Segurança para armazenamento de dados no Microsoft Fabric
Aplica-se a:✅ ponto de extremidade de análise SQL e Warehouse no Microsoft Fabric
Este artigo aborda tópicos de segurança para proteger o ponto de extremidade de análise SQL do lakehouse e do Warehouse no Microsoft Fabric.
Para obter informações sobre segurança do Microsoft Fabric, consulte Segurança no Microsoft Fabric.
Para obter informações sobre como se conectar ao ponto de extremidade de análise SQL e ao Warehouse, consulte Conectividade.
As permissões do Microsoft Fabric e as permissões granulares do SQL trabalham juntas para controlar o acesso ao Warehouse e as permissões do usuário depois de conectados.
- A conectividade do Warehouse depende da concessão do Microsoft Fabric permissão de Ler, no mínimo, para o Warehouse.
- As permissões de item do Microsoft Fabric permitem a capacidade de fornecer permissões SQL a um usuário, sem a necessidade de conceder essas permissões no SQL.
- As funções de espaço de trabalho do Microsoft Fabric fornecem permissões do Microsoft Fabric para todos os armazéns dentro de um espaço de trabalho.
- Permissões de usuário granulares podem ser gerenciadas via T-SQL.
As funções de espaço de trabalho são usadas para colaboração da equipe de desenvolvimento dentro de um espaço de trabalho. A atribuição de função determina as ações disponíveis para o usuário e se aplica a todos os itens dentro do espaço de trabalho.
- Para obter uma visão geral das funções do espaço de trabalho do Microsoft Fabric, consulte Funções em espaços de trabalho.
- Para obter instruções sobre como atribuir funções de espaço de trabalho, consulte Conceder acesso ao espaço de trabalho.
Para obter detalhes sobre os recursos específicos do Warehouse fornecidos por meio de funções de espaço de trabalho, consulte Funções de espaço de trabalho no data warehouse de malha.
Ao contrário das funções de espaço de trabalho, que se aplicam a todos os itens dentro de um espaço de trabalho, as permissões de item podem ser atribuídas diretamente a Armazéns individuais. O usuário receberá a permissão atribuída nesse único depósito. O objetivo principal dessas permissões é habilitar o compartilhamento para consumo downstream do Warehouse.
Para obter detalhes sobre as permissões específicas fornecidas para armazéns, consulte Compartilhar seus dados e gerenciar permissões.
As funções de espaço de trabalho e as permissões de item fornecem uma maneira fácil de atribuir permissões grosseiras a um usuário para todo o depósito. No entanto, em alguns casos, permissões mais granulares são necessárias para um usuário. Para conseguir isso, construções T-SQL padrão podem ser usadas para fornecer permissões específicas aos usuários.
O armazenamento de dados do Microsoft Fabric oferece suporte a várias tecnologias de proteção de dados que os administradores podem usar para proteger dados confidenciais contra acesso não autorizado. Ao proteger ou ofuscar dados de usuários ou funções não autorizados, esses recursos de segurança podem fornecer proteção de dados em um ponto de extremidade de análise SQL e Warehouse sem alterações no aplicativo.
- A segurança no nível do objeto controla o acesso a objetos de banco de dados específicos.
- A segurança em nível de coluna impede a visualização não autorizada de colunas em tabelas.
- A segurança em nível de linha impede a visualização não autorizada de linhas em tabelas, usando predicados de filtro de cláusula familiares
WHERE
. - O mascaramento dinâmico de dados impede a visualização não autorizada de dados confidenciais usando máscaras para impedir o acesso ao completo, como endereços de e-mail ou números.
A segurança em nível de objeto é um mecanismo de segurança que controla o acesso a objetos de banco de dados específicos, como tabelas, exibições ou procedimentos, com base em privilégios ou funções de usuário. Ele garante que os usuários ou funções só possam interagir e manipular os objetos para os quais receberam permissões, protegendo a integridade e a confidencialidade do esquema de banco de dados e seus recursos associados.
Para obter detalhes sobre o gerenciamento de permissões granulares no SQL, consulte Permissões granulares do SQL.
A segurança em nível de linha é um recurso de segurança de banco de dados que restringe o acesso a linhas ou registros individuais dentro de uma tabela de banco de dados com base em critérios especificados, como funções ou atributos de usuário. Garante que os utilizadores só podem visualizar ou manipular dados que estejam explicitamente autorizados para o seu acesso, melhorando a privacidade e o controlo dos dados.
Para obter detalhes sobre segurança em nível de linha, consulte Segurança em nível de linha no data warehousing de malha.
A segurança em nível de coluna é uma medida de segurança de banco de dados que limita o acesso a colunas ou campos específicos dentro de uma tabela de banco de dados, permitindo que os usuários vejam e interajam apenas com as colunas autorizadas enquanto ocultam informações confidenciais ou restritas. Ele oferece controle refinado sobre o acesso aos dados, protegendo dados confidenciais dentro de um banco de dados.
Para obter detalhes sobre segurança em nível de coluna, consulte Segurança em nível de coluna no data warehouse de malha.
O mascaramento dinâmico de dados ajuda a impedir a visualização não autorizada de dados confidenciais, permitindo que os administradores especifiquem a quantidade de dados confidenciais a serem revelados, com efeito mínimo na camada do aplicativo. O mascaramento de dados dinâmicos pode ser configurado em campos de banco de dados designados para ocultar dados confidenciais nos conjuntos de resultados de consultas. Com o mascaramento dinâmico de dados, os dados no banco de dados não são alterados, portanto, podem ser usados com aplicativos existentes, uma vez que as regras de mascaramento são aplicadas aos resultados da consulta. Muitos aplicativos podem mascarar dados confidenciais sem modificar consultas existentes.
Para obter detalhes sobre mascaramento de dados dinâmicos, consulte Mascaramento dinâmico de dados no data warehousing de malha.
A partilha é uma forma conveniente de fornecer aos utilizadores acesso de leitura ao seu Armazém para consumo a jusante. O compartilhamento permite que os usuários downstream em sua organização consumam um Warehouse usando SQL, Spark ou Power BI. Você pode personalizar o nível de permissões que o destinatário compartilhado recebe para fornecer o nível apropriado de acesso.
Para obter mais informações sobre compartilhamento, consulte Compartilhar seus dados e gerenciar permissões.
Ao avaliar as permissões a serem atribuídas a um usuário, considere as seguintes orientações:
- Somente os membros da equipe que estão colaborando atualmente na solução devem ser atribuídos às funções de Espaço de Trabalho (Administrador, Membro, Colaborador), pois isso lhes fornece acesso a todos os Itens dentro do espaço de trabalho.
- Se eles exigirem principalmente acesso somente leitura, atribua-os à função Visualizador e conceda acesso de leitura em objetos específicos por meio do T-SQL. Para obter mais informações, consulte Gerenciar permissões granulares do SQL.
- Se forem utilizadores com privilégios mais elevados, atribua-os às funções de Administrador, Membro ou Colaborador. A função apropriada depende das outras ações que eles precisam realizar.
- Outros usuários, que só precisam de acesso a um depósito individual ou precisam de acesso apenas a objetos SQL específicos, devem receber permissões de Item de Malha e acesso por meio de SQL aos objetos específicos.
- Você também pode gerenciar permissões em grupos do Microsoft Entra ID (anteriormente Azure Ative Directory), em vez de adicionar cada membro específico. Para obter mais informações, consulte Autenticação do Microsoft Entra como alternativa à autenticação SQL no Microsoft Fabric.
Para rastrear a atividade do usuário no armazém e no ponto de extremidade de análise SQL para atender aos requisitos de conformidade regulatória e gerenciamento de registros, um conjunto de atividades de auditoria pode ser acessado por meio do Microsoft Purview e do PowerShell. Você pode usar logs de auditoria de usuário para identificar quem está executando qual ação em seus itens de malha.
Para obter mais informações sobre como acessar logs de auditoria do usuário, consulte Controlar atividades do usuário na lista de operações e malha do Microsoft.