Πώς να υλοποιήσετε δυναμική απόκρυψη δεδομένων στην Αποθήκη δεδομένων Fabric

Ισχύει για:✅ Τελικό σημείο ανάλυσης SQL και Αποθήκη στο Microsoft Fabric

Η δυναμική απόκρυψη δεδομένων είναι μια τεχνολογία προστασίας δεδομένων αιχμής που βοηθά τους οργανισμούς να προστατεύουν ευαίσθητες πληροφορίες εντός των βάσεων δεδομένων τους. Σας επιτρέπει να ορίζετε κανόνες απόκρυψης για συγκεκριμένες στήλες, εξασφαλίζοντας ότι μόνο εξουσιοδοτημένοι χρήστες βλέπουν τα αρχικά δεδομένα ενώ τα αποκρύπτουν για άλλους χρήστες. Η δυναμική απόκρυψη δεδομένων παρέχει ένα επιπλέον επίπεδο ασφάλειας, αλλάζοντας δυναμικά τα δεδομένα που παρουσιάζονται στους χρήστες, με βάση τα δικαιώματα πρόσβασής τους.

Για περισσότερες πληροφορίες, ανατρέξτε στο θέμα Δυναμική απόκρυψη δεδομένων στην αποθήκη δεδομένων Fabric.

Προαπαιτούμενα στοιχεία

Προτού ξεκινήσετε, βεβαιωθείτε ότι έχετε τα εξής:

1. Ένας χώρος εργασίας Microsoft Fabric με ενεργούς εκχωρημένους πόρους ή δοκιμαστικούς εκχωρημένους πόρους.
2. Μια Αποθήκη.
   1. Η δυναμική απόκρυψη δεδομένων λειτουργεί στο τελικό σημείο ανάλυσης SQL. Μπορείτε να προσθέσετε μάσκες σε υπάρχουσες στήλες χρησιμοποιώντας ALTER TABLE ... ALTER COLUMN τις οδηγίες που παρουσιάζονται παρακάτω σε αυτό το άρθρο.
   2. Αυτή η άσκηση χρησιμοποιεί μια Αποθήκη.
3. Για διαχείριση, ένας χρήστης με δικαιώματα Διαχειριστή, Μέλους ή Συμβάλλοντα στον χώρο εργασίας ή αναβαθμισμένων δικαιωμάτων στην Αποθήκη.
   1. Σε αυτό το πρόγραμμα εκμάθησης, ο "λογαριασμός διαχειριστή".
4. Για να το ελέγξετε, ένας χρήστης χωρίς δικαιώματα διαχειριστή, μέλους ή συμβάλλοντα στον χώρο εργασίας και χωρίς αναβαθμισμένα δικαιώματα στην Αποθήκη.
   1. Σε αυτό το εκπαιδευτικό βοήθημα, ο "δοκιμαστικός χρήστης".

1. Σύνδεση

1. Ανοίξτε τον χώρο εργασίας Fabric και μεταβείτε στην Αποθήκη στην οποία θέλετε να εφαρμόσετε δυναμική απόκρυψη δεδομένων.
2. Πραγματοποιήστε είσοδο χρησιμοποιώντας έναν λογαριασμό με αναβαθμισμένη πρόσβαση στην Αποθήκη, είτε ως Διαχειριστής/Μέλος/Συμβάλλων στον χώρο εργασίας, είτε με δικαιώματα ελέγχου στην Αποθήκη.

2. Ρύθμιση παραμέτρων δυναμικής απόκρυψης δεδομένων

1. Πραγματοποιήστε είσοδο στην πύλη Fabric με τον λογαριασμό διαχειριστή σας.

2. Στον χώρο εργασίας Fabric, μεταβείτε στην Αποθήκη σας.

3. Επιλέξτε Νέο ερώτημα SQL και, στην περιοχή Κενό, επιλέξτε Νέο ερώτημα SQL.

4. Στη δέσμη ενεργειών SQL, ορίστε δυναμικούς κανόνες απόκρυψης δεδομένων χρησιμοποιώντας τον MASKED WITH FUNCTION όρο . Για παράδειγμα:

   CREATE TABLE dbo.EmployeeData (
       EmployeeID INT
       ,FirstName VARCHAR(50) MASKED WITH (FUNCTION = 'partial(1,"-",2)') NULL
       ,LastName VARCHAR(50) MASKED WITH (FUNCTION = 'default()') NULL
       ,SSN CHAR(11) MASKED WITH (FUNCTION = 'partial(0,"XXX-XX-",4)') NULL
       ,email VARCHAR(256) NULL
       );
   GO
   INSERT INTO dbo.EmployeeData
       VALUES (1, 'TestFirstName', 'TestLastName', '123-45-6789','email@youremail.com');
   GO
   INSERT INTO dbo.EmployeeData
       VALUES (2, 'First_Name', 'Last_Name', '000-00-0000','email2@youremail2.com');
   GO
   

   • Η FirstName στήλη εμφανίζει μόνο τον πρώτο και τον τελευταίο δύο χαρακτήρες της συμβολοσειράς, με - αυτόν στο μέσον.
   • Η LastName στήλη εμφανίζει XXXX.
   • Η SSN στήλη εμφανίζει XXX-XX- ακολουθούμενους από τους τελευταίους τέσσερις χαρακτήρες της συμβολοσειράς.

5. Επιλέξτε το κουμπί Εκτέλεση για να εκτελέσετε τη δέσμη ενεργειών.

6. Επιβεβαιώστε την εκτέλεση της δέσμης ενεργειών.

7. Η δέσμη ενεργειών θα εφαρμόσει τους καθορισμένους δυναμικούς κανόνες απόκρυψης δεδομένων στις καθορισμένες στήλες στον πίνακά σας.

3. Δοκιμή δυναμικής απόκρυψης δεδομένων

Όταν εφαρμοστούν οι δυναμικοί κανόνες απόκρυψης δεδομένων, μπορείτε να ελέγξετε τη απόκρυψη υποβάλλοντας ερωτήματα στον πίνακα με έναν δοκιμαστικό χρήστη που δεν έχει δικαιώματα διαχειριστή, μέλους ή συμφέροντος στον χώρο εργασίας ή αναβαθμισμένων δικαιωμάτων στην Αποθήκη.

1. Εισέλθετε σε ένα εργαλείο όπως το Azure Data Studio ή το SQL Server Management Studio ως ο δοκιμαστικός χρήστης, για παράδειγμα TestUser@contoso.com.
2. Ως δοκιμαστικός χρήστης, εκτελέστε ένα ερώτημα στον πίνακα. Τα δεδομένα που αποκρύπτονται εμφανίζονται σύμφωνα με τους κανόνες που ορίσατε.

   SELECT * FROM dbo.EmployeeData;
   

3. Με τον λογαριασμό διαχειριστή σας, εκχωρήστε τα UNMASK δικαιώματα από τον δοκιμαστικό χρήστη.

   GRANT UNMASK ON dbo.EmployeeData TO [TestUser@contoso.com];
   

4. Ως δοκιμαστικός χρήστης, επαληθεύστε ότι ένας χρήστης που έχει εισέλθει, καθώς TestUser@contoso.com μπορεί να δει δεδομένα που έχουν αποκαλυφθεί.

   SELECT * FROM dbo.EmployeeData;
   

5. Με τον λογαριασμό διαχειριστή σας, ανακαλέστε το UNMASK δικαίωμα από τον δοκιμαστικό χρήστη.

   REVOKE UNMASK ON dbo.EmployeeData TO [TestUser];
   

6. Επαληθεύστε ότι ο χρήστης της δοκιμής δεν μπορεί να δει ξεσκεπαμένα δεδομένα, μόνο τα δεδομένα που έχουν μασκευτεί.

   SELECT * FROM dbo.EmployeeData;
   

7. Με τον λογαριασμό διαχειριστή σας, μπορείτε να εκχωρήσετε και να ανακαλέσετε το UNMASK δικαίωμα σε έναν ρόλο

   GRANT UNMASK ON dbo.EmployeeData TO [TestRole];
   REVOKE UNMASK ON dbo.EmployeeData TO [TestRole];
   

4. Διαχείριση και τροποποίηση δυναμικών κανόνων απόκρυψης δεδομένων

Για να διαχειριστείτε ή να τροποποιήσετε υπάρχοντες δυναμικούς κανόνες απόκρυψης δεδομένων, δημιουργήστε μια νέα δέσμη ενεργειών SQL.

1. Μπορείτε να προσθέσετε μια μάσκα σε μια υπάρχουσα στήλη, χρησιμοποιώντας τον MASKED WITH FUNCTION όρο :

   ALTER TABLE dbo.EmployeeData
   ALTER COLUMN [email] ADD MASKED WITH (FUNCTION = 'email()');
   GO
   

   ALTER TABLE dbo.EmployeeData 
   ALTER COLUMN [email] DROP MASKED;
   

5. Εκκαθάριση

1. Για να εκκαθαρίσετε αυτόν τον πίνακα δοκιμών:

   DROP TABLE dbo.EmployeeData;
   

Σχετικό περιεχόμενο

• Δυναμική απόκρυψη δεδομένων στην αποθήκη δεδομένων Fabric
• Ρόλοι χώρου εργασίας στην αποθήκη δεδομένων Fabric
• Ασφάλεια σε επίπεδο στηλών στην αποθήκη δεδομένων Fabric
• Ασφάλεια σε επίπεδο γραμμών στην αποθήκη δεδομένων Fabric
• Ασφάλεια για την αποθήκευση δεδομένων στο Microsoft Fabric