Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Los accesos directos de OneLake sirven como punteros a los datos que residen en varias cuentas de almacenamiento, ya sea dentro de OneLake en sí o en sistemas externos como Azure Data Lake Storage (ADLS). En este artículo se examinan los permisos necesarios para crear accesos directos y acceder a los datos mediante ellos.
Para garantizar la claridad en torno a los componentes de un acceso directo, este documento usa los siguientes términos:
- Ruta de acceso de destino: ubicación a la que apunta un acceso directo.
- Ruta de acceso directo: ubicación en la que aparece el acceso directo.
Crear y eliminar accesos directos
Para crear un acceso directo, un usuario debe tener permiso de escritura en el elemento de Fabric donde se crea el acceso directo. Además, el usuario necesita acceso de lectura a los datos a los que apunta el acceso directo. Los accesos directos a orígenes externos pueden requerir determinados permisos en el sistema externo. El artículo ¿Qué son los accesos directos? tiene la lista completa de los tipos de acceso directo y los permisos necesarios.
| Funcionalidad | Permiso en la ruta de acceso directo | Permiso en la ruta de acceso de destino |
|---|---|---|
| Crear un acceso directo | Escritura2 | ReadAll1 |
| Eliminar un acceso directo | Escritura2 | N/D |
1 Si la seguridad de OneLake está habilitada, el usuario debe estar en un rol que conceda acceso a la ruta de acceso de destino. 2 Si los roles de acceso a datos de OneLake están habilitados, el usuario debe estar en un rol que conceda acceso a la ruta de acceso de destino.
Acceso a combinaciones de teclas
Una combinación de los permisos de la ruta del acceso directo y la ruta de acceso de destino rige los permisos para los accesos directos. Cuando un usuario accede a un acceso directo, se aplica el permiso más restrictivo de las dos ubicaciones. Por lo tanto, un usuario que tenga permisos de lectura y escritura en el almacén de lago, pero solo permisos de lectura en la ruta de acceso de destino no puede escribir en la ruta del acceso directo de destino. Del mismo modo, un usuario que solo tenga permisos de lectura en el almacén de lago, pero de lectura y escritura en la ruta de destino, tampoco podrá escribir en la ruta del acceso directo de destino.
En esta tabla se muestran los permisos necesarios para cada acción de acceso directo.
| Funcionalidad | Permiso en la ruta de acceso directo | Permiso en la ruta de acceso de destino |
|---|---|---|
| Leer el contenido de archivo o carpeta del acceso directo | ReadAll1 | ReadAll1 |
| Escribir en la ubicación de destino de acceso directo | Escritura2 | Escritura2 |
| Leer datos de los accesos directos en la sección de tabla del almacén de lago a través del punto de conexión de TDS | Lectura | LeerTodo3 |
1 Si la seguridad de OneLake está habilitada, el usuario debe estar en un rol que conceda acceso a la ruta de acceso de destino.
2 Como alternativa, seguridad de OneLake con permiso de lectura/escritura en la ruta de acceso directo.
Importante
3Excepción al paso de identidad: mientras que la seguridad de OneLake normalmente pasa a través de la identidad del usuario que realiza la llamada para aplicar permisos, determinados motores de consulta funcionan de forma diferente. Al acceder a los datos de acceso directo a través de modelos semánticos de Power BI usando DirectLake sobre motores SQL o T-SQL configurados para el modo de identidad delegada, estos motores no transmiten la identidad del usuario que realiza la llamada al objetivo del acceso directo. En su lugar, usan la identidad del propietario del elemento para acceder a los datos y, a continuación, aplican roles de seguridad de OneLake para filtrar lo que el usuario que llama puede ver.
Esto significa lo siguiente:
- Se accede al destino de acceso directo mediante los permisos del propietario del elemento (no los del usuario final).
- Los roles de seguridad de OneLake siguen determinando qué datos puede leer el usuario final
- Se omiten los permisos configurados directamente en la ruta de acceso directo de destino para el usuario final.
Seguridad de OneLake
OneLake security (versión preliminar) es una característica que permite aplicar el control de acceso basado en rol (RBAC) a los datos almacenados en OneLake. Puede definir roles de seguridad que concedan acceso de lectura a tablas y carpetas específicas dentro de un elemento de Fabric y asignarlos a usuarios o grupos. Los permisos de acceso determinan qué usuarios tendrán en todos los motores de Fabric, lo que garantiza un control de acceso coherente.
Los usuarios con los roles de Administrador, Miembro y Colaborador tienen acceso total para leer datos desde un acceso directo, independientemente de los roles de acceso a datos de OneLake definidos. Pero todavía necesitan acceso tanto en la ruta de acceso directo como en la de destino, tal y como se ha mencionado en Roles de área de trabajo.
Los usuarios con el rol Visor o con los que se haya compartido de forma directa un almacén de lago tienen acceso restringido en función de si el usuario tiene acceso mediante un rol de acceso a datos de OneLake. Para más información sobre el modelo de control de acceso con accesos directos, vea Modelo de control de acceso a datos en OneLake.
Los usuarios en roles de visualizador pueden crear accesos directos si tienen permisos de lectura y escritura en la ruta de acceso donde se crea el acceso directo.
En la tabla siguiente se muestran los permisos necesarios para realizar operaciones de método abreviado.
| Operación de acceso rápido | Permiso en la ruta de acceso directo | Permiso en la ruta de acceso de destino |
|---|---|---|
| Crear | Lectura de Fabric y LecturaEscritura de seguridad de OneLake | Consulta de seguridad de OneLake |
| Lectura (comandos GET/LIST) | Lectura de tejido y lectura de seguridad de OneLake | N/D |
| Actualizar | Lectura de Fabric y seguridad de OneLake Lectura/Escritura | Lectura de seguridad de OneLake (en el nuevo destino) |
| Eliminar | Lectura de Fabric y Seguridad de OneLake LecturaEscritura | N/D |
Modelos de autenticación de acceso directo
Los accesos directos usan dos modelos de autenticación con seguridad oneLake: paso a través y delegado.
En el modelo de acceso directo, el acceso directo accede a los datos de la ubicación de destino pasando la identidad del usuario al sistema de destino. Esto garantiza que cualquier usuario que acceda al acceso directo solo pueda ver lo que tenga acceso a en el destino.
Con los accesos directos de OneLake a OneLake, solo se admite el modo de acceso directo. Este diseño garantiza que el sistema de origen conserva el control total sobre sus datos. Las organizaciones se benefician de la seguridad mejorada porque no es necesario replicar ni volver a definir los controles de acceso para el acceso directo. Sin embargo, es importante comprender que la seguridad de los accesos directos de OneLake no se puede modificar directamente desde el elemento descendente. Los cambios en los permisos de acceso se deben realizar en la ubicación de origen.
Los accesos directos delegados acceden a los datos mediante algunas credenciales intermedias, como otro usuario o una clave de cuenta. Estos métodos abreviados permiten separar o "delegar" la administración de permisos a otro equipo o usuario de nivel inferior para administrar. Los accesos directos delegados siempre interrumpen el flujo de seguridad de un sistema a otro. Todos los accesos directos delegados de OneLake pueden tener roles de seguridad de OneLake definidos para ellos.
Se delegarán todos los accesos directos de OneLake a sistemas externos (accesos directos multinube), como AWS S3 o Google Cloud Storage. Esto permite a los usuarios conectarse al sistema externo sin tener acceso directo. A continuación, se puede configurar la seguridad de OneLake en el acceso directo para limitar los datos del sistema externo a los que se puede acceder
Limitaciones de seguridad de OneLake
- Además del acceso de seguridad de OneLake a la ruta de acceso de destino, el acceso a accesos directos externos a través de llamadas a la API directa o Spark también requiere permisos de lectura en el elemento que contiene la ruta de acceso directo externa.