados dinâmicos pode ser configurado em campos de banco de dados designados para ocultar dados confidenciais nos conjuntos de resultados de consultas. Com o mascaramento dinâmico de dados, os dados no banco de dados não são alterados, portanto, podem ser usados com aplicativos existentes, uma vez que as regras de mascaramento são aplicadas aos resultados da consulta. Muitos aplicativos podem mascarar dados confidenciais sem modificar consultas existentes.
Para obter detalhes sobre mascaramento de dados dinâmicos, consulte Mascaramento dinâmico de dados no data warehousing de malha.
Logs de auditoria do usuário
Para rastrear a atividade do usuário no armazém e no ponto de extremidade de análise SQL para atender aos requisitos de conformidade regulatória e gerenciamento de registros, um conjunto de atividades de auditoria pode ser acessado por meio do Microsoft Purview e do PowerShell.
- Você pode usar logs de auditoria de usuário para identificar quem está executando qual ação em seus itens de malha.
- Para começar, saiba como configurar logs de auditoria SQL no Fabric Data Warehouse (Preview).
- Você pode acompanhar as atividades do usuário no Microsoft Fabric. Para obter mais informações, consulte a Lista de operações.
Segurança de ponto final de análise SQL
Para obter mais informações sobre segurança no ponto de extremidade de análise SQL, consulte Segurança do OneLake para pontos de extremidade de análise SQL.
Criptografia de chave gerenciada pelo cliente (CMK)
Você pode melhorar sua postura de segurança usando chaves gerenciadas pelo cliente (CMK), oferecendo controle direto sobre as chaves de criptografia que protegem seus dados e metadados. Quando você habilita a CMK para um espaço de trabalho que contém um Fabric Data Warehouse, os dados do OneLake e os metadados do depósito são protegidos usando suas chaves de criptografia hospedadas no Azure Key Vault. Para obter mais informações, consulte Criptografia de dados no Fabric Data Warehouse.