Sdílet prostřednictvím


Zabezpečení datových skladů v Microsoft Fabric

Platí pro:✅ Koncový bod sql Analytics a sklad v Microsoft Fabric

Tento článek se zabývá tématy zabezpečení pro zabezpečení koncového bodu analýzy SQL lakehouse a skladu v Microsoft Fabric.

Informace o zabezpečení Microsoft Fabric najdete v tématu Zabezpečení v Microsoft Fabric.

Informace o připojení ke koncovému bodu analýzy SQL a skladu najdete v tématu Připojení.

Model přístupu k skladu

Oprávnění Microsoft Fabric a podrobná oprávnění SQL spolupracují na řízení přístupu ke skladu a uživatelských oprávnění po připojení.

  • Připojení ke skladu závisí na udělení oprávnění Microsoft Fabric Read minimálně pro sklad.
  • Oprávnění k položce Microsoft Fabric umožňují uživateli poskytnout oprávnění SQL bez nutnosti udělit tato oprávnění v rámci SQL.
  • Role pracovního prostoru Microsoft Fabric poskytují oprávnění Microsoft Fabric pro všechny sklady v rámci pracovního prostoru.
  • Podrobná uživatelská oprávnění je možné dále spravovat prostřednictvím T-SQL.

Role pracovního prostoru

Role pracovního prostoru se používají pro spolupráci vývojového týmu v rámci pracovního prostoru. Přiřazení role určuje akce, které jsou uživateli k dispozici, a vztahuje se na všechny položky v pracovním prostoru.

Podrobnosti o konkrétních možnostech skladu poskytovaných prostřednictvím rolí pracovního prostoru najdete v tématu Role pracovního prostoru v datových skladech Fabric.

Oprávnění k položce

Na rozdíl od rolí pracovního prostoru, které platí pro všechny položky v pracovním prostoru, je možné oprávnění položek přiřadit přímo jednotlivým skladům. Uživatel obdrží přiřazené oprávnění pro tento jediný sklad. Primárním účelem těchto oprávnění je povolit sdílení pro příjem podřízeného skladu.

Podrobnosti o konkrétních oprávněních zadaných pro sklady najdete v tématu Sdílení dat a správa oprávnění.

Podrobné zabezpečení

Role pracovního prostoru a oprávnění k položce poskytují snadný způsob, jak uživateli přiřadit hrubá oprávnění pro celý sklad. V některých případech je však pro uživatele potřeba podrobnější oprávnění. K tomu je možné použít standardní konstrukce T-SQL k poskytování konkrétních oprávnění uživatelům.

Datové sklady Microsoft Fabric podporují několik technologií ochrany dat, které můžou správci použít k ochraně citlivých dat před neoprávněným přístupem. Zabezpečením nebo obfuzením dat před neoprávněnými uživateli nebo rolemi můžou tyto funkce zabezpečení poskytovat ochranu dat v koncovém bodu služby Warehouse i SQL Analytics bez změn aplikací.

  • Zabezpečení na úrovni objektů řídí přístup ke konkrétním databázovým objektům.
  • Zabezpečení na úrovni sloupců zabraňuje neoprávněnému zobrazení sloupců v tabulkách.
  • Zabezpečení na úrovni řádků brání neoprávněnému zobrazení řádků v tabulkách pomocí známých WHERE predikátů filtru klauzulí.
  • Dynamické maskování dat zabraňuje neoprávněnému zobrazení citlivých dat pomocí masek, aby se zabránilo přístupu k dokončení, jako jsou e-mailové adresy nebo čísla.

Zabezpečení na úrovni objektů

Zabezpečení na úrovni objektů je mechanismus zabezpečení, který řídí přístup ke konkrétním databázovým objektům, jako jsou tabulky, zobrazení nebo procedury, na základě uživatelských oprávnění nebo rolí. Zajišťuje, že uživatelé nebo role můžou pracovat pouze s objekty, pro které mají udělená oprávnění, chránit integritu a důvěrnost schématu databáze a související prostředky a manipulovat s nimi.

Podrobnosti o správě podrobných oprávnění v SQL najdete v tématu Podrobné oprávnění SQL.

Zabezpečení na úrovni řádků

Zabezpečení na úrovni řádků je funkce zabezpečení databáze, která omezuje přístup k jednotlivým řádkům nebo záznamům v tabulce databáze na základě zadaných kritérií, jako jsou role uživatele nebo atributy. Zajišťuje, že uživatelé můžou zobrazovat nebo manipulovat pouze s daty, která jsou explicitně autorizovaná pro jejich přístup, což zvyšuje ochranu osobních údajů a řízení dat.

Podrobnosti o zabezpečení na úrovni řádků najdete v tématu Zabezpečení na úrovni řádků v datových skladech Fabric.

Zabezpečení na úrovni sloupců

Zabezpečení na úrovni sloupců je míra zabezpečení databáze, která omezuje přístup ke konkrétním sloupcům nebo polím v tabulce databáze, což uživatelům umožňuje zobrazit a pracovat jenom s autorizovanými sloupci a zároveň skrýt citlivé nebo omezené informace. Nabízí jemně odstupňovanou kontrolu nad přístupem k datům a chrání důvěrná data v databázi.

Podrobnosti o zabezpečení na úrovni sloupců najdete v tématu Zabezpečení na úrovni sloupců v datových skladech Prostředků infrastruktury.

Dynamické maskování dat

Dynamické maskování dat pomáhá zabránit neoprávněnému prohlížení citlivých dat tím, že správcům umožňuje určit, kolik citlivých dat se má odhalit, s minimálním účinkem na aplikační vrstvu. Dynamické maskování dat lze nakonfigurovat u určených databázových polí, aby se v sadách výsledků dotazů skryla citlivá data. Při dynamickém maskování dat se data v databázi nezmění, takže je můžete použít s existujícími aplikacemi, protože se na výsledky dotazu použijí pravidla maskování. Mnoho aplikací může maskovat citlivá data beze změny existujících dotazů.

Podrobnosti o dynamickém maskování dat najdete v tématu Dynamické maskování dat v datových skladech Prostředků infrastruktury.

Sdílení skladu

Sdílení je pohodlný způsob, jak uživatelům poskytnout přístup ke čtení vašeho skladu pro příjem dat. Sdílení umožňuje podřízeným uživatelům ve vaší organizaci využívat sklad pomocí SQL, Sparku nebo Power BI. Můžete přizpůsobit úroveň oprávnění, která je sdílenému příjemci udělena, a poskytnout tak odpovídající úroveň přístupu.

Další informace o sdílení najdete v tématu Sdílení dat a správa oprávnění.

Pokyny k přístupu uživatelů

Při vyhodnocování oprávnění k přiřazení uživateli zvažte následující doprovodné materiály:

  • Ke všem položkám v pracovním prostoru by měli být přiřazeni jenom členové týmu, kteří na řešení aktuálně spolupracují (správce, člen, přispěvatel), protože jim to umožňuje přístup ke všem položkám v pracovním prostoru.
  • Pokud primárně vyžadují přístup jen pro čtení, přiřaďte je k roli Čtenář a udělte oprávnění ke čtení pro konkrétní objekty prostřednictvím T-SQL. Další informace najdete v tématu Správa podrobných oprávnění SQL.
  • Pokud jsou uživatelé s vyššími oprávněními, přiřaďte je k rolím správce, člena nebo přispěvatele. Příslušná role závisí na ostatních akcích, které potřebují provést.
  • Ostatním uživatelům, kteří potřebují přístup pouze k jednotlivým skladům nebo vyžadují přístup pouze ke konkrétním objektům SQL, by měli mít udělená oprávnění k položce prostředků infrastruktury a udělený přístup prostřednictvím SQL ke konkrétním objektům.
  • Oprávnění ke skupinám Microsoft Entra ID (dříve Azure Active Directory) můžete spravovat i místo přidávání jednotlivých konkrétních členů. Další informace naleznete v tématu Ověřování Microsoft Entra jako alternativu k ověřování SQL v Microsoft Fabric.

Protokoly auditu uživatelů

Ke sledování aktivity uživatelů ve skladu a koncovém bodu analýzy SQL pro splnění požadavků na dodržování právních předpisů a správy záznamů je sada aktivit auditu přístupná prostřednictvím Microsoft Purview a PowerShellu. Protokoly auditu uživatelů můžete použít k identifikaci toho, kdo provádí akci s položkami infrastruktury.

Další informace o tom, jak získat přístup k protokolům auditu uživatelů, najdete v tématu Sledování aktivit uživatelů v Microsoft Fabric a seznamu operací.