Sicherheit für Data Warehousing in Microsoft Fabric
Gilt für:✅ SQL-Analyseendpunkt und Warehouse in Microsoft Fabric
In diesem Artikel werden Sicherheitsthemen zum Sichern des SQL-Analyseendpunkts des Lakehouse und Warehouse in Microsoft Fabric behandelt.
Informationen zur Microsoft Fabric-Sicherheit finden Sie unter Sicherheit in Microsoft Fabric.
Informationen zum Herstellen einer Verbindung mit dem SQL-Analyseendpunkt und dem Warehouse finden Sie unter Konnektivität.
Warehouse-Zugriffsmodell
Microsoft Fabric-Berechtigungen und differenzierte SQL-Berechtigungen arbeiten zusammen, um den Warehouse-Zugriff und die Benutzerberechtigungen nach der Verbindung zu steuern.
- Die Warehouse-Konnektivität hängt davon ab, dass mindestens die Microsoft Fabric-Leseberechtigung für das Warehouse erteilt wird.
- Microsoft Fabric-Elementberechtigungen ermöglichen es, einem Benutzer bzw. einer Benutzerin SQL-Berechtigungen bereitzustellen, ohne diese Berechtigungen in SQL erteilen zu müssen.
- Microsoft Fabric-Arbeitsbereichsrollen bieten Microsoft Fabric-Berechtigungen für alle Warehouses innerhalb eines Arbeitsbereichs.
- Differenzierte Benutzerberechtigungen können über T-SQL weiter verwaltet werden.
Arbeitsbereichsrollen
Arbeitsbereichsrollen werden für die Zusammenarbeit des Entwicklungsteams innerhalb eines Arbeitsbereichs verwendet. Die Rollenzuweisung bestimmt die für Benutzer*innen verfügbaren Aktionen und gilt für alle Elemente im Arbeitsbereich.
- Eine Übersicht über Microsoft Fabric-Arbeitsbereichsrollen finden Sie unter Rollen in Arbeitsbereichen.
- Anweisungen zum Zuweisen von Arbeitsbereichsrollen finden Sie unter Gewähren von Zugriff auf Arbeitsbereiche für Benutzer*innen.
Ausführliche Informationen zu den spezifischen Warehouse-Funktionen, die über Arbeitsbereichsrollen bereitgestellt werden, finden Sie unter Arbeitsbereichsrollen bei Fabric Data Warehousing.
Elementberechtigungen
Im Gegensatz zu Arbeitsbereichsrollen, die für alle Elemente innerhalb eines Arbeitsbereichs gelten, können Elementberechtigungen direkt einzelnen Warehouses zugewiesen werden. Benutzende erhalten die zugewiesene Berechtigung für dieses einzelne Warehouse. Der Hauptzweck dieser Berechtigungen besteht darin, die Freigabe für die Downstreamnutzung des Warehouse zu aktivieren.
Ausführliche Informationen zu den spezifischen Berechtigungen, die für Warehouse bereitgestellt werden, finden Sie unter Freigeben Ihrer Daten und Verwalten von Berechtigungen.
Präzise Sicherheitskontrolle
Arbeitsbereichsrollen und Elementberechtigungen bieten eine einfache Möglichkeit, Benutzer*innen grobe Berechtigungen für das gesamte Warehouse zuzuweisen. In einigen Fällen sind jedoch differenziertere Berechtigungen für Benutzer*innen erforderlich. Um dies zu erreichen, können T-SQL-Standardkonstrukte verwendet werden, um Benutzer*innen bestimmte Berechtigungen bereitzustellen.
Microsoft Fabric Data Warehouse unterstützt mehrere Datenschutztechnologien, mit denen Administratoren vertrauliche Daten vor unbefugtem Zugriff schützen können. Durch das Sichern oder Verschleiern von Daten von nicht autorisierten Benutzern oder Rollen können diese Sicherheitsfeatures sowohl in einem Warehouse- als auch SQL-Analyseendpunkt Schutz von Daten ohne Anwendungsänderungen bereitstellen.
- Die Sicherheit auf Objektebene steuert den Zugriff auf bestimmte Datenbankobjekte.
- Sicherheit auf Spaltenebene verhindert nicht autorisiertes Anzeigen von Spalten in Tabellen.
- Sicherheit auf Zeilenebene verhindert nicht autorisiertes Anzeigen von Zeilen in Tabellen, wobei vertraute
WHERE
-Klauselfilter-Prädikate verwendet werden. - Die dynamische Datenmaskierung verhindert die unbefugte Anzeige vertraulicher Daten mithilfe von Masken, um den Zugriff auf den Abschluss zu verhindern, z. B. E-Mail-Adressen oder Nummern.
Sicherheit auf Objektebene
Sicherheit auf Objektebene ist ein Sicherheitsmechanismus, der den Zugriff auf bestimmte Datenbankobjekte, z. B. Tabellen, Sichten oder Prozeduren, basierend auf Benutzerrechten oder Rollen steuert. Dadurch wird sichergestellt, dass Benutzer*innen oder Rollen nur mit den Objekten interagieren und diese bearbeiten können, für die sie Berechtigungen erhalten haben, um die Integrität und Vertraulichkeit des Datenbankschemas und der zugehörigen Ressourcen zu schützen.
Ausführliche Informationen zur Verwaltung präziser Berechtigungen in SQL finden Sie unter Granulare SQL-Berechtigungen.
Sicherheit auf Zeilenebene
Sicherheit auf Zeilenebene ist ein Datenbanksicherheitsfeature, das den Zugriff auf einzelne Zeilen oder Datensätze innerhalb einer Datenbanktabelle basierend auf bestimmten Kriterien wie Benutzerrollen oder Attributen einschränkt. Dadurch wird sichergestellt, dass Benutzer*innen nur Daten anzeigen oder bearbeiten können, die explizit für ihren Zugriff autorisiert sind, wodurch der Datenschutz und die Kontrolle verbessert werden.
Ausführliche Informationen zur Sicherheit auf Zeilenebene finden Sie unter Sicherheit auf Zeilenebene beim Data Warehousing in Fabric.
Sicherheit auf Spaltenebene
Sicherheit auf Spaltenebene ist eine Datenbanksicherheitsmaßnahme, die den Zugriff auf bestimmte Spalten oder Felder in einer Datenbanktabelle beschränkt, sodass Benutzer*innen nur die autorisierten Spalten anzeigen und damit interagieren können, während vertrauliche oder eingeschränkte Informationen verborgen werden. Sie bietet eine differenzierte Kontrolle über den Datenzugriff, um vertrauliche Daten in einer Datenbank zu schützen.
Ausführliche Informationen zur Sicherheit auf Spaltenebene finden Sie unter Sicherheit auf Spaltenebene in Fabric Data Warehousing.
Dynamische Datenmaskierung
Die dynamische Datenmaskierung hilft, die unbefugte Einsichtnahme in sensible Daten zu verhindern, indem Administratoren festlegen können, wie viele sensible Daten mit minimalen Auswirkungen auf die Anwendungsschicht offengelegt werden sollen. Die dynamische Datenmaskierung kann für bestimmte Datenbankfelder konfiguriert werden, um sensible Daten in den Ergebnismengen von Abfragen zu verbergen. Bei dynamischer Datenmaske werden die Daten in der Datenbank nicht geändert, sodass sie mit vorhandenen Anwendungen verwendet werden können, da Maskierungsregeln auf Abfrageergebnisse angewendet werden. Viele Clientanwendungen können sensible Daten maskieren, ohne vorhandene Abfragen zu ändern.
Ausführliche Informationen zur dynamischen Datenmaskierung finden Sie unter Dynamische Datenmaskierung in Fabric Data Warehousing.
Freigeben eines Warehouse
Die Freigabe ist eine bequeme Möglichkeit, Benutzer*innen Lesezugriff auf Ihr Warehouse für die Downstreamnutzung zu gewähren. Mithilfe der Freigabe können Downstreambenutzer*innen in Ihrer Organisation ein Warehouse mithilfe von SQL, Spark oder Power BI nutzen. Sie können die Berechtigungsebene anpassen, die dem freigegebenen Empfänger gewährt wird, um die entsprechende Zugriffsebene bereitzustellen.
Weitere Informationen zur Freigabe finden Sie unter Freigeben Ihrer Daten und Verwalten von Berechtigungen.
Anleitung zum Benutzerzugriff
Beachten Sie beim Auswerten der Berechtigungen, die einem Benutzer oder einer Benutzerin zugewiesen werden sollen, die folgenden Anweisungen:
- Nur Teammitglieder, die derzeit an der Lösung zusammenarbeiten, sollten Arbeitsbereichsrollen (Admin, Mitglied, Mitwirkender) zugewiesen werden, da ihnen dadurch Zugriff auf alle Elemente innerhalb des Arbeitsbereichs gewährt wird.
- Wenn sie in erster Linie schreibgeschützten Zugriff benötigen, weisen Sie ihnen die Rolle „Anzeigender Benutzer“ zu, und gewähren Sie Lesezugriff auf bestimmte Objekte über T-SQL. Weitere Informationen finden Sie unter Verwalten von granularen SQL-Berechtigungen.
- Wenn es sich um Benutzende mit höheren Berechtigungen handelt, weisen Sie ihnen die Rolle „Admin“, „Mitglied“ oder „Mitwirkender“ zu. Die entsprechende Rolle hängt von den anderen Aktionen ab, die ausgeführt werden müssen.
- Andere Benutzer*innen, die nur Zugriff auf ein einzelnes Warehouse oder auf bestimmte SQL-Objekte benötigen, sollten Fabric Item-Berechtigungen erhalten und über SQL Zugriff auf die spezifischen Objekte gewährt werden.
- Sie können Berechtigungen auch für Microsoft Entra ID (ehemals Azure Active Directory)-Gruppen verwalten, anstatt jedes bestimmte Mitglied hinzuzufügen. Weitere Informationen zur Microsoft Entra-Authentifizierung als Alternative zur SQL-Authentifizierung in Microsoft Fabric.
Benutzerüberwachungsprotokolle
Um Aktivitäten von Benutzenden im Warehouse und SQL-Analyseendpunkt für die Einhaltung gesetzlicher Compliance- und Datensatzverwaltungsanforderungen nachzuverfolgen, können Sie über Microsoft Purview und PowerShell auf eine Reihe von Überwachungsaktivitäten zugreifen. Mithilfe von Benutzerüberwachungsprotokollen können Sie ermitteln, wer welche Aktion für Ihre Fabric-Elemente ausgeführt hat.
Weitere Informationen zum Zugreifen auf Überwachungsprotokolle von Benutzenden finden Sie unter Nachverfolgen von Benutzeraktivitäten in Microsoft Fabric und der Liste „Vorgänge“.