Como proteger dados para arquiteturas de dados comuns
Este artigo fornece uma visão geral de como configurar a segurança para dados do OneLake para a malha de dados e arquiteturas de hub e spoke.
Recursos de segurança
O Microsoft Fabric usa um modelo de segurança de várias camadas com diferentes controles disponíveis em diferentes níveis para fornecer somente as permissões mínimas necessárias. Para obter mais informações sobre os diferentes tipos de segurança discutidos neste guia de instruções, consulte Modelo do controle de acesso aos dados no OneLake.
Proteção para a malha de dados
A malha de dados é um paradigma da arquitetura que trata os dados como um produto, e não como um serviço ou recurso. A malha de dados visa descentralizar a propriedade e a governança de dados em diferentes domínios e equipes, permitindo a interoperabilidade e a capacidade de descoberta por meio de uma plataforma comum. Em uma arquitetura de malha de dados, cada equipe descentralizada gerencia a propriedade dos dados que fazem parte do seu produto de dados. As diretrizes de segurança fornecidas nesta seção focam em uma única equipe de produtos de dados que configura o acesso ao seu espaço de trabalho. As etapas devem ser repetidas por cada equipe de produto de dados em seu próprio espaço de trabalho, pois permitem o acesso para usuários downstream.
Para começar a criar uma malha de dados, use orecurso de domínio do Microsoft Fabric para marcar os espaços de trabalho de acordo com o produto de dados e propriedade associados.
Dentro dos domínios, cada equipe tem seu próprio espaço ou espaços de trabalho. O espaço de trabalho armazena os dados necessários para criar os produtos de dados finais para consumo. Conceda aos usuários acesso ao espaço de trabalho usando funções do espaço de trabalho.
Identifique os consumidores downstream dos seus produtos de dados e conceda acesso de acordo com as permissões mínimas necessárias para atingir seus objetivos. Para manter os usuários alinhados com as experiências esperadas, cada tipo de usuário downstream pode ter acesso a um único item de dados do Fabric. A tabela abaixo mostra alguns casos de uso comuns para os consumidores de malha de dados e os itens do Fabric relevantes.
| Usuário | Itens do Fabric |
|---|---|
| Cientistas de dados | Notebooks do Apache Spark ou lakehouse |
| Engenheiros de dados | Notebooks, fluxos de dados ou pipelines do Apache Spark |
| Analistas de negócios | Ponto de extremidade de análise do SQL |
| Criadores de relatórios | Modelos semânticos |
| Consumidores de relatórios | Relatórios do Power BI |
Seguro para hub e spoke
Uma arquitetura de hub e spoke difere de uma malha de dados por ter todos os produtos de dados certificados gerenciados em um único local com propriedade centralizada. Os consumidores downstream estão menos focados na criação de produtos de dados adicionais e, em vez disso, realizam análises nos dados produzidos pela equipe central.
Identifique os consumidores downstream e conceda acesso a eles de acordo com as permissões mínimas necessárias para atingir seus objetivos. Para manter os usuários alinhados com as experiências esperadas, cada tipo de usuário downstream pode ter acesso a um único item de dados do Fabric. A tabela de persona do usuário mostra alguns casos de uso comuns para hub e spoke, junto com os itens relevantes do Fabric.
| Usuário | Itens do Fabric |
|---|---|
| Cientistas de dados | Notebooks do Apache Spark ou lakehouse |
| Analistas de negócios | Ponto de extremidade de análise do SQL |
| Criadores de relatórios | Modelos semânticos |
| Consumidores de relatórios | Relatórios do Power BI |
Funções de workspace
As atribuições de função do espaço de trabalho seguem as mesmas diretrizes para as arquiteturas da malha de dados e de hub e spoke. A tabela de responsabilidades de trabalho descreve qual função do espaço de trabalho atribuir aos usuários com base nas funções que eles executam no espaço de trabalho.
| Responsabilidades do cargo | Função do espaço de trabalho |
|---|---|
| Ter propriedade do espaço de trabalho e gerenciar as atribuições de função | Administrador |
| Gerenciar as atribuições de função para usuários não administradores | Membro |
| Criar itens do Fabric e gravar dados | Colaborador |
| Criar tabelas e exibições com SQL | Permissões do SQL e do visualizador |
Cientistas de dados
Os cientistas de dados precisam de acesso a dados em um lakehouse para consumir por meio do Apache Spark. Para a malha de dados e o hub e spoke, os usuários do Spark consomem dados de um espaço de trabalho separado daquele no qual os dados residem. Isso permite que os cientistas de dados tenham acesso para criar modelos e experimentos sem adicionar acúmulos ao espaço de trabalho que contém os dados. Os cientistas de dados também podem usar outros serviços que não sejam do Spark e que se conectam diretamente aos caminhos de dados do OneLake, como o Azure Databricks ou o Dremio.
Para fornecer acesso aos cientistas de dados, use o botão de compartilhamento para compartilhar o lakehouse. Selecione a caixa Ler todo o Apache Spark na caixa de diálogo. Para lakehouses com funções de acesso aos dados do OneLake habilitadas, conceda acesso aos mesmos usuários adicionando-os a uma função de acesso aos dados do OneLake. O uso das funções de acesso aos dados do OneLake oferece acesso mais refinado aos dados. Os engenheiros de dados podem criar atalhos para selecionar tabelas ou pastas em um lakehouse.
Engenheiros de dados
Os engenheiros de dados precisam de acesso aos dados em um lakehouse para criar produtos de dados downstream. Os engenheiros de dados precisam acessar os dados no OneLake para que os pipelines ou os notebooks possam ser criados para ler os dados. Em um modelo verdadeiro de hub e spoke, a função de engenheiro de dados existe somente dentro das camadas da equipe do hub central. No entanto, para a malha de dados, os engenheiros de dados combinam os produtos de dados entre domínios para criar novos conjuntos de dados.
Use o botão de compartilhamento para compartilhar o lakehouse com os engenheiros de dados. Marque a caixa Ler todo o Apache Spark na caixa de diálogo. Para lakehouses com funções de acesso aos dados do OneLake habilitadas, conceda acesso aos mesmos usuários adicionando-os a uma função de acesso aos dados do OneLake. O uso das funções de acesso aos dados do OneLake oferece acesso mais refinado aos dados. Os engenheiros de dados podem criar atalhos para selecionar tabelas ou pastas em um lakehouse.
Analistas de negócios
Os analistas de negócios (às vezes chamados de analistas de dados) consultam dados por meio do SQL para responder a perguntas de negócios.
Use o botão de compartilhamento para compartilhar o lakehouse com os analistas de negócios. Marque a caixa Ler todos os dados do ponto de extremidade SQL na caixa de diálogo. Essa configuração concede aos analistas de negócios acesso aos dados no ponto de extremidade de análise do SQL de um lakehouse, mas não para visualizar os arquivos do OneLake subjacentes.
O acesso aos dados pode ser ainda mais restrito para esses usuários definindo a segurança em nível de linha ou coluna diretamente no SQL.
Criadores de relatórios
Os criadores de relatórios geram relatórios do Power BI para consumo de outros usuários.
Use o botão de compartilhamento para compartilhar o lakehouse com os criadores de relatórios. Marque a caixa Criar relatórios no modelo semântico padrão na caixa de diálogo. Isso permite que os criadores de relatórios criem relatórios usando o modelo semântico associado ao lakehouse. Esses usuários não podem acessar os dados no OneLake ou ter acesso total ao ponto de extremidade de análise do SQL.
Consumidores de relatórios
Os consumidores de relatórios são líderes ou diretores de empresas que visualizam dados em um relatório do Power BI para tomar decisões.
Compartilhe um relatório com os consumidores usando o botão de compartilhamento. Não marque nenhuma das caixas para conceder acesso para a leitura do relatório, mas não visualize nenhum dos dados subjacentes. Para impedir que os usuários acessem o ponto de extremidade de análise do SQL e visualizem as tabelas, não defina as permissões SQL que concedam acesso a esses usuários.
Compartilhe também os dados com consumidores de relatórios usando um aplicativo. Os aplicativos permitem que os usuários acessem um relatório predefinido ou um conjunto de relatórios sem precisar acessar o espaço de trabalho subjacente. Observe que, para os relatórios no modo lake direto, os usuários precisarão ter o lakehouse subjacente compartilhado com eles para visualizar os dados.