Microsoft Fabricin tietovarastoinnin suojaus
Koskee:✅ SQL-analytiikan päätepiste ja Microsoft Fabric -varasto
Tässä artikkelissa käsitellään suojausaiheita Lakehousen SQL-analytiikan päätepisteen ja Microsoft Fabric -varaston suojaamiseksi.
Lisätietoja Microsoft Fabric -suojauksesta on artikkelissa Microsoft Fabricin suojaus.
Lisätietoja SQL-analytiikan päätepisteeseen ja Varastoon yhdistämisestä on kohdassa Yhteydet.
Varaston käyttömalli
Microsoft Fabric -käyttöoikeudet ja eriytetyt SQL-käyttöoikeudet toimivat yhdessä hallitakseen Warehousen käyttöoikeuksia ja käyttöoikeuksia, kun yhteys on muodostettu.
- Varaston liitettävyys on riippuvainen siitä, että sille on myönnetty Microsoft Fabric -lukuoikeus vähintään Warehouselle.
- Microsoft Fabric -kohteen käyttöoikeudet mahdollistavat sql-käyttöoikeuksien myöntämisen käyttäjälle ilman, että näitä käyttöoikeuksia tarvitsee myöntää SQL:ssä.
- Microsoft Fabric -työtilaroolit antavat Microsoft Fabric -käyttöoikeudet kaikkiin työtilan varastoihin.
- Eriytettyjä käyttöoikeuksia voidaan hallita edelleen T-SQL:n kautta.
Työtilaroolit
Työtilarooleja käytetään kehitystiimien yhteistyöhön työtilassa. Roolimääritys määrittää käyttäjän käytettävissä olevat toiminnot ja koskee kaikkia työtilan kohteita.
- Microsoft Fabric -työtilaroolien yleiskatsaus on kohdassa Roolit työtiloissa.
- Työtilaroolien määrittämisen ohjeet ovat kohdassa Työtilan käyttöoikeuksien antaminen.
Lisätietoja työtilaroolien kautta tarjoamista Varasto-ominaisuuksista on kohdassa Työtilan roolit Fabric-tietovarastoinnissa.
Kohteen käyttöoikeudet
Toisin kuin työtilan roolit, jotka koskevat kaikkia työtilan kohteita, kohteen käyttöoikeudet voidaan määrittää suoraan yksittäisille varastoille. Käyttäjä saa määritetyn käyttöoikeuden kyseiseen yksittäiseen varastoon. Näiden käyttöoikeuksien ensisijainen tarkoitus on mahdollistaa jakaminen varaston jatkokäytössä.
Lisätietoja varastoille annetuista käyttöoikeuksista on kohdassa Tietojen jakaminen ja käyttöoikeuksien hallinta.
Rakeinen suojaus
Työtilan roolit ja nimikekäyttöoikeudet tarjoavat helpon tavan määrittää käyttäjille karkeat käyttöoikeudet koko varastoon. Joissakin tapauksissa käyttäjältä kuitenkin tarvitaan tarkempia käyttöoikeuksia. Tämän saavuttamiseksi voidaan käyttää T-SQL-vakiorakenteita antamaan käyttäjille erityisiä käyttöoikeuksia.
Microsoft Fabric -tietovarasto tukee useita tietosuojatekniikoita, joiden avulla järjestelmänvalvojat voivat suojata arkaluonteisia tietoja luvattomalta käytöltä. Suojaamalla tai poistamalla tietoja valtuuttamattomilta käyttäjiltä tai rooleilta nämä suojausominaisuudet voivat tarjota tietojen suojaamisen sekä Warehouse- että SQL-analytiikan päätepisteessä ilman sovelluksen muutoksia.
- Objektitason suojaus hallitsee tiettyjen tietokantaobjektien käyttöoikeuksia.
- Saraketason suojaus estää sarakkeiden luvattoman tarkastelemisen taulukoissa.
- Rivitason suojaus estää rivien luvattoman tarkastelemisen taulukoissa käyttämällä tuttuja
WHERE
lausesuodatinpredikaatteja. - Dynaaminen tietojen peittäminen estää luottamuksellisten tietojen luvattoman tarkastelemisen käyttämällä rajoitteita, jotka estävät pääsyn täydentämiseen, kuten sähköpostiosoitteet tai numerot.
Objektitason suojaus
Objektitason suojaus on suojausmekanismi, joka hallitsee tiettyjen tietokantaobjektien, kuten taulukoiden, näkymien tai toimintostojen, käyttöä käyttöoikeuksien tai roolien perusteella. Se varmistaa, että käyttäjät tai roolit voivat vain käsitellä ja käsitellä objekteja, joihin heille on myönnetty käyttöoikeudet. Tämä suojaa tietokantarakenteen ja siihen liittyvien resurssien eheyden ja luottamuksellisuuden.
Lisätietoja eriytettyjä käyttöoikeuksia sql:ssä on artikkelissa SQL:n eriytettyjä käyttöoikeuksia.
Rivitason suojaus
Rivitason suojaus on tietokannan suojausominaisuus, joka rajoittaa tietokantataulukon yksittäisten rivien tai tietueiden käyttöä määritettyjen ehtojen, kuten käyttäjäroolien tai määritteiden, perusteella. Se varmistaa, että käyttäjät voivat vain tarkastella tai käsitellä tietoja, jotka ovat nimenomaisesti valtuutettuja heidän käyttöönsä, mikä parantaa tietosuojaa ja hallintaa.
Lisätietoja rivitason suojauksesta on artikkelissa Rivitason suojaus Fabric-tietovarastossa.
Saraketason suojaus
Saraketason suojaus on tietokannan suojaustoimenpide, joka rajoittaa tiettyjen sarakkeiden tai kenttien käyttöä tietokantataulukossa, jolloin käyttäjät voivat tarkastella ja käyttää vain valtuutettuja sarakkeita piilottaen arkaluonteisia tai rajoitettuja tietoja. Se mahdollistaa tietojen käytön tarkan hallinnan ja luottamuksellisten tietojen suojaamisen tietokannassa.
Lisätietoja saraketason suojauksesta on artikkelissa Saraketason suojaus Fabric-tietovarastoinnissa.
Dynaaminen tietojen peittäminen
Dynaaminen tietojen peittäminen auttaa estämään luottamuksellisten tietojen luvattoman katselun antamalla järjestelmänvalvojille mahdollisuuden määrittää, kuinka paljon arkaluontoisia tietoja paljastetaan, mahdollisimman pienellä vaikutuksella sovellustasoon. Dynaamista tietojen peittämistä voidaan määrittää määritetyille tietokantakentille luottamuksellisten tietojen piilottamiseksi tuloskyselyiden tulosjoukossa. Dynaamisen tietojen peittämisen myötä tietokannan tietoja ei muuteta, joten niitä voidaan käyttää olemassa olevien sovellusten kanssa, koska peittämissääntöjä sovelletaan kyselyn tuloksiin. Monet sovellukset voivat peittää luottamukselliset tiedot muokkaamatta olemassa olevia kyselyitä.
Lisätietoja dynaamisista tietojen peittämisestä on kohdassa Dynaaminen tietojen peittäminen Fabric-tietovarastoinnissa.
Varaston jakaminen
Jakaminen on kätevä tapa tarjota käyttäjille lukuoikeus varastoosi jatkokäyttöä varten. Jakamisen avulla organisaatiosi loppukäyttäjät voivat käyttää varastoa SQL:n, Sparkin tai Power BI:n avulla. Voit mukauttaa jaetun vastaanottajan käyttöoikeustasoa ja tarjota asianmukaisen käyttöoikeustason.
Lisätietoja jakamisesta on kohdassa Tietojen jakaminen ja käyttöoikeuksien hallinta.
Käyttöoikeutta koskevat ohjeet
Kun arvioit käyttäjän käyttöoikeuksia, huomioi seuraavat ohjeet:
- Vain tiimin jäsenet, jotka tekevät parhaillaan yhteistyötä ratkaisun parissa, määritetään työtilan rooleihin (järjestelmänvalvoja, jäsen, osallistuja), koska tämä tarjoaa heille käyttöoikeuden kaikkiin työtilan kohteisiin.
- Jos ne edellyttävät ensisijaisesti vain luku -käyttöoikeutta, määritä ne Katselija-rooliin ja myönnä lukuoikeus tietyille objekteille T-SQL:n kautta. Lisätietoja on kohdassa SQL:n eriytettyjä käyttöoikeuksia.
- Jos he ovat etuoikeutettuja käyttäjiä, määritä heidät järjestelmänvalvoja-, jäsen- tai osallistujarooleihin. Asianmukainen rooli riippuu muista toiminnoista, jotka niiden on suoritettava.
- Muille käyttäjille, joiden tarvitsee vain käyttää yksittäistä varastoa tai jotka tarvitsevat käyttöoikeuden vain tiettyihin SQL-objekteihin, on annettava Fabric Item -käyttöoikeudet ja heille on myönnettävä SQL:n kautta käyttöoikeus tiettyihin objekteihin.
- Voit hallita Microsoft Entra ID -tunnuksen (aiemmin Azure Active Directory) ryhmien käyttöoikeuksia, sen sijaan, että lisäisit kunkin tietyn jäsenen. Jos haluat lisätietoja, katso Microsoft Entra -todentaminen vaihtoehtona SQL-todennukselle Microsoft Fabricissa.
Käyttäjän valvontalokit
Jotta voidaan seurata käyttäjien toimintaa varastossa ja SQL-analytiikan päätepisteessä säädösten noudattamisen ja tietueiden hallinnan vaatimusten täyttämiseksi, joukko valvontatoimia on käytettävissä Microsoft Purview'n ja PowerShellin kautta. Käyttäjien valvontalokien avulla voit selvittää, kuka tekee mitä toimia Fabric-kohteissasi.
Saat lisätietoja käyttäjien valvontalokien käytön ohjeartikkelista Käyttäjien toiminnan seuraaminen Microsoft Fabric and Operations -luettelossa.