Ochrana citlivých dat v databázi SQL pomocí zásad ochrany Microsoft Purview

Platí pro:✅SQL Database v Microsoft Fabric

Microsoft Purview je řada řešení zásad správného řízení dat, rizik a dodržování předpisů, která můžou vaší organizaci pomoct řídit, chránit a spravovat celá datová aktiva. Kromě dalších výhod vám Microsoft Purview umožňuje označovat položky databáze SQL popisky citlivosti a definovat zásady ochrany, které řídí přístup na základě popisků citlivosti.

Tento článek vysvětluje, jak zásady ochrany Microsoft Purview spolupracují s ovládacími prvky přístupu Microsoft Fabric a ovládacími prvky přístupu SQL v databázi SQL v Microsoft Fabric.

Obecné informace o možnostech Microsoft Purview pro Microsoft Fabric, včetně databáze SQL, najdete v článcích uvedených v souvisejícím obsahu.

Jak fungují zásady ochrany v databázi SQL

Každá zásada ochrany pro Microsoft Fabric je přidružená k popisku citlivosti. Zásady ochrany řídí přístup k položkám, které mají přidružený popisek, prostřednictvím dvou řízení přístupu:

• Povolit uživatelům zachovat přístup pro čtení – Pokud je tato možnost povolená, umožní zadaným uživatelům (nebo uživatelům patřícím do zadaných skupin) zachovat oprávnění ke čtení položky u označených položek, pokud už mají zadané uživatele oprávnění. Všechna ostatní oprávnění, která mají zadaná uživatelé k položce, se odeberou. V databázi SQL se vyžaduje oprávnění ke čtení položky, aby se uživatel mohl připojit k databázi. Proto pokud uživatel není zadaný v tomto řízení přístupu, uživatel se nemůže připojit k databázi.

• Povolit uživatelům zachovat úplné řízení – Pokud je tato možnost povolená, umožní zadaným uživatelům (nebo uživatelům patřícím do zadaných skupin) zachovat úplnou kontrolu nad položkou s popiskem, pokud už ji mají, nebo jakákoli jiná oprávnění, která mají. U položek databáze SQL umožňuje tento ovládací prvek uživatelům zachovat oprávnění k položce zápisu, což znamená, že uživatel uchovává úplný přístup pro správu v databázi. Pokud uživatel není v tomto řízení přístupu zadaný, oprávnění k položce zápisu se uživateli efektivně odebere. Tento ovládací prvek nemá žádný vliv na nativní oprávnění uživatele SQL v databázi – další informace najdete v příkladu 4 a omezení.

Příklady

Příklady v této části sdílejí následující konfiguraci:

• Organizace má pracovní prostor Microsoft Fabric s názvem Produkční.
• Pracovní prostor obsahuje položku databáze SQL s názvem Prodej, která má popisek citlivosti Důvěrné.
• V Microsoft Purview existují zásady ochrany platné pro Microsoft Fabric. Zásada je přidružená k popisku důvěrné citlivosti.

Příklad 1

• Uživatel je členem role Přispěvatel pro produkční pracovní prostor.
• Možnost Povolit uživatelům zachovat řízení přístupu pro čtení je povolená, ale nezahrnuje uživatele.
• Možnost Povolit uživatelům zachovat úplné řízení přístupu je zakázaná nebo neaktivní.

Zásada odebere oprávnění ke čtení položky uživatele, takže se uživatel nemůže připojit k databázi Sales. Uživatel tak nemůže číst ani přistupovat k žádným datům v databázi.

Příklad 2

• Uživatel má oprávnění ke čtení položky pro databázi Sales.
• Uživatel je členem role nativní databáze SQL db_owner v databázi.
• Možnost Povolit uživatelům zachovat řízení přístupu pro čtení je povolená, ale nezahrnuje uživatele.
• Možnost Povolit uživatelům zachovat úplné řízení přístupu je zakázaná nebo neaktivní.

Tato zásada odebere oprávnění ke čtení položky uživatele, takže se uživatel nemůže připojit k databázi Sales bez ohledu na nativní oprávnění uživatele SQL (udělená prostřednictvím členství uživatele v roli db_owner) v databázi. Uživatel tak nemůže číst ani přistupovat k žádným datům v databázi.

Příklad 3

• Uživatel je členem role Přispěvatel pro produkční pracovní prostor.
• Uživatel nemá v databázi udělená žádná nativní oprávnění SQL.
• Možnost Povolit uživatelům zachovat řízení přístupu pro čtení je povolená a zahrnuje uživatele.
• Možnost Povolit uživatelům zachovat úplné řízení přístupu je povolená, ale nezahrnuje uživatele.

Jako člen role Přispěvatel má uživatel zpočátku všechna oprávnění k databázi Sales, včetně čtení, readdata a zápisu. Možnost Povolit uživatelům zachovat řízení přístupu pro čtení v zásadách umožňuje uživateli zachovat oprávnění Ke čtení a ČteníData, ale oprávnění Povolit uživatelům zachovat úplné řízení přístupu odebere oprávnění k zápisu uživatele. V důsledku toho se uživatel může připojit k databázi a číst data, ale uživatel uvolní přístup správce k databázi, včetně možnosti zapisovat a upravovat data.

Příklad 4

• Uživatel má oprávnění ke čtení položky pro databázi Sales.
• Uživatel je členem role nativní databáze SQL db_owner v databázi.
• Možnost Povolit uživatelům zachovat řízení přístupu pro čtení je povolená a zahrnuje uživatele.
• Možnost Povolit uživatelům zachovat úplné řízení přístupu je povolená, ale nezahrnuje uživatele.

Možnost Povolit uživatelům zachovat řízení přístupu pro čtení v zásadách umožňuje uživateli zachovat oprávnění ke čtení. Vzhledem k tomu, že uživatel zpočátku nemá přístup k úplnému řízení (oprávnění k položce zápisu), oprávnění Povolit uživatelům zachovat úplné řízení přístupu nemá žádný vliv na oprávnění uživatele udělená v Microsoft Fabric. Možnost Povolit uživatelům zachovat úplné řízení přístupu nemá vliv na nativní oprávnění SQL uživatele v databázi. Jako člen db_owner role má uživatel k databázi i nadále přístup pro správu. Viz Omezení.

Omezení

• Možnost Povolit uživatelům zachovat úplné řízení přístupu v zásadách ochrany Microsoft Purview nemá žádný vliv na nativní oprávnění SQL udělená uživatelům v databázi.

Související obsah

• Řízení Microsoft Fabric pomocí Microsoft Purview
• Ochrana informací v Microsoft Fabric
• Zásady ochrany v Microsoft Fabric (Preview)
• Vytvoření a správa zásad ochrany pro Prostředky infrastruktury (Preview)
• Autorizace v databázi SQL v Microsoft Fabric