Segurança de atalho OneLake
Os atalhos do OneLake servem como ponteiros para dados que residem em várias contas de armazenamento, seja dentro do próprio OneLake ou em sistemas externos como o Azure Data Lake Storage (ADLS). Este artigo examina as permissões necessárias para criar atalhos e acessar dados usando-os.
Para garantir clareza em torno dos componentes de um atalho, este documento usa os seguintes termos:
- Caminho de destino: o local para o qual um atalho aponta.
- Caminho de atalho: o local onde o atalho aparece.
Criar e excluir atalhos
Para criar um atalho, um usuário precisa ter permissão de gravação no item de malha onde o atalho está sendo criado. Além disso, o usuário precisa de acesso de leitura aos dados para os quais o atalho está apontando. Atalhos para fontes externas podem exigir determinadas permissões no sistema externo. O artigo O que são atalhos?, tem a lista completa de tipos de atalhos e permissões necessárias.
| Capacidade | Permissão no caminho de atalho | Permissão no caminho de destino |
|---|---|---|
| Criar um atalho | Escrita | ReadAll1 |
| Excluir um atalho | Escrita | N/A |
1 Se as funções de acesso a dados do OneLake estiverem habilitadas, o usuário precisará estar em uma função que conceda acesso ao caminho de destino.
Aceder a atalhos
Uma combinação das permissões no caminho de atalho e no caminho de destino governa as permissões para atalhos. Quando um usuário acessa um atalho, a permissão mais restritiva dos dois locais é aplicada. Portanto, um usuário que tenha permissões de leitura/gravação na lakehouse, mas apenas permissões de leitura no caminho de destino, não pode gravar no caminho de destino. Da mesma forma, um usuário que só tem permissões de leitura na casa do lago, mas leitura/gravação no caminho de destino, também não pode gravar no caminho de destino.
A tabela a seguir mostra as permissões relacionadas a atalhos para cada ação de atalho.
| Capacidade | Permissão no caminho de atalho | Permissão no caminho de destino |
|---|---|---|
| Ler o conteúdo do arquivo/pasta do atalho | ReadAll1 | ReadAll1 |
| Gravar no local de destino do atalho | Escrita | Escrita |
| Leia dados de atalhos na seção de tabela da casa do lago via ponto de extremidade TDS | Lida | ReadAll2 |
1 Se as funções de acesso a dados do OneLake estiverem habilitadas, o usuário precisará estar em uma função que conceda acesso aos dados.
Importante
2 Ao acessar atalhos por meio de modelos semânticos do Power BI ou T-SQL, a identidade do usuário chamador não é passada para o caminho de destino do atalho. Em vez disso, a identidade do proprietário do item chamador é passada, delegando o acesso ao usuário chamador.
Funções de acesso a dados do OneLake
As funções de acesso a dados do OneLake são um novo recurso que permite aplicar RBAC (controle de acesso baseado em função) aos dados armazenados no OneLake. Você pode definir funções de segurança que concedem acesso de leitura a pastas específicas dentro de um item de malha e atribuí-las a usuários ou grupos. As permissões de acesso determinam quais pastas os usuários veem ao acessar a visualização de lago dos dados, seja por meio da UX lakehouse, notebooks ou APIs OneLake. Para itens com o recurso de visualização habilitado, as funções de acesso a dados do OneLake também determinam o acesso de um usuário a um atalho.
Os usuários nas funções Administrador, Membro e Colaborador têm acesso total para ler dados de um atalho, independentemente das funções de acesso a dados do OneLake definidas. No entanto, eles ainda precisam de acesso no caminho de atalho e no caminho de destino, conforme mencionado em Funções de espaço de trabalho.
Os usuários na função Visualizador ou que tiveram uma casa de lago compartilhada diretamente com eles têm acesso restrito com base em se o usuário tem acesso por meio de uma função de acesso a dados OneLake. Para obter mais informações sobre o modelo de controle de acesso com atalhos, consulte Modelo de controle de acesso a dados no OneLake.