Modelo de seguridad de Microsoft Fabric

Microsoft Fabric emplea un modelo de seguridad flexible y en capas que permite restringir el acceso a los datos según el principio de privilegios mínimos.

Niveles de seguridad en Fabric

El acceso se evalúa en el siguiente orden:

  1. Autenticación de Microsoft Entra ID: Verifica la identidad del usuario.
  2. Acceso a Fabric: Determina si el usuario puede acceder al servicio.
  3. Seguridad de datos: Controla qué acciones puede realizar el usuario sobre tablas o archivos.

El tercer nivel, seguridad de datos, se configura mediante diferentes controles de acceso:

  • Roles de área de trabajo
  • Permisos de elementos
  • Permisos pormenorizados (nivel de tabla, fila, objeto SQL, carpetas)
  • Controles de acceso a datos de OneLake (versión preliminar)

Estos controles pueden aplicarse individualmente o combinados para alinearse con las necesidades de seguridad de la organización.

Configuración de permisos en Fabric

1. Roles de área de trabajo

Una área de trabajo en Fabric agrupa elementos como almacenes de lago de datos, modelos semánticos y almacenes de datos.
Los roles de área de trabajo definen los permisos generales sobre todos los elementos en una única área de trabajo.

Roles disponibles

  

Ejemplo de asignación de roles

  • Un ingeniero de datos necesita crear elementos en un área de trabajo y acceder a datos en un almacén de lago de datos.
  • Se le asigna el rol Colaborador, que le permite:
    • Modificar contenido en el área de trabajo.
    • Leer datos en el almacén de lago.

Cómo asignar roles

  1. En la área de trabajo, hacer clic en "Administrar acceso".
  2. Agregar el usuario y asignarle el rol correspondiente.

2. Permisos de elementos

Si un usuario no necesita acceso completo a un área de trabajo, se pueden configurar permisos específicos para elementos individuales.

Ejemplo de uso

  • Un ingeniero de datos tenía el rol Colaborador, pero ya no necesita modificar elementos.
  • En lugar de darle acceso completo al área de trabajo, se eliminan sus permisos globales y se le asignan permisos de lectura solo para un almacén de lago específico.

Cómo configurar permisos de elementos

  1. En el área de trabajo, hacer clic en "..." junto al elemento.
  2. Seleccionar "Administrar permisos".
  3. Conceder acceso según sea necesario (solo lectura, lectura de datos, etc.).

3. Permisos pormenorizados

Si los permisos de área de trabajo o de elementos no son suficientes, se pueden aplicar permisos granulares dentro de Fabric.

Opciones de permisos granulares

 

4. Configuración del acceso en el almacén de lago de datos (Lakehouse)

Fabric permite acceder a un almacén de lago de datos mediante dos vistas:

  1. Vista de Lago: Usada por Apache Spark y la ingeniería de datos.
  2. Vista SQL: Usada para análisis SQL con T-SQL.

Uso del punto de conexión SQL Analytics

  • Permite leer datos en la carpeta /Tablas de un almacén de lago de datos.
  • Se pueden aplicar permisos detallados mediante T-SQL con los siguientes comandos:
    • GRANT → Concede acceso.
    • DENY → Restringe acceso.
    • REVOKE → Revoca acceso.

Ejemplo de permisos de seguridad en SQL Analytics

  • Seguridad de nivel de fila: Limita las filas que un usuario puede consultar.
  • Seguridad de nivel de columna: Restringe columnas visibles en una consulta.
  • Enmascaramiento dinámico de datos: Oculta datos sensibles sin cambiar los valores almacenados.

5. Seguridad en OneLake (versión preliminar)

  • Permite restringir acceso a carpetas y archivos específicos dentro del almacén de lago de datos.
  • Se configuran roles de acceso a datos de OneLake, que conceden acceso a carpetas específicas.
  • Los permisos pueden heredarse a subcarpetas.

Cómo configurar seguridad en OneLake

  1. Seleccionar "Administrar acceso a datos de OneLake" en el menú del almacén de lago.
  2. Crear un nuevo rol y seleccionar las carpetas que se concederán.
  3. Asignar usuarios o grupos al rol con los permisos adecuados.

6. Permisos en modelos semánticos

Seguridad en modelos semánticos

Los permisos sobre un modelo semántico dependen del rol del usuario en el área de trabajo.

  • Los permisos más avanzados se configuran con RLS (seguridad de nivel de fila) usando DAX.
  • Para más personalización, se pueden aplicar reglas dinámicas de RLS.