Κοινή χρήση μέσω


Λεπτομερή δικαιώματα SQL στο Microsoft Fabric

Ισχύει για:✅ Τελικό σημείο ανάλυσης SQL και Αποθήκη στο Microsoft Fabric

Όταν τα προεπιλεγμένα δικαιώματα που παρέχονται με ανάθεση σε ρόλους χώρου εργασίας ή εκχωρούνται μέσω δικαιωμάτων στοιχείων είναι ανεπαρκή, οι τυπικές κατασκευές SQL είναι διαθέσιμες για πιο λεπτομερή έλεγχο.

Για το τελικό σημείο ανάλυσης SQL και την Αποθήκη:

  • Η διαχείριση της ασφάλειας σε επίπεδο αντικειμένου μπορεί να γίνει με χρήση της σύνταξης GRANT, REVOKE και DENY T-SQL.
  • Οι χρήστες μπορούν να αντιστοιχιστούν σε ρόλους SQL, τόσο σε προσαρμοσμένους όσο και σε ενσωματωμένους ρόλους βάσης δεδομένων.

Λεπτομερή δικαιώματα χρήστη

  • Για να συνδεθεί ένας χρήστης στη βάση δεδομένων, πρέπει να εκχωρηθεί στον χρήστη ένας ρόλος χώρου εργασίας ή να εκχωρηθεί το δικαίωμα ανάγνωσης του στοιχείου. Χωρίς δικαίωμα ανάγνωσης τουλάχιστον, η σύνδεση αποτυγχάνει.
  • Εάν θέλετε να ρυθμίσετε τα λεπτομερή δικαιώματα ενός χρήστη προτού τους επιτρέψετε να συνδεθούν στην αποθήκη, τα δικαιώματα μπορούν πρώτα να ρυθμιστούν μέσα στην SQL. Στη συνέχεια, μπορούν να τους εκχωρηθεί πρόσβαση εκχωρώντας τους έναν ρόλο χώρου εργασίας ή εκχωρώντας δικαιώματα στοιχείου.

Περιορισμοί

  • CREATE USER δεν μπορεί να εκτελεστεί ρητά αυτήν τη στιγμή. Όταν GRANT εκτελείται ή DENY εκτελείται, ο χρήστης δημιουργείται αυτόματα. Ο χρήστης δεν θα μπορεί να συνδεθεί μέχρι να εκχωρηθούν επαρκή δικαιώματα σε επίπεδο χώρου εργασίας.

Προβολή των δικαιωμάτων μου

Όταν ένας χρήστης συνδέεται στη συμβολοσειρά σύνδεσης SQL, μπορεί να προβάλει τα δικαιώματα που είναι διαθέσιμα σε αυτόν χρησιμοποιώντας τη συνάρτηση sys.fn_my_permissions .

Δικαιώματα εμβέλειας βάσης δεδομένων χρήστη:

SELECT *
FROM sys.fn_my_permissions(NULL, 'Database');

Δικαιώματα εμβέλειας σχήματος χρήστη:

SELECT *
FROM sys.fn_my_permissions('<schema-name>', 'Schema');

Τα δικαιώματα εμβέλειας αντικειμένου του χρήστη:

SELECT *
FROM sys.fn_my_permissions('<schema-name>.<object-name>', 'Object');

Προβολή δικαιωμάτων που εκχωρούνται ρητά στους χρήστες

Κατά τη σύνδεση μέσω της συμβολοσειράς σύνδεσης SQL, ένας χρήστης με αναβαθμισμένο δικαίωμα μπορεί να ζητήσει δικαιώματα με χρήση προβολών συστήματος. Αυτό δεν εμφανίζει τα δικαιώματα χρηστών ή χρηστών που εκχωρούνται στους χρήστες μέσω ανάθεσης σε ρόλους χώρου εργασίας ή εκχώρησης δικαιωμάτων στοιχείου.

SELECT DISTINCT pr.principal_id, pr.name, pr.type_desc, 
 pr.authentication_type_desc, pe.state_desc, pe.permission_name
FROM sys.database_principals AS pr
INNER JOIN sys.database_permissions AS pe
 ON pe.grantee_principal_id = pr.principal_id;

Δυνατότητες προστασίας δεδομένων

Μπορείτε να ασφαλίσετε φίλτρα στηλών και φίλτρα γραμμών που βασίζονται σε κατηγόρημα σε πίνακες στο τελικό σημείο της Ανάλυσης αποθήκης ή SQL σε ρόλους και χρήστες στο Microsoft Fabric. Μπορείτε επίσης να αποκρύψετε ευαίσθητα δεδομένα από μη διαχειριστές, χρησιμοποιώντας δυναμική απόκρυψη δεδομένων.