Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Tip
Microsoft Fabric Data Warehouse es un almacenamiento relacional de escala empresarial en una base de lago de datos, con una arquitectura lista para el futuro, inteligencia artificial integrada y nuevas características. Si no está familiarizado con el almacenamiento de datos, comience con Fabric Data Warehouse. Las cargas de trabajo del grupo de SQL dedicadas pueden actualizarse a Fabric para acceder a nuevas funcionalidades en ciencia de datos, análisis en tiempo real e informes.
En Azure Synapse Analytics, Spark databases y tables se comparten con el grupo de SQL sin servidor. Las bases de datos de Lago, Parquet y tablas con copia de seguridad csv creadas con Spark están disponibles automáticamente en el grupo de SQL sin servidor. Esta característica permite usar el grupo de SQL sin servidor para explorar y consultar los datos preparados mediante grupos de Spark. En el diagrama siguiente, puede ver una introducción a la arquitectura de alto nivel para usar esta característica. En primer lugar, los Pipelines de datos de Azure Synapse mueven datos de un almacenamiento en las instalaciones (u otro) a Azure Data Lake Storage. Spark ahora puede enriquecer los datos y crear bases de datos y tablas que se sincronizan con Synapse SQL sin servidor. Más adelante, el usuario puede ejecutar consultas ad hoc sobre los datos enriquecidos o servirlas para Power BI por ejemplo.
Acceso de administrador completo(sysadmin)
Una vez que estas bases de datos y tablas se sincronizan entre Spark y un grupo de SQL sin servidor, estas tablas externas del grupo de SQL sin servidor se pueden usar para acceder a los mismos datos. Sin embargo, los objetos del grupo de SQL sin servidor son de solo lectura para mantener la coherencia con los objetos de los grupos de Spark. La limitación implica que únicamente los usuarios con los roles de Administrador de SQL de Synapse o Administrador de Synapse pueden acceder a estos objetos en el grupo SQL sin servidor. Si un usuario que no es administrador intenta ejecutar una consulta en la base de datos o tabla sincronizadas, recibirá un error similar al siguiente:
External table '<table>' is not accessible because content of directory cannot be listed. a pesar de que tienen acceso a los datos de las cuentas de almacenamiento subyacentes.
Dado que las bases de datos sincronizadas del grupo de SQL sin servidor son de solo lectura, no se pueden modificar. Si se intenta crear un usuario o conceder otros permisos, se producirá un error. Para leer las bases de datos sincronizadas, debe tener permisos de nivel de servidor con privilegios (como sysadmin). Esta limitación también está presente en tablas externas del grupo SQL sin servidor al usar Azure Synapse Link para Dataverse y tablas de bases de datos del lago.
Acceso no administrador a bases de datos sincronizadas
Normalmente, un usuario que necesita leer datos y crear informes no tiene acceso de administrador completo (sysadmin). Este usuario suele ser analista de datos que solo necesita leer y analizar datos mediante las tablas existentes. No necesitan crear nuevos objetos.
Un usuario con permiso mínimo debe ser capaz de:
- Conexión a una base de datos replicada desde Spark
- Seleccione los datos a través de tablas externas y acceda a los datos de ADLS subyacentes.
Después de ejecutar el script de código siguiente, permitirá a los usuarios que no son administradores tener permisos de nivel de servidor para conectarse a cualquier base de datos. También permitirá a los usuarios ver datos de todos los objetos de nivel de esquema, como tablas o vistas. La seguridad de acceso a datos se puede administrar en la capa de almacenamiento.
-- Creating Azure AD login (same can be achieved for Azure AD app)
CREATE LOGIN [login@contoso.com] FROM EXTERNAL PROVIDER;
go;
GRANT CONNECT ANY DATABASE to [login@contoso.com];
GRANT SELECT ALL USER SECURABLES to [login@contoso.com];
GO;
Note
Estas instrucciones deben ejecutarse en la base de datos maestra, ya que son todos los permisos de nivel de servidor.
Después de crear un inicio de sesión y conceder permisos, los usuarios pueden ejecutar consultas sobre las tablas externas sincronizadas. Esta mitigación también se puede aplicar a los grupos de seguridad de Microsoft Entra.
Se puede administrar más seguridad en los objetos a través de esquemas específicos y bloquear el acceso a un esquema específico. La solución alternativa requiere DDL adicional. En este escenario, puede crear una base de datos, esquemas y vistas sin servidor que apunten a los datos de tablas de Spark en ADLS.
El acceso a los datos de la cuenta de almacenamiento se puede administrar a través de los roles
Note
- Si desea prohibir el uso de OPENROWSET sobre los datos, puede usar
DENY ADMINISTER BULK OPERATIONS to [login@contoso.com];Para obtener más información, visite DENY Server permissions (Permisos del servidor DENY). - Si desea prohibir el uso de esquemas específicos, puede usar
DENY SELECT ON SCHEMA::[schema_name] TO [login@contoso.com];Para obtener más información, visite DENY Schema Permissions (Permisos de esquema DENY).
Pasos siguientes
Para obtener más información, consulte Autenticación de SQL.