Freigeben über

Konfigurieren der präzisen Zugriffssteuerung für eine SQL-Datenbank

  • Artikel

Gilt für:SQL-Datenbank in Microsoft Fabric

Fabric-Arbeitsbereichsrollen und Elementberechtigungen ermöglichen Ihnen das einfache Einrichten der Autorisierung für Ihre Datenbankbenutzer, die vollständigen Administratorzugriff oder schreibgeschützten Zugriff auf die Datenbank benötigen.

Zum Konfigurieren des granularen Datenbankzugriffs verwenden Sie SQL-Zugriffssteuerungen: Rollen auf Datenbankebene, SQL-Berechtigungen und/oder Zeilenebenensicherheit (RLS).

Sie können die Mitgliedschaft von Rollen auf Datenbankebene verwalten und benutzerdefinierte (benutzerdefinierte) Rollen für allgemeine Datenzugriffsszenarien mithilfe des Fabric-Portals definieren. Sie können alle SQL-Zugriffssteuerungen mithilfe von Transact-SQL konfigurieren.

Verwalten von Rollen auf SQL-Datenbankebene über das Fabric-Portal

So beginnen Sie mit der Verwaltung von Rollen auf Datenbankebene für eine Fabric SQL-Datenbank:

  1. Navigieren Sie zu Ihrer Datenbank im Fabric-Portal, und öffnen Sie sie.
  2. Wählen Sie im Hauptmenü Sicherheit und dann SQL-Sicherheit verwalten aus.

Screenshot des Fabric-Portals der Schaltfläche zum Öffnen der SQL-Sicherheit.

  1. Die Seite SQL-Sicherheit verwalten wird geöffnet.

Screenshot des Fabric-Portals der Schaltfläche zum Verwalten der SQL-Sicherheitsseite.

So fügen Sie eine neue benutzerdefinierte (benutzerdefinierte) Datenbankebenenrolle hinzu, die es seinen Mitgliedern ermöglicht, auf Objekte in bestimmten Schemas Ihrer Datenbank zuzugreifen:

  1. Wählen Sie auf der Seite SQL-Sicherheit verwalten Neuaus.
  2. Geben Sie auf der Seite Neue Rolle einen Rollennamen ein.
  3. Wählen Sie ein oder mehrere Schemas aus.
  4. Wählen Sie Berechtigungen aus, die Sie für Rollenmitglieder für jedes ausgewählte Schema erteilen möchten. Die Berechtigungen Auswählen, Einfügen, Aktualisieren und Löschen gelten für alle Tabellen und Ansichten in einem Schema. Die Berechtigung Ausführen gilt für alle gespeicherten Prozeduren und Funktionen in einem Schema. Screenshot des Fabric-Portals zum Definieren einer benutzerdefinierten Rolle.
  5. Wählen Sie Speichern.

So ändern Sie die Definition einer benutzerdefinierten Rolle auf Datenbankebene:

  1. Wählen Sie auf der Seite SQL-Sicherheit verwalten eine benutzerdefinierte Rolle und dann Bearbeiten aus.
  2. Ändern Sie die Berechtigungen eines Rollennamens oder einer Rolle für Ihre Datenbankschemas.

    Hinweis

    Auf der Seite SQL-Sicherheit verwalten können Sie nur die fünf Berechtigungen auf Schemaebene anzeigen und verwalten. Wenn Sie die Rolle SELECT, INSERT, UPDATE, DELETE oder EXECUTE für ein anderes Objekt als ein Schema erteilt haben oder wenn Sie die Rolle andere Berechtigungen über die GRANT Transact-SQL-Anweisung erteilt haben, wird diese auf der Seite SQL-Sicherheit verwalten nicht angezeigt.

  3. Wählen Sie Speichern.

So löschen Sie eine benutzerdefinierte Rolle auf Datenbankebene:

  1. Wählen Sie auf der Seite SQL-Sicherheit verwalten eine Rolle und dann Löschen aus.
  2. Wählen Sie Löschen erneut aus, wenn Sie dazu aufgefordert werden.

So zeigen Sie die Liste der Rollenmitglieder an, und um Rollenmitglieder hinzuzufügen oder zu entfernen:

  1. Wählen Sie auf der Seite SQL-Sicherheit verwalten eine integrierte Rolle oder eine benutzerdefinierte Rolle aus, und wählen Sie Zugriff verwalten aus.
    • So fügen Sie Rollenmitglieder hinzu:
      1. Geben Sie im Feld Personen, Gruppen oder Apps hinzufügen einen Namen ein, und wählen Sie einen Benutzer, eine Gruppe oder eine App aus den Suchergebnissen aus. Sie können dies wiederholen, um andere Personen, Gruppen oder Apps hinzuzufügen.
      2. Wählen Sie Hinzufügen. Screenshot des Fabric-Portals zum Hinzufügen von Rollenmitgliedern.
      3. Wenn einige der Rollenmitglieder hinzugefügt werden, verfügen Sie nicht über die Berechtigung "Element lesen" für die Datenbank in Fabric, die Schaltfläche Datenbank freigeben wird angezeigt. Wählen Sie sie aus, um das Dialogfeld Personenzugriff gewähren zu öffnen, und wählen Sie Erteilen aus, um die Datenbank freizugeben. Wenn Sie der Datenbank freigegebene Berechtigungen erteilen, erhält die Berechtigung "Element lesen" den Rollenmitgliedern, die sie noch nicht besitzen. Weitere Informationen zum Freigeben einer SQL-Datenbank finden Sie unter Freigeben Ihrer SQL-Datenbank und Verwalten von Berechtigungen.

      Wichtig

      Um eine Verbindung mit einer Datenbank herzustellen, muss ein Benutzer oder eine Anwendung über die Berechtigung "Element lesen" für die Datenbank in Fabric verfügen, unabhängig von der Mitgliedschaft in Rollen auf SQL-Datenbankebene oder SQL-Berechtigungen innerhalb der Datenbank.

    • Entfernen von Rollenmitgliedern:
      1. Wählen Sie Rollenmitglieder aus, die Sie entfernen möchten.
      2. Wählen Sie Entfernen.
  2. Wählen Sie Speichern aus, um Ihre Änderungen in der Liste der Rollenmitglieder zu speichern.

    Hinweis

    Wenn Sie ein neues Rollenmitglied hinzufügen, das kein Benutzerobjekt in der Datenbank enthält, erstellt das Fabric-Portal automatisch ein Benutzerobjekt für das Rollenmitglied in Ihrem Auftrag (mithilfe von CREATE USER (Transact-SQL)). Das Fabric-Portal entfernt keine Benutzerobjekte aus der Datenbank, wenn ein Rollenmitglied aus einer Rolle entfernt wird.

Konfigurieren von SQL-Steuerelementen mit Transact-SQL

So konfigurieren Sie den Zugriff für einen Benutzer oder eine Anwendung mit Transact SQL:

  1. Geben Sie die Datenbank für den Benutzer/die Anwendung oder für die Microsoft Entra-Gruppe wieder, zu der der Benutzer/die Anwendung gehört. Durch die Freigabe der Datenbank wird sichergestellt, dass der Benutzer/die Anwendung über die Berechtigung "Element lesen" für die Datenbank in Fabric verfügt, die zum Herstellen einer Verbindung mit der Datenbank erforderlich ist. Weitere Informationen finden Sie unter Freigeben Ihrer SQL-Datenbank und Verwalten von Berechtigungen.
  2. Erstellen Sie ein Benutzerobjekt für den Benutzer, die Anwendung oder ihre Gruppe in der Datenbank, mithilfe von CREATE USER (Transact-SQL). Weitere Informationen finden Sie unter Erstellen von Datenbankbenutzern für Microsoft Entra-Identitäten.
  3. Konfigurieren Sie die gewünschten Zugriffssteuerungen:
    1. Definieren Sie benutzerdefinierte Rollen auf Datenbankebene. Verwenden Sie CREATE ROLE, ALTER ROLE und DROP ROLE, um Definitionen von benutzerdefinierten Rollen zuverwalten.
    2. Fügen Sie das Benutzerobjekt zu benutzerdefinierten oder integrierten (festen) Rollen mit den ADD MEMBER und DROP MEMBER Optionen der ALTER ROLE-Anweisung hinzu.
    3. Konfigurieren Sie präzise SQL-Berechtigungen für das Benutzerobjekt mit den Anweisungen GRANT, REVOKEund DENY.
    4. Konfigurieren Sie die Sicherheit auf Zeilenebene (RLS), um den Zugriff auf bestimmte Zeilen in einer Tabelle auf das Benutzerobjekt zu gewähren/zu verweigern.

Zugehöriger Inhalt