Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
En este artículo, veremos los procedimientos recomendados para proteger los datos en OneLake. Para obtener más información sobre cómo implementar la seguridad para casos de uso específicos, consulte las guías paso a paso.
Privilegio mínimo
El acceso con privilegios mínimos es un principio de seguridad fundamental en la informática que defiende la restricción de los permisos de los usuarios y los derechos de acceso solo a los permisos necesarios para realizar sus tareas. Para OneLake, esto significa asignar permisos en el nivel adecuado para asegurarse de que los usuarios no estén aprovisionados excesivamente y reducir el riesgo.
Si los usuarios solo necesitan acceso a un único lakehouse o a un elemento de datos, utilice la función de compartir para otorgarles acceso solo a ese elemento. La asignación de un usuario a un rol de área de trabajo solo debe usarse si ese usuario necesita ver todos los elementos de esa área de trabajo.
Use la seguridad de OneLake para restringir el acceso a carpetas y tablas dentro de una instancia de LakeHouse. En el caso de los datos confidenciales, la seguridad de nivel de columnao fila de OneLake garantiza que las filas y columnas protegidas permanezcan ocultas.
Protección por caso de uso
Los distintos usuarios necesitan la capacidad de realizar diferentes acciones en Fabric con el fin de realizar sus trabajos. Algunos casos de uso comunes se identifican en esta sección junto con la configuración de permisos necesarios en Fabric y OneLake.
Administrar el acceso al área de trabajo Son necesarios los roles de administrador o miembro del área de trabajo. Estos roles también pueden administrar roles de seguridad de OneLake en un elemento.
Crear nuevos elementos en Fabric Los roles de administrador, miembro o colaborador pueden crear o eliminar nuevos elementos.
Escribir datos en OneLake Los roles de Administrador, miembro o Colaborador pueden escribir datos en OneLake a través de Spark o mediante cargas. También pueden escribir datos en un almacén. A los usuarios con acceso de solo lectura en un almacenamiento se les pueden conceder permisos para escribir datos a través de permisos de SQL.
Leer datos de OneLake Un usuario debe ser un visor del área de trabajo o tener el permiso Read y el permiso ReadAll para leer datos de OneLake. Para lakehouses con la característica de seguridad de OneLake (versión preliminar) habilitada, los permisos de rol de seguridad de OneLake del usuario controlan el acceso a los datos.
Suscribirse a eventos de OneLake Un usuario necesita SubscribeOneLakeEvents para poder suscribirse a eventos de un elemento de Fabric. Los roles de administrador, miembro y colaborador tienen este permiso de forma predeterminada. Puede agregar este permiso para un usuario con el rol espectador.