Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
OneLake es un lago de datos jerárquico, como Azure Data Lake Storage (ADLS) Gen2 o el sistema de archivos de Windows. La seguridad en OneLake se aplica en varios niveles, cada una de ellas correspondiente a distintos aspectos del acceso y el control. Comprender la distinción entre los permisos del plano de control y del plano de datos es clave para proteger eficazmente los datos:
- Permisos del plano de control: controle las acciones que los usuarios pueden realizar en el entorno (por ejemplo, crear, administrar o compartir elementos). Los permisos del plano de control suelen proporcionar permisos de plano de datos de forma predeterminada.
- Permisos del plano de datos: controle los datos a los que los usuarios pueden acceder o ver, independientemente de su capacidad de administrar recursos.
Puede establecer la seguridad en cada nivel dentro del lago de datos. Pero algunos niveles de la jerarquía reciben un tratamiento especial, ya que se correlacionan con conceptos de Fabric. La seguridad de OneLake controla todo el acceso a los datos de OneLake con permisos diferentes heredados de los del elemento primario o el área de trabajo. Puede establecer permisos en los siguientes niveles:
Área de trabajo: un entorno de colaboración para crear y administrar elementos. La seguridad se administra a través de roles de área de trabajo en este nivel.
Elemento: un conjunto de funcionalidades agrupadas en un único componente. Un elemento de datos es un subtipo de elemento que permite almacenar los datos dentro de él mediante OneLake. Los elementos heredan los permisos de los roles del área de trabajo, pero también pueden tener permisos adicionales.
Carpetas: carpetas dentro de un elemento que se usan para almacenar y administrar datos, como Tablas/o Archivos/.
Los elementos siempre residen dentro de áreas de trabajo y las áreas de trabajo siempre residen directamente bajo el espacio de nombres de OneLake. Puede visualizar esta estructura de la siguiente manera:
Seguridad en OneLake
En esta sección se describe el modelo de seguridad basado en las características de OneLake disponibles con carácter general.
Permisos de área de trabajo
Los permisos del área de trabajo definen qué acciones pueden realizar los usuarios dentro de un área de trabajo y sus elementos. Estos permisos se administran en el nivel de área de trabajo y son principalmente permisos del plano de control; determinan las funcionalidades administrativas y de administración de elementos, no el acceso directo a los datos. Sin embargo, los permisos del área de trabajo normalmente se heredan al nivel de elementos y carpetas para permitir el acceso a datos de forma predeterminada. Los permisos del área de trabajo permiten definir el acceso a todos los elementos de un área de trabajo. Hay cuatro roles de área de trabajo diferentes, y cada uno concede distintos tipos de acceso. A continuación se muestran los comportamientos predeterminados de cada rol de área de trabajo.
| Rol | ¿Puede agregar administradores? | ¿Puede agregar miembros? | ¿Puede editar la seguridad de OneLake? | ¿Puede escribir datos y crear elementos? | ¿Puede leer datos en OneLake? | Actualice y elimine el área de trabajo. |
|---|---|---|---|---|---|---|
| Administración | Sí | Sí | Sí | Sí | Sí | Sí |
| Miembro | No | Sí | Sí | Sí | Sí | No |
| Colaborador | No | No | No | Sí | Sí | No |
| Visor | No | No | No | No | No* | No |
Obtenga más información sobre roles en áreas de trabajo en Microsoft Fabric.
Nota:
*Se puede conceder acceso a los usuarios a los datos a través de los roles de seguridad de OneLake.
Puede simplificar la administración de roles de área de trabajo de Fabric mediante su asignación a grupos de seguridad. Este método le permite controlar el acceso agregando o quitando miembros del grupo de seguridad.
Permisos de elemento
Con la característica de uso compartido, puede conceder a un usuario acceso directo a un elemento. El usuario solo puede ver ese elemento en el área de trabajo y no es miembro de ningún rol de área de trabajo. Los permisos de elemento conceden acceso para conectarse a ese elemento y a sus puntos de conexión a los que el usuario puede acceder.
| Permiso | ¿Ve los metadatos del elemento? | ¿Ver datos en SQL? | Ver datos en OneLake. |
|---|---|---|---|
| Lectura | Sí | No | No |
| LeerDatos | No | Sí | No |
| Leer todo | No | No | Sí* |
*No es aplicable a los elementos con los roles de acceso a datos o seguridad de OneLake habilitados. Si la versión preliminar está habilitada, ReadAll solo concede acceso si el rol DefaultReader está en uso. Si el rol DefaultReader se edita o elimina, en su lugar el acceso se concede en función de los roles de acceso a datos de los que forme parte el usuario.
Otra manera de configurar permisos es a través de la página Administrar permisosde un elemento. Con esta página, puede agregar o quitar permisos de elemento individuales para usuarios o grupos. El tipo de elemento determina qué permisos están disponibles.
Seguridad de OneLake (versión preliminar)
La seguridad de OneLake permite a los usuarios definir la seguridad basada en roles pormenorizados en los datos almacenados en OneLake y aplicar esa seguridad de forma coherente en todos los motores de proceso de Fabric. La seguridad de OneLake es el modelo de seguridad del plano de datos para los datos de OneLake.
Los usuarios de Fabric en los roles de Administrador o Miembro pueden crear roles de seguridad de OneLake para asignar a los usuarios acceso a los datos de un elemento. Cada rol tiene cuatro componentes:
- Datos: las tablas o carpetas a las que pueden acceder los usuarios.
- Permiso: los permisos que tienen los usuarios en los datos.
- Miembros: los usuarios que son miembros del rol.
- Restricciones: los componentes de los datos, si los hay, que se excluyen del acceso a roles, como filas o columnas específicas.
Los roles de seguridad oneLake conceden acceso a los datos de los usuarios del rol de área de trabajo Visor o con permiso de lectura en el elemento. Los administradores, miembros y colaboradores no se ven afectados por los roles de seguridad de OneLake y pueden leer y escribir todos los datos en un elemento independientemente de su pertenencia a roles. Existe un rol DefaultReader en todos los lakehouse que otorga a cualquier usuario con el permiso ReadAll acceso a los datos del lakehouse. El rol DefaultReader se puede eliminar o editar para quitar ese acceso.
Obtenga más información sobre cómo crear roles de seguridad de OneLake para tablas y carpetas, columnasy filas.
Obtenga más información sobre el modelo de control de acceso para OneLake security..
Permisos de cómputo
Los permisos de proceso son un tipo de permiso de plano de datos que se aplica a un motor de consulta específico de Microsoft Fabric. El acceso concedido solo se aplica a las consultas que se ejecutan en ese motor específico, como el punto de conexión de SQL o un modelo semántico de Power BI. Sin embargo, los usuarios pueden ver resultados diferentes cuando acceden a datos a través de un motor de proceso en comparación con cuando acceden a los datos directamente en OneLake, en función de los permisos de proceso aplicados. La seguridad de OneLake es el enfoque recomendado para proteger los datos en OneLake para garantizar resultados coherentes en todos los motores con los que un usuario pueda interactuar.
Los motores de proceso pueden tener características de seguridad más avanzadas que aún no están disponibles en la seguridad de OneLake y, en ese caso, es posible que sea necesario usar los permisos de proceso para resolver algunos escenarios. Al usar permisos de proceso para proteger el acceso a los datos, asegúrese de que a los usuarios finales solo se les concede acceso al motor de proceso en el que se establece la seguridad. Esto evita que se acceda a los datos a través de un motor diferente sin las características de seguridad necesarias.
Seguridad de atajos
En Microsoft Fabric, los accesos directos permiten la administración simplificada de los datos. La seguridad de carpetas de OneLake se aplica a los accesos directos de OneLake en función de los roles definidos en el almacén de lago de datos donde se almacenan los datos.
Para obtener más información sobre las consideraciones de seguridad de acceso directo, consulte Modelo de control de acceso de seguridad de OneLake.
Para obtener información sobre el acceso y los detalles de autenticación para accesos directos específicos, consulte tipos de accesos directos de OneLake.
Autenticación
OneLake usa Microsoft Entra ID para la autenticación; puede usarlo para conceder permisos a las identidades de usuario y a las entidades de servicio. OneLake extrae automáticamente la identidad de usuario de las herramientas, que usan la autenticación de Microsoft Entra y la asignan a los permisos que haya establecido en el portal de Fabric.
Nota:
Para usar entidades de servicio en un inquilino de Fabric, un administrador de inquilinos debe habilitar nombres de entidad de seguridad de servicio (SPN) para todo el inquilino o grupos de seguridad específicos. Más información sobre cómo habilitar entidades de servicio en Configuración para desarrolladores del portal de administración de inquilinos.
Registros de auditoría
Para ver los registros de auditoría de OneLake, siga las instrucciones de Seguimiento de las actividades del usuario en Microsoft Fabric. Los nombres de operación de OneLake corresponden a API de ADLS como CreateFile o DeleteFile. Los registros de auditoría de OneLake no incluyen solicitudes de lectura ni solicitudes realizadas a OneLake desde cargas de trabajo de Fabric.
Cifrado y redes
Datos en reposo
Los datos almacenados en OneLake se cifran en reposo de manera predeterminada mediante claves administradas por Microsoft. Las claves administradas por Microsoft se giran correctamente. Los datos en OneLake se cifran y descifran de forma transparente y cumplen la norma FIPS 140-2.
Puede utilizar el cifrado en reposo con claves administradas por el cliente para agregar otra capa de protección con las claves que usted posee y controla. Para más información, consulte Claves administradas por el cliente para áreas de trabajo de Fabric.
Datos en tránsito
Los datos en tránsito a través de la red pública de Internet entre servicios Microsoft siempre se cifran con al menos TLS 1.2. Fabric negocia TLS 1.3 siempre que sea posible. El tráfico entre servicios Microsoft siempre se enruta a través de la red global de Microsoft.
La comunicación entrante de OneLake también aplica TLS 1.2 y negocia con TLS 1.3, siempre que sea posible. La comunicación saliente de Fabric con la infraestructura propiedad del cliente prefiere protocolos seguros, pero podría recurrir a protocolos antiguos y no seguros (incluido TLS 1.0) cuando no se admitan protocolos más recientes.
Vínculos privados
Para configurar vínculos privados en Fabric, vea Configuración y uso de vínculos privados.
Permitir que las aplicaciones que se ejecutan fuera de Fabric accedan a los datos a través de OneLake
Puede permitir o restringir el acceso a datos de OneLake desde aplicaciones que están fuera del entorno de Fabric. Los administradores pueden encontrar esta configuración en la sección OneLake de la configuración del inquilino del portal de administración.
Al activar esta configuración, los usuarios pueden acceder a los datos de todos los orígenes. Por ejemplo, active esta configuración si tiene aplicaciones personalizadas que usan las API de Azure Data Lake Storage (ADLS) o el explorador de archivos oneLake. Al desactivar esta configuración, los usuarios todavía pueden acceder a datos desde aplicaciones internas como Spark, Ingeniería de datos y Almacenamiento de datos, pero no pueden acceder a datos desde aplicaciones que se ejecutan fuera de entornos de Fabric.