Partilhar via

Partilhe o seu armazém e faça a gestão de permissões

  • Artigo

Aplica-se a:Depósito e banco de dados espelhado no Microsoft Fabric

A partilha é uma forma conveniente de fornecer aos utilizadores acesso de leitura ao seu Armazém para consumo a jusante. O compartilhamento permite que os usuários downstream em sua organização consumam um Warehouse usando SQL, Spark ou Power BI. Você pode personalizar o nível de permissões que o destinatário compartilhado recebe para fornecer o nível apropriado de acesso.

Nota

Você deve ser um administrador ou membro em seu espaço de trabalho para compartilhar um Warehouse no Microsoft Fabric.

Começar agora

Depois de identificar o Armazém que você gostaria de compartilhar com outro usuário no espaço de trabalho do Fabric, selecione a ação rápida na linha para Compartilhar um Depósito.

O gif animado a seguir analisa as etapas para selecionar um depósito para compartilhar, seleciona as permissões a serem atribuídas e, finalmente , concede as permissões a outro usuário.

Um gif animado mostrando a interação com o portal do Fabric em que um usuário compartilha um depósito no Microsoft Fabric com outro usuário.

Você pode compartilhar seu Armazém a partir do hub de dados OneLake ou item de Depósito escolhendo Compartilhar da ação rápida, conforme destacado na imagem a seguir.

Captura de tela mostrando como compartilhar um depósito na página do hub de dados do OneLake.

Partilhar um Armazém

Você será solicitado com opções para selecionar com quem gostaria de compartilhar o Depósito, quais permissões conceder e se eles serão notificados por e-mail. Depois de preencher todos os campos obrigatórios, selecione Conceder acesso.

Aqui estão mais detalhes sobre cada uma das permissões fornecidas:

  • Se nenhuma permissão adicional for selecionada - O destinatário compartilhado por padrão recebe a permissão "Ler", que só permite que o destinatário se conecte ao ponto de extremidade de análise SQL, o equivalente às permissões CONNECT no SQL Server. O destinatário compartilhado não poderá consultar nenhuma tabela ou exibição ou executar qualquer função ou procedimento armazenado a menos que lhe seja fornecido acesso a objetos dentro do Armazém usando a instrução T-SQL GRANT .

Nota

ReadData, ReadAll e Build são permissões separadas que não se sobrepõem.

  • "Ler todos os dados usando SQL" está selecionado (permissões "ReadData")- O destinatário compartilhado pode ler todos os objetos de banco de dados dentro do Warehouse. ReadData é o equivalente a db_datareader função no SQL Server. O destinatário compartilhado pode ler dados de todas as tabelas e exibições dentro do Depósito. Se quiser restringir ainda mais e fornecer acesso granular a alguns objetos dentro do Warehouse, você pode fazer isso usando instruções T-SQL GRANT/REVOKE/DENI.

    • No ponto de extremidade de análise SQL do Lakehouse, "Read all SQL Endpoint data" é equivalente a "Read all data using SQL".

  • "Ler todos os dados usando o Apache Spark" está selecionado (permissões "ReadAll")- O destinatário compartilhado tem acesso de leitura aos arquivos de parquet subjacentes no OneLake, que podem ser consumidos usando o Spark. ReadAll deve ser fornecido somente se o destinatário compartilhado quiser acesso completo aos arquivos do seu armazém usando o mecanismo Spark.

  • A caixa de seleção "Criar relatórios no conjunto de dados padrão" está selecionada ("Permissões de compilação")- O destinatário compartilhado pode criar relatórios sobre o modelo semântico padrão conectado ao seu Warehouse. A compilação deve ser fornecida se o destinatário compartilhado quiser permissões de compilação no modelo semântico padrão, para criar relatórios do Power BI sobre esses dados. A caixa de seleção Construir está selecionada por padrão, mas pode ser desmarcada.

Quando o destinatário compartilhado recebe o e-mail, ele pode selecionar Abrir e navegar até a página Hub de dados do depósito.

Captura de tela mostrando a notificação por e-mail do usuário compartilhado de um depósito compartilhado.

Dependendo do nível de acesso concedido ao destinatário compartilhado, o destinatário compartilhado agora pode se conectar ao ponto de extremidade de análise SQL, consultar o Warehouse, criar relatórios ou ler dados através do Spark.

Captura de tela do portal Fabric mostrando a página

Permissões ReadData

Com as permissões ReadData , o destinatário compartilhado pode abrir o editor do Warehouse no modo somente leitura e consultar as tabelas e exibições dentro do Warehouse. O destinatário compartilhado também pode optar por copiar o ponto de extremidade de análise SQL fornecido e conectar-se a uma ferramenta de cliente para executar essas consultas.

Por exemplo, na captura de tela a seguir, um usuário com permissões ReadData pode consultar o depósito.

A captura de tela do portal do Fabric mostra que um usuário pode consultar um depósito compartilhado.

Permissões ReadAll

Um destinatário compartilhado com permissões ReadAll pode encontrar o caminho do Sistema de Arquivos de Blob do Azure (ABFS) para o arquivo específico no OneLake no painel Propriedades no editor de depósito. O destinatário compartilhado pode usar esse caminho em um Bloco de Anotações do Spark para ler esses dados.

Por exemplo, na captura de tela a seguir, um usuário com permissões ReadAll pode consultar os dados com FactSale uma consulta do Spark em um novo bloco de anotações.

Captura de tela do portal do Fabric onde um usuário abre um bloco de anotações do Spark para consultar o atalho do Warehouse.

Permissões de compilação

Com as permissões de compilação , o destinatário compartilhado pode criar relatórios sobre o modelo semântico padrão conectado ao depósito. O destinatário compartilhado pode criar relatórios do Power BI a partir do Hub de Dados ou também fazer o mesmo usando o Power BI Desktop.

Por exemplo, na captura de tela a seguir, um usuário com permissões de Compilação pode começar a criar automaticamente um relatório do Power BI com base no depósito compartilhado.

Uma captura de tela mostrando a interação com o portal do Fabric, onde um usuário pode criar automaticamente um relatório no depósito compartilhado.

Gerir permissões

A página Gerenciar permissões mostra a lista de usuários que receberam acesso atribuindo funções de Espaço de Trabalho ou permissões de item.

Se for um Administrador ou Membro, aceda à sua área de trabalho e selecione Mais opções. Em seguida, selecione Gerenciar permissões.

Captura de tela mostrando um usuário selecionando Gerenciar permissões no menu de contexto do depósito.

Para usuários que receberam funções de espaço de trabalho, ele mostra o usuário, a função de espaço de trabalho e as permissões correspondentes. Administrador, Membro e colaboradores têm acesso de leitura/gravação aos itens neste espaço de trabalho. Os visualizadores têm permissões ReadData e podem consultar todas as tabelas e exibições dentro do Warehouse nesse espaço de trabalho. As permissões de item Read, ReadData e ReadAll podem ser fornecidas aos usuários.

Captura de tela mostrando a página Gerenciar permissões do Depósito no portal do Fabric.

Você pode optar por adicionar ou remover permissões usando Gerenciar permissões:

  • Remover acesso remove todas as permissões de item.
  • Remove ReadData remove as permissões ReadData .
  • Remove ReadAll remove as permissões ReadAll .
  • Remover compilação remove permissões de compilação no modelo semântico padrão correspondente.

Captura de ecrã a mostrar um utilizador a remover a permissão ReadAll de um destinatário partilhado.

Limitações

  • Se você fornecer permissões de item ou remover usuários que anteriormente tinham permissões, a propagação de permissões pode levar até duas horas. As novas permissões refletirão em "Gerenciar permissões" imediatamente. Entre novamente para garantir que as permissões sejam refletidas em seu ponto de extremidade de análise SQL.
  • Os destinatários compartilhados podem acessar o Armazém usando a identidade do proprietário (modo delegado). Certifique-se de que o proprietário do Armazém não seja removido do espaço de trabalho.
  • Os destinatários partilhados só têm acesso ao Armazém que recebem e não a quaisquer outros itens dentro do mesmo espaço de trabalho que o Armazém. Se você quiser fornecer permissões para que outros usuários da sua equipe colaborem no Depósito (acesso de leitura e gravação), adicione-os como funções do Espaço de Trabalho, como "Membro" ou "Colaborador".
  • Atualmente, quando você compartilha um Warehouse e escolhe Ler todos os dados usando SQL, o destinatário compartilhado pode acessar o editor do Warehouse em um modo somente leitura. Esses destinatários compartilhados podem criar consultas, mas atualmente não podem salvar suas consultas.
  • Atualmente, a partilha de um Armazém só está disponível através da experiência do utilizador.
  • Se você quiser fornecer acesso granular a objetos específicos dentro do Warehouse, compartilhe o Warehouse sem permissões adicionais e, em seguida, forneça acesso granular a objetos específicos usando a instrução T-SQL GRANT. Para obter mais informações, consulte Sintaxe T-SQL para GRANT, REVOKE e DENY.
  • Se você vir que as permissões ReadAll e ReadData estão desabilitadas na caixa de diálogo de compartilhamento, atualize a página.
  • Os destinatários partilhados não têm permissão para voltar a partilhar um Armazém.
  • Se um relatório criado sobre o Depósito for compartilhado com outro destinatário, o destinatário compartilhado precisará de mais permissões para acessar o relatório. Isso depende do modo de acesso ao modelo semântico pelo Power BI:
    • Se acessado por meio do modo de consulta direta, as permissões ReadData (ou permissões SQL granulares para tabelas/exibições específicas) precisam ser fornecidas ao Warehouse.
    • Se acessado por meio do modo Direct lake, as permissões ReadData (ou permissões granulares para tabelas/exibições específicas) precisam ser fornecidas ao Warehouse. O modo Direct Lake é o tipo de conexão padrão para modelos semânticos que usam um ponto de extremidade de análise SQL ou Warehouse como fonte de dados. Para obter mais informações, consulte Modo Direct Lake.
    • Se acessado através do modo de importação, então nenhuma permissão adicional é necessária.
    • Atualmente, não há suporte para o compartilhamento de um depósito diretamente com um SPN.

Recursos de proteção de dados

O armazenamento de dados do Microsoft Fabric oferece suporte a várias tecnologias que os administradores podem usar para proteger dados confidenciais contra exibição não autorizada. Ao proteger ou ofuscar dados de usuários ou funções não autorizados, esses recursos de segurança podem fornecer proteção de dados em um ponto de extremidade de análise SQL e Warehouse sem alterações no aplicativo.

  • A segurança em nível de coluna impede a visualização não autorizada de colunas em tabelas.
  • A segurança em nível de linha impede a visualização não autorizada de linhas em tabelas, usando predicados de filtro de cláusula familiares WHERE .
  • O mascaramento dinâmico de dados impede a visualização não autorizada de dados confidenciais usando máscaras para impedir o acesso ao completo, como endereços de e-mail ou números.

Conteúdos relacionados