Como proteger dados para arquiteturas de dados comuns
Este artigo fornece uma visão geral de como configurar a segurança para dados do OneLake para arquiteturas de malha de dados e hub e spoke .
Funcionalidades de segurança
O Microsoft Fabric usa um modelo de segurança multicamadas com diferentes controles disponíveis em diferentes níveis para fornecer apenas as permissões mínimas necessárias. Para obter mais informações sobre os diferentes tipos de segurança discutidos neste guia de instruções, consulte Modelo de controle de acesso a dados no OneLake.
Seguro para malha de dados
A malha de dados é um paradigma arquitetônico que trata os dados como um produto, e não como um serviço ou um recurso. A malha de dados visa descentralizar a propriedade e a governança dos dados em diferentes domínios e equipes, permitindo a interoperabilidade e a capacidade de descoberta por meio de uma plataforma comum. Em uma arquitetura de malha de dados, cada equipe descentralizada gerencia a propriedade dos dados que fazem parte de seu produto de dados. As diretrizes de segurança fornecidas nesta seção se concentram em uma única equipe de produto de dados que configura o acesso para seu espaço de trabalho. As etapas devem ser repetidas por cada equipe de produto de dados em seu próprio espaço de trabalho, pois permitem o acesso para usuários downstream.
Para começar a criar uma malha de dados, use o recurso de domínio do Microsoft Fabric para marcar espaços de trabalho de acordo com seu produto de dados associado e propriedade.
Dentro dos domínios, cada equipe tem seu próprio espaço de trabalho ou espaços de trabalho. O espaço de trabalho armazena os dados necessários para criar os produtos de dados finais para consumo. Conceda aos usuários acesso ao espaço de trabalho usando funções de espaço de trabalho.
Identifique os consumidores downstream de seus produtos de dados e conceda acesso de acordo com as permissões mínimas necessárias para atingir suas metas. Para manter os usuários alinhados com suas experiências-alvo, cada tipo de usuário downstream pode ter acesso a um único item de dados do Fabric. A tabela abaixo mostra alguns casos de uso comuns para consumidores de malha de dados e os itens de malha relevantes.
| User | Artigos de tecido |
|---|---|
| Cientistas de dados | Notebooks Apache Spark ou lakehouse |
| Engenheiros de dados | Notebooks, fluxos de dados ou pipelines do Apache Spark |
| Analistas de negócios | Ponto de extremidade de análise SQL |
| Criadores de relatórios | Modelos semânticos |
| Denuncie os consumidores | Relatórios do Power BI |
Seguro para hub e spoke
Uma arquitetura de hub and spoke difere de uma malha de dados por ter todos os produtos de dados certificados gerenciados em um único local de propriedade central. Os consumidores a jusante estão menos focados na criação de produtos de dados adicionais e, em vez disso, realizam análises nos dados produzidos pela equipa central.
Identificar os consumidores a jusante e conceder acesso de acordo com as permissões mínimas necessárias para atingir os seus objetivos. Para manter os usuários alinhados com suas experiências-alvo, cada tipo de usuário downstream pode ter acesso a um único item de dados do Fabric. A tabela de persona do usuário mostra alguns casos de uso comuns para hub e spoke junto com os itens de malha relevantes.
| User | Artigos de tecido |
|---|---|
| Cientistas de dados | Notebooks Apache Spark ou lakehouse |
| Analistas de negócios | Ponto de extremidade de análise SQL |
| Criadores de relatórios | Modelos semânticos |
| Denuncie os consumidores | Relatórios do Power BI |
Funções do espaço de trabalho
As atribuições de função de espaço de trabalho seguem as mesmas diretrizes para arquiteturas de hub e spoke e malha de dados. A tabela de responsabilidades de trabalho descreve qual função de espaço de trabalho atribuir aos usuários com base nas funções que eles executam no espaço de trabalho.
| Responsabilidades do trabalho | Função de espaço de trabalho |
|---|---|
| Possuir o espaço de trabalho e gerenciar atribuições de função | Administrador |
| Gerenciar atribuições de função para usuários não administradores | Membro |
| Criar itens de malha e gravar dados | Contribuinte |
| Criar tabelas e exibições com SQL | Visualizador + permissões SQL |
Cientistas de dados
Os cientistas de dados precisam ter acesso aos dados em um lago para consumir através do Apache Spark. Para malha de dados e hub e spoke, os usuários do Spark consomem dados de um espaço de trabalho separado daquele em que os dados residem. Isso permite que os cientistas de dados tenham acesso para criar modelos e experimentos sem adicionar confusão ao espaço de trabalho que contém os dados. Os cientistas de dados também podem usar outros serviços que não sejam do Spark que se conectam diretamente aos caminhos de dados do OneLake, como o Azure Databricks ou o Dremio.
Para fornecer acesso para cientistas de dados, use o botão de compartilhamento para compartilhar a casa do lago. Selecione a caixa Ler tudo o Apache Spark na caixa de diálogo. Para lakehouses com funções de acesso a dados OneLake habilitadas, conceda acesso aos mesmos usuários adicionando-os a uma função de acesso a dados OneLake. O uso de funções de acesso a dados do OneLake oferece acesso mais refinado aos dados. Os engenheiros de dados podem, então, criar atalhos para selecionar tabelas ou pastas em uma casa do lago.
Engenheiros de dados
Os engenheiros de dados precisam ter acesso aos dados em um lago para criar produtos de dados downstream. Os engenheiros de dados precisam acessar os dados no OneLake para que pipelines ou notebooks possam ser criados para ler os dados. Em um modelo verdadeiro de hub and spoke, a função de engenheiro de dados existe apenas dentro das camadas da equipe do hub central. No entanto, para malha de dados, os engenheiros de dados combinam produtos de dados entre domínios para criar novos conjuntos de dados.
Use o botão de compartilhamento para compartilhar a casa do lago com engenheiros de dados. Marque a caixa Ler tudo do Apache Spark na caixa de diálogo. Para lakehouses com funções de acesso a dados OneLake habilitadas, conceda acesso aos mesmos usuários adicionando-os a uma função de acesso a dados OneLake. O uso de funções de acesso a dados do OneLake oferece acesso mais refinado aos dados. Os engenheiros de dados podem, então, criar atalhos para selecionar tabelas ou pastas em uma casa do lago.
Analistas de negócio
Os analistas de negócios (às vezes chamam analistas de dados) consultam dados por meio de SQL para responder a perguntas de negócios.
Use o botão de compartilhamento para compartilhar a casa do lago com os analistas de negócios. Marque a caixa Ler todos os dados do ponto de extremidade SQL na caixa de diálogo. Essa configuração dá aos analistas de negócios acesso aos dados no ponto de extremidade de análise SQL de um Lakehouse, mas não para ver os arquivos OneLake subjacentes.
O acesso aos dados pode ser ainda mais restrito para esses usuários, definindo a segurança em nível de linha ou coluna diretamente no SQL.
Criadores de relatórios
Os criadores de relatórios criam relatórios do Power BI para outros usuários consumirem.
Use o botão de compartilhamento para compartilhar a casa do lago com os criadores de relatórios. Marque a caixa Criar relatórios no modelo semântico padrão na caixa de diálogo. Essa permissão permite que os criadores de relatórios criem relatórios usando o modelo semântico associado ao lakehouse. Esses usuários não podem acessar os dados no OneLake ou ter acesso total ao ponto de extremidade de análise SQL.
Denuncie os consumidores
Os consumidores de relatório são os líderes de negócios ou diretores que exibem dados em um relatório do Power BI para tomar decisões.
Compartilhe um relatório com os consumidores usando o botão de compartilhamento. Não marque nenhuma das caixas para conceder acesso para ler o relatório, mas não veja nenhum dos dados subjacentes. Para impedir que os usuários acessem o ponto de extremidade de análise SQL e visualizem tabelas, certifique-se de que não sejam definidas permissões SQL que concedam acesso a esses usuários.
Você também pode compartilhar dados com consumidores de relatório usando um aplicativo. Os aplicativos permitem que os usuários acessem um relatório predefinido ou um conjunto de relatórios sem precisar acessar o espaço de trabalho subjacente. Observe que, para relatórios no modo lago direto, os usuários precisarão ter a casa do lago subjacente compartilhada com eles para ver os dados.