Autorisierung in SQL-Datenbank in Microsoft Fabric
Gilt für: ✅SQL-Datenbank in Microsoft Fabric
In diesem Artikel wird die Zugriffssteuerung für SQL-Datenbankelemente in Fabric erläutert.
Sie können den Zugriff für Ihre SQL-Datenbank auf zwei Ebenen konfigurieren:
- In Fabric verwenden Sie Fabric-Zugriffssteuerungen – Arbeitsbereichsrollen und Elementberechtigungen.
- In Ihrer Datenbank mithilfe von SQL-Zugriffssteuerungen, z. B. SQL-Berechtigungen oder Rollen auf Datenbankebene.
Die Zugriffssteuerungen auf diesen beiden verschiedenen Ebenen arbeiten zusammen.
- Um eine Verbindung mit einer Datenbank herzustellen , muss ein Benutzer mindestens über die Lesen-Berechtigung in Fabric für das Fabric-Datenbankelement verfügen.
- Sie können Zugriff auf bestimmte Funktionen gewähren, indem Sie Fabric-Zugriffssteuerelemente, SQL-Zugriffssteuerelemente oder beides verwenden. Eine Berechtigung zum Herstellen einer Verbindung mit der Datenbank kann nur mit Fabric-Rollen oder -Berechtigungen erteilt werden.
- Das Verweigern des Zugriffs (mit der DENY Transact-SQL-Anweisung) in der Datenbank hat immer Vorrang.
Fabric-Zugriffssteuerelemente
In Fabric können Sie den Zugriff mithilfe von Fabric-Arbeitsbereichsrollen und Elementberechtigungensteuern.
Arbeitsbereichsrollen
Mit Arbeitsbereichsrollen können Sie verwalten, wer was in einem Microsoft Fabric-Arbeitsbereich tun kann.
- Eine Übersicht über Arbeitsbereichsrollen finden Sie unter Rollen in Arbeitsbereichen.
- Anweisungen zum Zuweisen von Arbeitsbereichsrollen finden Sie unter Gewähren von Zugriff auf Arbeitsbereiche für Benutzer*innen.
In der folgenden Tabelle werden SQL-datenbankspezifische Funktionen erfasst, auf die Mitglieder bestimmter Arbeitsbereichsrollen zugreifen dürfen.
| Funktion | Rolle „Administrator“ | Rolle „MItglied“ | Rolle des Mitwirkenden | Zuschauerrolle |
|---|---|---|---|---|
| Vollständiger Administratorzugriff und vollständiger Datenzugriff | Ja | Ja | Ja | No |
| Lesen von Daten und Metadaten | Ja | Ja | Ja | Ja |
| Herstellen einer Verbindung mit der Datenbank | Ja | Ja | Ja | Ja |
Elementberechtigungen
Fabric-Elementberechtigungen steuern den Zugriff auf einzelne Fabric-Elemente innerhalb eines Arbeitsbereichs. Die Berechtigungen sind für jedes Fabric-Element unterschiedlich. In der folgenden Tabelle sind Elementberechtigungen aufgeführt, die für SQL-Datenbankelemente gelten.
| Berechtigung | Funktion |
|---|---|
| Lesen | Herstellen der Verbindung mit der Datenbank |
| ReadData | Lesen von Daten und Metadaten |
| ReadAll | Direktes Lesen gespiegelter Daten aus OneLake-Dateien |
| Teilen | Freigeben von Elementen und Verwalten von Fabric-Elementberechtigungen |
| Schreiben | Vollständiger Administratorzugriff und vollständiger Datenzugriff |
Die einfachste Möglichkeit zum Erteilen von Elementberechtigungen besteht darin, einen Benutzer, eine Anwendung oder eine Gruppe zu einer Arbeitsbereichsrollehinzuzufügen. Die Mitgliedschaft in jeder Rolle impliziert, dass die Rollenmitglieder über eine Teilmenge von Berechtigungen für alle Datenbanken im Arbeitsbereich verfügen, wie in der folgenden Tabelle angegeben.
| Role | Lesen Sie | ReadAll | ReadData | Schreiben | Teilen |
|---|---|---|---|---|---|
| Administrator | Ja | Ja | Ja | Ja | Ja |
| Member | Ja | Ja | Ja | Ja | Ja |
| Mitwirkender | Ja | Ja | Ja | Ja | No |
| Viewer | Ja | Ja | Ja | Nr. | No |
Freigeben von Elementberechtigungen
Sie können auch Lese-, ReadAll- und ReadData-Berechtigungen für eine einzelne Datenbank erteilen, indem Sie das Datenbankelement über das Share Quick Action im Fabric-Portal freigeben. Sie können Berechtigungen anzeigen und verwalten, die für ein Datenbankelement erteilt wurden, über die schnelle Aktion Berechtigungen verwalten im Fabric-Portal. Weitere Informationen finden Sie unter Freigeben Ihrer SQL-Datenbank und Verwalten von Berechtigungen.
SQL-Zugriffssteuerungen
Die folgenden SQL-Konzepte ermöglichen eine präzisere Zugriffssteuerung im Vergleich zu Fabric-Arbeitsbereichsrollen und Elementberechtigungen.
- Rollen auf Datenbankebene Es gibt zwei Typen von Rollen auf Datenbankebene: feste Datenbankrollen, die in der Datenbank vordefiniert sind, und benutzerdefinierte Datenbankrollen, die Sie erstellen können.
- Sie können die Mitgliedschaft von Rollen auf Datenbankebene verwalten und benutzerdefinierte Rollen für allgemeine Szenarien im Fabric-Portal definieren.
- Weitere Informationen finden Sie unter Verwalten von Rollen auf SQL-Datenbankebene über das Fabric-Portal.
- Sie können Rollenmitgliedschaft und Rollendefinitionen auch mithilfe von Transact-SQL verwalten.
- Zum Hinzufügen und Entfernen von Benutzern zu oder aus einer Datenbankrolle verwenden Sie die Optionen
ADD MEMBERundDROP MEMBERder ALTER ROLE -Anweisung. Verwenden Sie CREATE ROLE, ALTER ROLE und DROP ROLE,um Definitionen von benutzerdefinierten Rollen zu verwalten.
- Zum Hinzufügen und Entfernen von Benutzern zu oder aus einer Datenbankrolle verwenden Sie die Optionen
- Sie können die Mitgliedschaft von Rollen auf Datenbankebene verwalten und benutzerdefinierte Rollen für allgemeine Szenarien im Fabric-Portal definieren.
- SQL-Berechtigungen. Sie können Berechtigungen für Datenbankbenutzer oder Datenbankrollen mithilfe der GRANT-, REVOKE- und DENY Transact-SQL-Anweisungen verwalten.
- Mit der Sicherheit auf Zeilenebene (RLS) können Sie den Zugriff auf bestimmte Zeilen in einer Tabelle steuern.
Weitere Informationen finden Sie unter Konfigurieren der granularen Zugriffssteuerung für eine SQL-Datenbank.