Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Os atalhos do OneLake servem como ponteiros para dados que residem em várias contas de armazenamento, seja dentro do próprio OneLake ou em sistemas externos como o Azure Data Lake Storage (ADLS). Este artigo examina as permissões necessárias para criar atalhos e acessar dados usando-os.
Para garantir clareza em torno dos componentes de um atalho, este documento usa os seguintes termos:
- Caminho de destino: o local para o qual um atalho aponta.
- Caminho de atalho: o local onde o atalho aparece.
Criar e excluir atalhos
Para criar um atalho, um usuário precisa ter permissão de gravação no item de malha onde o atalho está sendo criado. Além disso, o usuário precisa de acesso de leitura aos dados para os quais o atalho está apontando. Atalhos para fontes externas podem exigir determinadas permissões no sistema externo. O artigo O que são atalhos?, tem a lista completa de tipos de atalhos e permissões necessárias.
| Capacidade | Permissão no caminho de atalho | Permissão no caminho de destino |
|---|---|---|
| Criar um atalho | Escrever2 | ReadAll1 |
| Excluir um atalho | Escrever2 | N/A |
1 Se a segurança do OneLake estiver habilitada, o usuário precisará estar em uma função que conceda acesso ao caminho de destino. 2 Se as funções de acesso a dados do OneLake estiverem habilitadas, o usuário precisará estar em uma função que conceda acesso ao caminho de destino.
Aceder a atalhos
Uma combinação das permissões no caminho de atalho e no caminho de destino governa as permissões para atalhos. Quando um usuário acessa um atalho, a permissão mais restritiva dos dois locais é aplicada. Portanto, um usuário que tenha permissões de leitura/gravação na lakehouse, mas apenas permissões de leitura no caminho de destino, não pode gravar no caminho de destino. Da mesma forma, um usuário que só tem permissões de leitura na casa do lago, mas leitura/gravação no caminho de destino, também não pode gravar no caminho de destino.
Esta tabela mostra as permissões necessárias para cada ação de atalho.
| Capacidade | Permissão no caminho de atalho | Permissão no caminho de destino |
|---|---|---|
| Ler o conteúdo do arquivo/pasta do atalho | ReadAll1 | ReadAll1 |
| Gravar no local de destino do atalho | Escrever2 | Escrever2 |
| Leia dados de atalhos na seção de tabela da casa do lago via ponto de extremidade TDS | Lida | LerTudo3 |
1 Se a segurança do OneLake estiver habilitada, o usuário precisará estar em uma função que conceda acesso ao caminho de destino.
2 Alternativamente, a segurança do OneLake com permissão de leitura e escrita no caminho de atalho.
Importante
3Exceção à passagem da identidade: Embora a segurança do OneLake normalmente utilize a identidade do utilizador que faz a chamada para impor permissões, certos motores de consulta operam de forma diferente. Ao aceder a dados de atalho através de modelos semânticos do Power BI usando DirectLake sobre SQL ou motores T-SQL configurados para o modo de identidade delegada, estes motores não transmitem a identidade do utilizador chamador ao destino de atalho. Em vez disso, eles usam a identidade do proprietário do item para acessar os dados e, em seguida, aplicam funções de segurança do OneLake para filtrar o que o usuário chamador pode ver.
Isto significa:
- O destino de atalho é acessado usando as permissões do proprietário do item (não do usuário final)
- As funções de segurança do OneLake ainda determinam quais dados o usuário final pode ler
- Todas as permissões configuradas diretamente no caminho de destino do atalho para o usuário final são ignoradas
Segurança OneLake
A segurança do OneLake (visualização) é um recurso que permite aplicar o controle de acesso baseado em função (RBAC) aos seus dados armazenados no OneLake. Você pode definir funções de segurança que concedem acesso de leitura a tabelas e pastas específicas dentro de um item de malha e atribuí-las a usuários ou grupos. As permissões de acesso determinam o que os usuários farão em todos os mecanismos do Fabric, garantindo um controle de acesso consistente.
Os usuários nas funções Administrador, Membro e Colaborador têm acesso total para ler dados de um atalho, independentemente das funções de acesso a dados do OneLake definidas. No entanto, eles ainda precisam de acesso no caminho de atalho e no caminho de destino, conforme mencionado em Funções de espaço de trabalho.
Os usuários na função Visualizador ou que tiveram uma casa de lago compartilhada diretamente com eles têm acesso restrito com base em se o usuário tem acesso por meio de uma função de acesso a dados OneLake. Para obter mais informações sobre o modelo de controle de acesso com atalhos, consulte Modelo de controle de acesso a dados no OneLake.
Os utilizadores em funções de Visualizador podem criar atalhos se tiverem permissões de ReadWrite no caminho onde o atalho é criado.
A tabela seguinte ilustra as permissões necessárias para realizar operações de atalho.
| Funcionalidade de atalho | Permissão no caminho de atalho | Permissão no caminho de destino |
|---|---|---|
| Create | Leitura em Fabric e Leitura/Escrita de segurança em OneLake | Leitura de segurança OneLake |
| Ler (atalhos GET/LIST) | Leitura de tecido e leitura de segurança OneLake | N/A |
| Update | Leitura de Fabric e segurança de leitura/escrita OneLake | Leitura de segurança OneLake (sobre o novo alvo) |
| Eliminar | Leitura em Fabric e segurança OneLake Leitura e escrita | N/A |
Modelos de autenticação de atalho
Os atalhos usam dois modelos de autenticação com segurança OneLake: passthrough e delegated.
No modelo de passagem, o atalho acessa dados no local de destino 'passando' a identidade do usuário para o sistema de destino. Isso garante que qualquer usuário que acesse o atalho só possa ver o que tiver acesso no destino.
Com os atalhos OneLake para OneLake, apenas o modo de passagem é suportado. Esse design garante que o sistema de origem mantenha controle total sobre seus dados. As organizações se beneficiam da segurança aprimorada porque não há necessidade de replicar ou redefinir controles de acesso para o atalho. No entanto, é importante entender que a segurança dos atalhos do OneLake não pode ser modificada diretamente do item downstream. Quaisquer alterações nas permissões de acesso devem ser feitas no local de origem.
Os atalhos delegados acessam dados usando alguma credencial intermediária, como outro usuário ou uma chave de conta. Esses atalhos permitem que o gerenciamento de permissões seja separado ou "delegado" a outra equipe ou usuário downstream para gerenciar. Os atalhos delegados sempre quebram o fluxo de segurança de um sistema para outro. Todos os atalhos delegados no OneLake podem ter funções de segurança do OneLake definidas para eles.
Todos os atalhos do OneLake para sistemas externos (atalhos multicloud) como AWS S3 ou Google Cloud Storage são delegados. Isso permite que os usuários se conectem ao sistema externo sem ter acesso direto. A segurança do OneLake pode ser configurada no atalho para limitar quais dados no sistema externo podem ser acessados
Limitações de segurança do OneLake
- Além do acesso de segurança do OneLake ao caminho de destino, o acesso a atalhos externos via Spark ou chamadas diretas de API também requer permissões de leitura no item que contém o caminho de atalho externo.