Seguridad de nivel de columna en OneLake (versión preliminar)

La seguridad de nivel de columna (CLS) es una característica de seguridad de OneLake (versión preliminar) que permite tener acceso a las columnas seleccionadas de una tabla en lugar de tener acceso completo a la tabla. CLS permite especificar un subconjunto de tablas a las que pueden acceder los usuarios. Las columnas que se quitan de la lista no son visibles para los usuarios.

Prerrequisitos

• Un elemento de OneLake con la seguridad de OneLake activada. Para obtener más información, consulta Introducción a los roles de acceso a datos de OneLake.
• Cambie el punto de conexión de SQL Analytics en lakehouse al modo de identidad del usuario a través de la pestaña Seguridad .
• Para crear modelos semánticos, siga los pasos para crear un modelo de DirectLake.
• Para obtener una lista completa de las limitaciones, consulte la sección limitaciones conocidas.

Imponer la seguridad a nivel de columna

OneLake security CLS se aplica de una de las dos maneras siguientes:

• Tablas filtradas en motores de Fabric: Las consultas a los motores de Fabric, como los cuadernos de Spark, dan lugar a que el usuario vea solo las columnas que pueden ver según las reglas de CLS.
• Acceso bloqueado a tablas: las tablas con reglas de CLS aplicadas no se pueden leer fuera de los motores de Fabric admitidos.

En el caso de las tablas filtradas, se aplican los comportamientos siguientes:

• Las reglas CLS no restringen el acceso a los usuarios con los roles De administrador, miembro y colaborador.
• Si la regla de CLS tiene una discrepancia con la tabla en la que se define, se produce un error en la consulta y no se devuelve ninguna columna. Por ejemplo, si CLS se define para una columna que no forma parte de la tabla.
• Las consultas de tablas de CLS producen un error si un usuario forma parte de dos roles diferentes y uno de los roles tiene seguridad de nivel de fila (RLS).
• Las reglas CLS solo se pueden aplicar para los objetos de tabla delta parquet.
  • Las reglas CLS que se aplican a objetos de tabla no delta bloquean el acceso a toda la tabla para los miembros del rol.
• Si un usuario ejecuta una select * consulta en una tabla donde solo tiene acceso a algunas de las columnas, las reglas CLS se comportan de forma diferente en función del motor de Fabric.
  • Cuadernos de Spark: la consulta se realiza correctamente y solo muestra las columnas permitidas.
  • Punto de conexión de SQL Analytics: el acceso a columnas está bloqueado para las columnas a las que el usuario no puede acceder.
  • Modelos semánticos: el acceso a columnas está bloqueado para las columnas a las que el usuario no puede acceder.

Definición de reglas de seguridad de nivel de columna

Puede definir la seguridad de nivel de columna como parte de un rol de seguridad oneLake para cualquier tabla delta-parquet en la sección Tablas de un elemento. CLS siempre se especifica para una tabla y está habilitada o deshabilitada. De forma predeterminada, CLS está deshabilitado y los usuarios tienen acceso a todas las columnas. Los usuarios pueden habilitar CLS y quitar columnas de la lista para revocar el acceso.

Siga estos pasos para definir la seguridad de nivel de columna:

1. Vaya al elemento de datos y seleccione Administrar seguridad de OneLake (versión preliminar).

2. Seleccione un rol existente para el que quiera definir la seguridad de la tabla o carpeta, o seleccione Nuevo para crear un nuevo rol.

3. En la página de detalles del rol, seleccione más opciones (...) junto a la tabla para la que desea definir CLS y, a continuación, seleccione Seguridad de columna (versión preliminar).

   

4. De manera predeterminada, CLS para una tabla está deshabilitado. Seleccione Habilitar CLS o cree una nueva regla para habilitarla.

   La interfaz de usuario se completa con una lista de columnas de esa tabla que los usuarios tienen permiso para ver. De forma predeterminada, muestra todas las columnas.

5. Para restringir el acceso a una columna, active la casilla situada junto al nombre de la columna y, a continuación, seleccione Quitar. Debe permanecer al menos una columna en la lista de columnas permitidas.

6. Seleccione Guardar para actualizar el rol.

7. Si desea agregar una columna eliminada, seleccione Nueva regla. Esta acción agrega una nueva entrada de regla CLS al final de la lista. A continuación, use la lista desplegable para elegir la columna que desea incluir en el acceso.

8. Una vez completados los cambios, seleccione Guardar.

Habilitación de la seguridad de OneLake para el punto de conexión de SQL Analytics

Para poder usar la seguridad de OneLake con el punto de conexión de SQL Analytics, debe habilitar el modo de identidad del usuario. Los puntos de conexión de SQL Analytics recién creados tendrán como valor predeterminado el modo de identidad del usuario, por lo que estos pasos deben seguirse para los puntos de conexión de SQL Analytics existentes.

1. Vaya al punto de conexión de análisis SQL.

2. En la experiencia del punto de conexión de SQL Analytics, seleccione la pestaña Seguridad de la cinta de opciones superior.

3. Seleccione Identidad del usuario en modo de acceso OneLake.

   

4. En el aviso, acepte Sí, utilice la identidad del usuario.

   

Ahora el punto de conexión de SQL Analytics está listo para usarse con la seguridad de OneLake.

Combinación de la seguridad a nivel de fila y a nivel de columna

La seguridad a nivel de fila y a nivel de columna se puede usar conjuntamente para restringir el acceso de usuario a una tabla. Sin embargo, las dos políticas deben aplicarse mediante un solo rol de seguridad de OneLake. En este escenario, el acceso a los datos se restringe según las reglas que se establecen en un rol.

La seguridad de OneLake no admite la combinación de dos o más roles en los que uno contiene reglas RLS y otro contiene reglas CLS. Los usuarios que intentan acceder a tablas que forman parte de una combinación de roles no compatibles reciben errores de consulta.