Κοινή χρήση μέσω

Προστασία ευαίσθητων δεδομένων σε βάση δεδομένων SQL με πολιτικές προστασίας Microsoft Purview

  • Άρθρο

Ισχύει για:Βάση δεδομένων SQL στο Microsoft Fabric

Το Microsoft Purview είναι μια οικογένεια λύσεων διαχείρισης δεδομένων, κινδύνου και συμμόρφωσης που μπορούν να βοηθήσουν τον οργανισμό σας να διέπει, να προστατεύει και να διαχειρίζεται ολόκληρη την περιουσία των δεδομένων σας. Μεταξύ άλλων πλεονεκτημάτων, το Microsoft Purview σάς επιτρέπει να επισημαίνετε στοιχεία βάσης δεδομένων SQL με ετικέτες ευαισθησίας και να ορίζετε πολιτικές προστασίας που ελέγχουν την πρόσβαση με βάση τις ετικέτες ευαισθησίας.

Αυτό το άρθρο εξηγεί πώς οι πολιτικές προστασίας του Microsoft Purview συνεργάζονται με τα στοιχεία ελέγχου πρόσβασης microsoft Fabric και τα στοιχεία ελέγχου πρόσβασης SQL στη βάση δεδομένων SQL στο Microsoft Fabric.

Για γενικές πληροφορίες σχετικά με τις δυνατότητες Του Microsoft Purview για το Microsoft Fabric, συμπεριλαμβανομένης της βάσης δεδομένων SQL, ανατρέξτε στα άρθρα που παρατίθενται στο Σχετικό περιεχόμενο.

Πώς λειτουργούν οι πολιτικές προστασίας στη βάση δεδομένων SQL

Κάθε πολιτική προστασίας για το Microsoft Fabric συσχετίζεται με μια ετικέτα ευαισθησίας. Μια πολιτική προστασίας ελέγχει την πρόσβαση σε στοιχεία που έχουν τη συσχετισμένη ετικέτα μέσω δύο στοιχείων ελέγχου πρόσβασης:

  • Να επιτρέπεται στους χρήστες να διατηρούν πρόσβαση ανάγνωσης - Όταν είναι ενεργοποιημένη, επιτρέπει στους καθορισμένους χρήστες (ή στους χρήστες που ανήκουν στις καθορισμένες ομάδες) να διατηρούν το δικαίωμα "Ανάγνωση στοιχείου" σε στοιχεία με ετικέτες, εάν οι καθορισμένοι χρήστες έχουν ήδη το δικαίωμα. Τυχόν άλλα δικαιώματα που έχουν οι καθορισμένοι χρήστες στο στοιχείο καταργούνται. Στη βάση δεδομένων SQL, το δικαίωμα Ανάγνωση στοιχείου απαιτείται για να συνδεθεί ένας χρήστης σε μια βάση δεδομένων. Επομένως, εάν ένας χρήστης δεν έχει καθοριστεί σε αυτόν τον έλεγχο πρόσβασης, ο χρήστης δεν μπορεί να συνδεθεί στη βάση δεδομένων.

  • Να επιτρέπεται στους χρήστες να διατηρούν πλήρη έλεγχο - Όταν είναι ενεργοποιημένο, επιτρέπει στους καθορισμένους χρήστες (ή στους χρήστες που ανήκουν σε καθορισμένες ομάδες) να διατηρούν τον πλήρη έλεγχο στο στοιχείο με ετικέτα, εάν το έχουν ήδη οι καθορισμένοι χρήστες ή οποιαδήποτε άλλα δικαιώματα έχουν. Για τα στοιχεία βάσης δεδομένων SQL, αυτό το στοιχείο ελέγχου επιτρέπει στους χρήστες να διατηρούν το δικαίωμα Εγγραφή στοιχείου, το οποίο σημαίνει ότι ο χρήστης διατηρεί πλήρη πρόσβαση διαχείρισης εντός της βάσης δεδομένων. Εάν ένας χρήστης δεν έχει καθοριστεί σε αυτό το στοιχείο ελέγχου πρόσβασης, το δικαίωμα Εγγραφή στοιχείου καταργείται ουσιαστικά από τον χρήστη. Αυτό το στοιχείο ελέγχου δεν έχει καμία επίδραση στα εγγενή δικαιώματα SQL του χρήστη στη βάση δεδομένων - για περισσότερες πληροφορίες, ανατρέξτε στο Παράδειγμα 4 και Περιορισμοί.

Στιγμιότυπο οθόνης της σελίδας ορισμού στοιχείων ελέγχου πρόσβασης στη ρύθμιση παραμέτρων πολιτικής προστασίας.

Παραδείγματα

Τα παραδείγματα σε αυτήν την ενότητα μοιράζονται τις παρακάτω ρυθμίσεις παραμέτρων:

  • Ένας οργανισμός έχει έναν χώρο εργασίας Microsoft Fabric, που ονομάζεται Παραγωγή.
  • Ο χώρος εργασίας περιέχει ένα στοιχείο βάσης δεδομένων SQL, με την ονομασία Πωλήσεις, που έχει την ετικέτα ευαισθησίας Εμπιστευτικό.
  • Στο Microsoft Purview, υπάρχει μια πολιτική προστασίας που ισχύει για το Microsoft Fabric. Η πολιτική συσχετίζεται με την ετικέτα ευαισθησίας Εμπιστευτικό.

Παράδειγμα 1

  • Ένας χρήστης είναι μέλος του ρόλου Συμβάλλων για τον χώρο εργασίας παραγωγής.
  • Η επιλογή Να επιτρέπεται στους χρήστες η διατήρηση του ελέγχου πρόσβασης ανάγνωσης είναι ενεργοποιημένη, αλλά δεν περιλαμβάνει τον χρήστη.
  • Η ρύθμιση Να επιτρέπεται στους χρήστες να διατηρούν τον έλεγχο πρόσβασης πλήρους ελέγχου είναι απενεργοποιημένη/ανενεργή.

Η πολιτική καταργεί το δικαίωμα Ανάγνωση στοιχείου του χρήστη, επομένως, ο χρήστης δεν μπορεί να συνδεθεί στη βάση δεδομένων Πωλήσεις. Επομένως, ο χρήστης δεν μπορεί να διαβάσει ή να αποκτήσει πρόσβαση σε δεδομένα στη βάση δεδομένων.

Παράδειγμα 2

  • Ένας χρήστης έχει το δικαίωμα Ανάγνωση στοιχείου για τη βάση δεδομένων Πωλήσεις.
  • Ο χρήστης είναι μέλος του ρόλου db_owner εγγενούς επιπέδου βάσης δεδομένων SQL στη βάση δεδομένων.
  • Η επιλογή Να επιτρέπεται στους χρήστες η διατήρηση του ελέγχου πρόσβασης ανάγνωσης είναι ενεργοποιημένη, αλλά δεν περιλαμβάνει τον χρήστη.
  • Η ρύθμιση Να επιτρέπεται στους χρήστες να διατηρούν τον έλεγχο πρόσβασης πλήρους ελέγχου είναι απενεργοποιημένη/ανενεργή.

Η πολιτική καταργεί το δικαίωμα Ανάγνωση στοιχείου του χρήστη, επομένως ο χρήστης δεν μπορεί να συνδεθεί στη βάση δεδομένων Πωλήσεις, ανεξάρτητα από τα εγγενή δικαιώματα SQL χρήστη (εκχωρούνται μέσω της ιδιότητας μέλους του χρήστη στον ρόλο db_owner) στη βάση δεδομένων. Επομένως, ο χρήστης δεν μπορεί να διαβάσει ή να αποκτήσει πρόσβαση σε δεδομένα στη βάση δεδομένων.

Παράδειγμα 3

  • Ένας χρήστης είναι μέλος του ρόλου Συμβάλλων για τον χώρο εργασίας παραγωγής.
  • Ο χρήστης δεν έχει εγγενή δικαιώματα SQL που εκχωρούνται στη βάση δεδομένων.
  • Η επιλογή Να επιτρέπεται στους χρήστες η διατήρηση της πρόσβασης ανάγνωσης είναι ενεργοποιημένη και περιλαμβάνει τον χρήστη.
  • Η επιλογή Να επιτρέπεται στους χρήστες να διατηρούν τον έλεγχο πρόσβασης πλήρους ελέγχου είναι ενεργοποιημένη, αλλά δεν περιλαμβάνει τον χρήστη.

Ως μέλος του ρόλου Συμβάλλων, ο χρήστης αρχικά έχει όλα τα δικαιώματα στη βάση δεδομένων Πωλήσεις, συμπεριλαμβανομένων των Read, ReadData και Write. Η επιλογή Να επιτρέπεται στους χρήστες η διατήρηση του ελέγχου πρόσβασης ανάγνωσης στην πολιτική επιτρέπει στον χρήστη να διατηρεί τα δικαιώματα Ανάγνωση και ΑνάγνωσηΔεδομένα, ωστόσο, η επιλογή Να επιτρέπεται στους χρήστες να διατηρούν τον πλήρη έλεγχο πρόσβασης καταργεί το δικαίωμα εγγραφής του χρήστη. Κατά συνέπεια, ο χρήστης μπορεί να συνδεθεί στη βάση δεδομένων και να διαβάσει δεδομένα, αλλά ο χρήστης χαλαρώνει την πρόσβαση διαχείρισης στη βάση δεδομένων, συμπεριλαμβανομένης της δυνατότητας εγγραφής/επεξεργασίας δεδομένων.

Παράδειγμα 4

  • Ένας χρήστης έχει το δικαίωμα Ανάγνωση στοιχείου για τη βάση δεδομένων Πωλήσεις.
  • Ο χρήστης είναι μέλος του ρόλου db_owner εγγενούς επιπέδου βάσης δεδομένων SQL στη βάση δεδομένων.
  • Η επιλογή Να επιτρέπεται στους χρήστες η διατήρηση της πρόσβασης ανάγνωσης είναι ενεργοποιημένη και περιλαμβάνει τον χρήστη.
  • Η επιλογή Να επιτρέπεται στους χρήστες να διατηρούν τον έλεγχο πρόσβασης πλήρους ελέγχου είναι ενεργοποιημένη, αλλά δεν περιλαμβάνει τον χρήστη.

Η επιλογή Να επιτρέπεται στους χρήστες η διατήρηση του ελέγχου πρόσβασης ανάγνωσης στην πολιτική επιτρέπει στο χρήστη να διατηρεί το δικαίωμα ανάγνωσης. Καθώς ο χρήστης δεν έχει αρχικά πρόσβαση πλήρους ελέγχου (το δικαίωμα Εγγραφή στοιχείου), ο έλεγχος πρόσβασης Να επιτρέπεται στους χρήστες να διατηρούν τον πλήρη έλεγχο πρόσβασης δεν επηρεάζει τα δικαιώματα του χρήστη που εκχωρούνται στο Microsoft Fabric. Η ρύθμιση Να επιτρέπεται στους χρήστες να διατηρούν τον έλεγχο πρόσβασης πλήρους ελέγχου δεν επηρεάζει το εγγενές δικαίωμα SQL χρήστη στη βάση δεδομένων. Ως μέλος του ρόλου db_owner, ο χρήστης εξακολουθεί να έχει πρόσβαση διαχειριστή στη βάση δεδομένων. Ανατρέξτε στο θέμα Περιορισμοί.

Περιορισμοί

  • Η επιλογή Να επιτρέπεται στους χρήστες να διατηρούν τον έλεγχο πρόσβασης πλήρους ελέγχου στις πολιτικές προστασίας Του Microsoft Purview δεν έχει καμία επίπτωση στα εγγενή δικαιώματα SQL, τα οποία εκχωρούνται σε χρήστες σε μια βάση δεδομένων.

Σχετικό περιεχόμενο