Compartilhar via


Proteja o Fabric Data Warehouse

Aplica-se a:✅ Warehouse do Microsoft Fabric

O Fabric Data Warehouse fornece uma solução de data warehouse empresarial, gerenciada totalmente e totalmente integrada no Microsoft Fabric. No entanto, ao armazenar dados confidenciais e comercialmente críticos, você deve tomar medidas para maximizar a segurança de seus armazéns e os dados armazenados neles.

Este artigo fornece diretrizes sobre como proteger melhor seu armazém no Microsoft Fabric.

Modelo de acesso ao warehouse

As permissões do Microsoft Fabric e as permissões de SQL granulares funcionam em conjunto para controlar o acesso ao armazém e as permissões do usuário uma vez conectadas.

  • A conectividade do armazém depende da concessão, no mínimo, da permissão de leitura do Microsoft Fabric para o armazém.
  • As permissões de item do Microsoft Fabric permitem fornecer permissões SQL a um usuário, sem a necessidade de conceder essas permissões no SQL.
  • As funções do espaço de trabalho no Microsoft Fabric fornecem permissões do Microsoft Fabric para todos os armazéns em um espaço de trabalho.
  • As permissões de usuário granulares podem ser gerenciadas ainda mais por meio do T-SQL.
  • Usuários com associação de função de workspace de administrador, membro ou colaborador podem usar identidades de serviço para gerenciar data warehouses por meio das APIs REST do Fabric.

Funções de espaço de trabalho

Os papéis no espaço de trabalho são utilizados para a colaboração da equipe de desenvolvimento em um espaço de trabalho. A atribuição de função determina as ações disponíveis para o usuário e se aplica a todos os itens dentro do workspace.

Para obter detalhes sobre os recursos específicos do Warehouse fornecidos por meio de funções de workspace, consulte as funções de workspace no Fabric Data Warehouse.

Permissões de item

Ao contrário das funções do espaço de trabalho, que se aplicam a todos os itens em um espaço de trabalho, as permissões de item podem ser atribuídas diretamente a armazéns individuais.

Sempre siga o princípio do menor privilégio ao conceder permissões e atribuições de função. Ao avaliar as permissões a serem atribuídas a um usuário, considere as seguintes diretrizes:

  • Se eles exigirem principalmente acesso somente leitura, atribua-os à função Visualizador e conceda acesso de leitura em objetos específicos por meio do T-SQL. Para obter mais informações, consulte Gerenciar permissões granulares do SQL.
  • Somente os membros da equipe que estão colaborando na solução devem ser designados para as funções de espaço de trabalho Administrador, Membro e Colaborador, pois essas funções fornecem acesso a todos os itens dentro do espaço de trabalho.
  • Se forem usuários com privilégios mais altos, atribua-os às funções Administração, Membro ou Colaborador. A função apropriada depende das outras ações que elas precisam executar.
  • Outros usuários, que só precisam de acesso a um data warehouse individual ou exigem acesso apenas a objetos SQL específicos, devem receber permissões de Item do Fabric e ser concedidos acesso através do SQL aos objetos específicos.
  • Você também pode gerenciar permissões em grupos de ID do Microsoft Entra, em vez de adicionar cada membro específico. Para obter mais informações, confira Autenticação do Microsoft Entra como uma alternativa para a autenticação SQL no Microsoft Fabric.
  • Monitore a atividade do usuário em seu armazém com logs de auditoria do usuário.

Para obter mais informações sobre compartilhamento, consulte Compartilhar seu dados e gerenciar permissões.

Segurança granular

As funções de workspace e as permissões de item fornecem uma maneira fácil de atribuir permissões grosseiras a um usuário para todo o warehouse. No entanto, em alguns casos, permissões mais granulares são necessárias para um usuário. Para fazer isso, constructos T-SQL padrão podem ser usados para fornecer permissões específicas aos usuários.

O armazenamento de dados do Microsoft Fabric dá suporte a várias tecnologias de proteção de dados que os administradores podem usar para proteger dados confidenciais contra acesso não autorizado. Ao proteger ou ofuscar dados contra o acesso de usuários ou funções não autorizadas, esses recursos de segurança podem fornecer proteção de dados tanto no ponto de extremidade do Warehouse quanto no de análises SQL, sem a necessidade de alterações no aplicativo.

Segurança em nível de objeto

A segurança em nível de objeto é um mecanismo de segurança que controla o acesso a objetos de banco de dados específicos, como tabelas, exibições ou procedimentos, com base em privilégios ou funções do usuário. Ele garante que os usuários ou funções só possam interagir e manipular os objetos para os quais receberam permissões, protegendo a integridade e a confidencialidade do esquema de banco de dados e seus recursos associados.

Para obter detalhes sobre o gerenciamento de permissões granulares no SQL, consulte as permissões granulares do SQL no Microsoft Fabric.

Segurança em nível de linha

A segurança em nível de linha é um recurso de segurança de banco de dados que restringe o acesso a linhas ou registros individuais em uma tabela de banco de dados com base em critérios especificados, como funções de usuário ou atributos. Ele garante que os usuários só possam visualizar ou manipular dados que estejam explicitamente autorizados para seu acesso, melhorando a privacidade e o controle dos dados.

Para obter detalhes sobre segurança em nível de linha, consulte segurança em nível de linha no armazenamento de dados do Fabric.

Segurança em nível de coluna

A segurança em nível de coluna é uma medida de segurança de banco de dados que limita o acesso a colunas ou campos específicos dentro de uma tabela de banco de dados, permitindo que os usuários vejam e interajam apenas com as colunas autorizadas enquanto ocultam informações confidenciais ou restritas. Ele oferece controle refinado sobre o acesso a dados, protegendo dados confidenciais em um banco de dados.

Para obter detalhes sobre segurança em nível de coluna, consulte Segurança em nível de coluna no armazenamento de dados do Fabric.

Mascaramento de dados dinâmicos

O mascaramento de dados dinâmicos ajuda a impedir a exibição não autorizada de dados confidenciais, permitindo que os administradores especifiquem a quantidade de dados confidenciais a serem revelados, com efeito mínimo na camada do aplicativo. O mascaramento de dados dinâmico pode ser configurado em campos de banco de dados designados para ocultar dados confidenciais nos conjuntos de resultados de consultas. Com o mascaramento de dados dinâmico, os dados no banco de dados não são alterados, portanto, podem ser usados com aplicativos existentes, uma vez que as regras de mascaramento são aplicadas aos resultados da consulta. Muitos aplicativos podem mascarar dados confidenciais sem modificar consultas existentes.

Para obter detalhes sobre mascaramento de dados dinâmicos, consulte Mascaramento de dados dinâmicos no armazenamento de dados do Fabric.

Logs de auditoria do usuário

Para monitorar a atividade do usuário no warehouse e no ponto de extremidade de análise SQL, a fim de atender aos requisitos de conformidade regulatória e gerenciamento de registros, um conjunto de atividades de auditoria pode ser acessado por meio do Microsoft Purview e do PowerShell.

Segurança de endpoint de analítica SQL

Para obter mais informações sobre segurança no ponto de extremidade de análise de SQL, consulte a segurança do OneLake para pontos de extremidade de análise de SQL.

Criptografia de CMK (chave gerenciada pelo cliente)

Você pode aprimorar sua postura de segurança usando CMK (chaves gerenciadas pelo cliente), fornecendo controle direto sobre as chaves de criptografia que protegem seus dados e metadados. Quando você habilita o CMK para um workspace que contém um Fabric Data Warehouse, os dados do OneLake e os metadados do data warehouse são protegidos usando suas chaves de criptografia que estão hospedadas no Azure Key Vault. Para obter mais informações, consulte a Criptografia de Dados no Fabric Data Warehouse.