Dynaamisten tietojen peittämisen käyttöönotto Fabric Data Warehousessa

Koskee:✅ SQL-analytiikan päätepiste ja Microsoft Fabric -varasto

Dynaaminen tietojen peittäminen on huipputason tietojen suojaustekniikka, jonka avulla organisaatiot voivat suojata luottamuksellisia tietoja tietokannoissaan. Sen avulla voit määrittää tiettyjen sarakkeiden peittämissäännöt ja varmistaa, että vain valtuutetut käyttäjät näkevät alkuperäiset tiedot samalla, kun ne piilotetaan muille. Dynaaminen tietojen peittäminen tarjoaa lisäsuojaustasan muuttamalla dynaamisesti käyttäjille esitettyjä tietoja heidän käyttöoikeuksiensa perusteella.

Lisätietoja on kohdassa Dynaaminen tietojen peittäminen Fabric-tietovarastoinnissa.

Edellytykset

Ennen kuin aloitat, varmista, että sinulla on seuraavat:

1. Microsoft Fabric -työtila, jolla on aktiivinen kapasiteetti tai kokeiluversion kapasiteetti.
2. Varasto.
   1. Dynaaminen tietojen peittäminen toimii SQL-analytiikan päätepisteessä. Voit lisätä rajoitteita olemassa oleviin sarakkeisiin käyttämällä ALTER TABLE ... ALTER COLUMN tavalla, joka käy ilmi myöhemmin tässä artikkelissa.
   2. Tässä harjoituksessa käytetään Warehousea.
3. Jos haluat hallita käyttäjää, jolla on järjestelmänvalvojan, jäsenen tai osallistujan oikeudet työtilassa, tai laajennettuja käyttöoikeuksia varastossa.
   1. Tässä opetusohjelmassa "järjestelmänvalvojan tili".
4. Testaamiseksi käyttäjä, jolla ei ole järjestelmänvalvojan, jäsenen tai osallistujan oikeuksia työtilassa ja ilman laajennettuja käyttöoikeuksia Varastossa.
   1. Tässä opetusohjelmassa testataan käyttäjää.

1. Yhdistä

1. Avaa Fabric-työtila ja siirry Varastoon, johon haluat käyttää dynaamisia tietojen peittämistä.
2. Kirjaudu sisään käyttämällä tiliä, jolla on laajennettu käyttöoikeus varastoon, joko järjestelmänvalvojan/jäsenen tai osallistujan roolilla työtilassa tai ohjausobjektien käyttöoikeuksilla varastossa.

2. Dynaamisten tietojen peittämisen määrittäminen

1. Kirjaudu Sisään Fabric-portaaliin järjestelmänvalvojatililläsi.

2. Siirry Fabric-työtilassa varastoosi.

3. Valitse Uusi SQL-kysely -vaihtoehto ja valitse tyhjästä kohdasta Uusi SQL-kysely.

4. Määritä SQL-komentosarjassa dynaamiset tietojen peittämisen säännöt -lauseen MASKED WITH FUNCTION avulla. Esimerkkejä:

   CREATE TABLE dbo.EmployeeData (
       EmployeeID INT
       ,FirstName VARCHAR(50) MASKED WITH (FUNCTION = 'partial(1,"-",2)') NULL
       ,LastName VARCHAR(50) MASKED WITH (FUNCTION = 'default()') NULL
       ,SSN CHAR(11) MASKED WITH (FUNCTION = 'partial(0,"XXX-XX-",4)') NULL
       ,email VARCHAR(256) NULL
       );
   GO
   INSERT INTO dbo.EmployeeData
       VALUES (1, 'TestFirstName', 'TestLastName', '123-45-6789','email@youremail.com');
   GO
   INSERT INTO dbo.EmployeeData
       VALUES (2, 'First_Name', 'Last_Name', '000-00-0000','email2@youremail2.com');
   GO
   

   • Sarake FirstName näyttää vain merkkijonon ensimmäiset ja viimeiset kaksi merkkiä, - joiden keskellä on .
   • Sarakkeessa LastName näkyy XXXX.
   • Sarakkeessa SSN näkyy XXX-XX- merkkijonon neljä viimeistä merkkiä.

5. Suorita komentosarja valitsemalla Suorita-painike.

6. Vahvista komentosarjan suorittaminen.

7. Komentosarja käyttää määritettyjä dynaamisia tietojen peittämisen sääntöjä taulukon määritettyihin sarakkeisiin.

3. Dynaamisten tietojen peittämisen testaaminen

Kun dynaamiset tietojen peittämisen säännöt on otettu käyttöön, voit testata peittämistä tekemällä taulukon kyselyn testikäyttäjällä, jolla ei ole järjestelmänvalvojan, jäsenen tai osallistujan oikeuksia työtilassa tai laajennettuja käyttöoikeuksia varastossa.

1. Kirjaudu sisään testikäyttäjänä työkaluun, kuten Azure Data Studio tai SQL Server Management Studioon, esimerkiksi TestUser@contoso.com.
2. Suorita testikäyttäjänä kysely taulukkoa vasten. Naamioidut tiedot näytetään määrittämiesi sääntöjen mukaisesti.

   SELECT * FROM dbo.EmployeeData;
   

3. Myönnä UNMASK järjestelmänvalvojan tililläsi käyttöoikeus testikäyttäjältä.

   GRANT UNMASK ON dbo.EmployeeData TO [TestUser@contoso.com];
   

4. Tarkista testikäyttäjänä, että kirjautunut TestUser@contoso.com käyttäjä voi nähdä yhdistämättömät tiedot.

   SELECT * FROM dbo.EmployeeData;
   

5. Kumoa UNMASK järjestelmänvalvojan tililläsi testikäyttäjän käyttöoikeus.

   REVOKE UNMASK ON dbo.EmployeeData TO [TestUser];
   

6. Varmista, että testikäyttäjä ei voi nähdä kartoittamattomia tietoja (vain naamioidut tiedot).

   SELECT * FROM dbo.EmployeeData;
   

7. Voit myöntää ja kumota UNMASK roolin järjestelmänvalvojatililläsi

   GRANT UNMASK ON dbo.EmployeeData TO [TestRole];
   REVOKE UNMASK ON dbo.EmployeeData TO [TestRole];
   

4. Hallitse ja muokkaa dynaamisia tietojen peittämisen sääntöjä

Jos haluat hallita tai muokata dynaamisia tietojen peittämisen sääntöjä, luo uusi SQL-komentosarja.

1. Voit lisätä rajoitteen olemassa olevaan sarakkeeseen -lausekkeella MASKED WITH FUNCTION :

   ALTER TABLE dbo.EmployeeData
   ALTER COLUMN [email] ADD MASKED WITH (FUNCTION = 'email()');
   GO
   

   ALTER TABLE dbo.EmployeeData 
   ALTER COLUMN [email] DROP MASKED;
   

5. Puhdistus

1. Voit tyhjentää tämän testaustaulukon seuraavasti:

   DROP TABLE dbo.EmployeeData;
   

Liittyvä sisältö

• Dynaaminen tietojen peittäminen Fabric-tietovarastossa
• Työtilaroolit Fabric-tietovarastoinnissa
• Saraketason suojaus Fabric-tietovarastossa
• Rivitason suojaus Fabric-tietovarastossa
• Microsoft Fabricin tietovarastoinnin suojaus