Tietojen jakaminen ja käyttöoikeuksien hallinta
Koskee seuraavia:✅Microsoft Fabricn varastotietokantaa ja peilattua tietokantaa
Jakaminen on kätevä tapa tarjota käyttäjille lukuoikeus tietoihisi jatkokäyttöä varten. Jakamisen avulla organisaatiosi loppukäyttäjät voivat käyttää varastoa T-SQL:n, Sparkin tai Power BI:n avulla. Voit mukauttaa jaetun vastaanottajan käyttöoikeustasoa ja tarjota asianmukaisen käyttöoikeustason.
Muistiinpano
Sinun on oltava järjestelmänvalvoja tai työtilasi jäsen, jotta voit jakaa kohteen Microsoft Fabricissa.
Aloittaminen
Kun olet tunnistanut Warehouse-kohteen, jonka haluat jakaa toisen käyttäjän kanssa Fabric-työtilassa, valitse jaettavan rivin pikatoiminto.
Seuraava animoitu GIF tarkistaa vaiheet, joilla voit valita jaettavan varaston, valita määritettävät käyttöoikeudet ja lopuksi myöntää käyttöoikeudet toiselle käyttäjälle.
Varaston jakaminen
Voit jakaa Varastosi OneLake - tai Warehouse-kohteesta valitsemalla Jaa pikatoiminnosta seuraavassa kuvassa korostetun mukaisesti.
Näyttöön tulee vaihtoehtoja sen valitsemiseksi, kenelle haluat jakaa varaston, mitä oikeuksia niille myönnetään ja ilmoitetaanko niistä sähköpostitse.
Täytä kaikki tarvittavat kentät ja valitse Myönnä käyttöoikeus.
Kun jaettu vastaanottaja saa sähköpostiviestin, hän voi valita Avaa ja siirtyä Warehouse OneLake -luettelosivulle.
Jaetun vastaanottajan käyttöoikeustasosta riippuen jaettu vastaanottaja voi nyt muodostaa yhteyden SQL-analytiikan päätepisteeseen, tehdä kyselyn varastoon, luoda raportteja tai lukea tietoja Sparkin kautta.
Fabric-käyttöoikeusroolit
Tässä on lisätietoja annetuista käyttöoikeuksista:
- Jos muita käyttöoikeuksia ei ole valittuna – Jaettu vastaanottaja saa oletusarvoisesti "lukuoikeuden", joka sallii vastaanottajan muodostaa yhteyden vain SQL-analytiikan päätepisteeseen, joka vastaa CONNECT-käyttöoikeuksia SQL Serverissä. Jaettu vastaanottaja ei voi tehdä kyselyjä mistään taulukosta, tarkastella tai suorittaa mitään funktioita tai tallennettuja toimintosarjoja, ellei heille ole annettu käyttöoikeutta varaston objekteihin T-SQL GRANT -lausekkeen avulla.
Vihje
ReadData (jota varasto käyttää T-SQL-oikeuksille), ReadAll (OneLaken ja SQL-analytiikan päätepisteen käyttämä) ja Koontiversio (Power BI:n käyttämä) ovat erillisiä käyttöoikeuksia, jotka eivät ole päällekkäisiä.
"Lue kaikki tiedot SQL:n avulla" on valittuna ("ReadData"-käyttöoikeudet)- Jaettu vastaanottaja voi lukea kaikki Warehousen objektit. ReadData vastaa db_datareader roolia SQL Serverissä. Jaettu vastaanottaja voi lukea tietoja kaikista Warehousen taulukoista ja näkymistä. Jos haluat rajoittaa ja antaa eriytettyjä käyttöoikeuksia joihinkin Warehousen objekteihin, voit tehdä sen T-SQL-lausekkeiden
GRANT
//REVOKE
DENY
avulla.- Lakehousen SQL-analytiikan päätepisteessä "Read all SQL Endpoint data" vastaa "Read all data using SQL".
"Lue kaikki tiedot käyttämällä Apache Sparkiä" on valittuna ("ReadAll"-käyttöoikeudet)- Jaetulla vastaanottajalla on lukuoikeus OneLakessa pohjana oleviin parquet-tiedostoihin, joita voidaan käyttää Sparkin avulla. ReadAll-funktio tulee antaa vain, jos jaettu vastaanottaja haluaa täydet käyttöoikeudet varastosi tiedostoihin Spark-moduulin avulla.
Koosta raportteja oletustietojoukolle -valintaruutu on valittuna (muodostamisoikeudet). Jaettu vastaanottaja voi luoda raportteja varastoon yhdistetyn oletusarvoisen semanttisen mallin päälle. Koontiversio tulee antaa, jos jaettu vastaanottaja haluaa koontiversio-oikeudet oletusarvoiseen semanttiseen malliin, jotta näitä tietoja koskevat Power BI -raportit voidaan luoda. Koontiversio-valintaruutu on oletusarvoisesti valittuna, mutta sitä ei voi valita.
ReadData-käyttöoikeudet
ReadData-oikeuksilla jaettu vastaanottaja voi avata Varasto-editorin Vain luku -tilassa ja tehdä kyselyn varaston taulukoista ja näkymistä. Jaettu vastaanottaja voi myös kopioida annetun SQL-analytiikan päätepisteen ja muodostaa yhteyden asiakastyökaluun tällaisten kyselyiden suorittamiseksi.
ReadAll-käyttöoikeudet
Jaettu vastaanottaja, jolla on ReadAll-käyttöoikeudet , voi löytää Azure Blob File System (ABFS) -polun tiettyyn tiedostoon OneLakessa Varastoeditorin Ominaisuudet-ruudusta. Jaettu vastaanottaja voi tämän polun avulla lukea nämä tiedot Spark-muistikirjassa.
Esimerkiksi seuraavassa näyttökuvassa käyttäjä, jolla on ReadAll-käyttöoikeudet , voi kysellä tietoja FactSale
Spark-kyselyllä uudessa muistikirjassa.
Muodostamisoikeudet
Muodostamisoikeuksilla jaettu vastaanottaja voi luoda raportteja oletussmanttisen mallin lisäksi, joka on yhdistetty varastoon. Jaettu vastaanottaja voi luoda Power BI -raportteja OneLake-luettelosta tai tehdä saman käyttämällä Power BI Desktopia.
Käyttöoikeuksien hallinta
Käyttöoikeuksien hallinta -sivulla näkyy luettelo käyttäjistä, joille on myönnetty käyttöoikeus joko määrittämällä työtilan rooleihin tai kohteen käyttöoikeuksiin.
Jos olet järjestelmänvalvoja- tai jäsen-työtilaroolien jäsen, siirry työtilaasi ja valitse Lisää vaihtoehtoja. Valitse sitten Käyttöoikeuksien hallinta.
Käyttäjille, joille on annettu työtilarooleja, näet vastaavan käyttäjän, työtilan roolin ja käyttöoikeudet. Järjestelmänvalvoja-, Jäsen- ja Osallistuja-työtilaroolien jäsenillä on luku- ja kirjoitusoikeus tämän työtilan kohteisiin. Katselijilla on ReadData-käyttöoikeudet ja he voivat tehdä kyselyjä kaikista kyseisen työtilan Varastossa kuuluvista taulukoista ja näkymistä. Kohteen käyttöoikeudet Read, ReadData ja ReadAll voidaan antaa käyttäjille.
Voit lisätä tai poistaa käyttöoikeuksia käyttämällä käyttöoikeuksien hallintaa:
- Poista käyttö poistaa kaikki kohteen käyttöoikeudet.
- Poista ReadData poistaa ReadData-käyttöoikeudet.
- Poista ReadAll poistaa ReadAll-käyttöoikeudet .
- Poista koontiversio poistaa muodostamisoikeudet vastaavaan oletusarvoiseen semanttiseen malliin.
Tietosuojaominaisuudet
Microsoft Fabric -tietovarasto tukee useita tekniikoita, joiden avulla järjestelmänvalvojat voivat suojata arkaluonteisia tietoja luvattomalta tarkastelemiselta. Suojaamalla tai poistamalla tietoja valtuuttamattomilta käyttäjiltä tai rooleilta nämä suojausominaisuudet voivat tarjota tietojen suojaamisen sekä Warehouse- että SQL-analytiikan päätepisteessä ilman sovelluksen muutoksia.
- Saraketason suojaus estää sarakkeiden luvattoman tarkastelemisen taulukoissa.
- Rivitason suojaus estää rivien luvattoman tarkastelemisen taulukoissa käyttämällä tuttuja
WHERE
lausesuodatinpredikaatteja. - Dynaaminen tietojen peittäminen estää luottamuksellisten tietojen luvattoman tarkastelemisen käyttämällä rajoitteita, jotka estävät pääsyn täydentämiseen, kuten sähköpostiosoitteet tai numerot.
Rajoitukset
- Jos annat kohteen käyttöoikeudet tai poistat käyttäjiä, joilla on aiemmin ollut käyttöoikeudet, käyttöoikeuksien levitys voi kestää enintään kaksi tuntia. Uudet käyttöoikeudet näkyvät heti Käyttöoikeuksien hallinta -kohdassa. Kirjaudu sisään uudelleen ja varmista, että oikeudet näkyvät SQL-analytiikan päätepisteessä.
- Jaetut vastaanottajat voivat käyttää varastoa omistajan käyttäjätiedoilla (delegoitu tila). Varmista, että Varaston omistajaa ei poissteta työtilasta.
- Jaetut vastaanottajat voivat käyttää ainoastaan vastaanottamaansa varastoa, eivät muita kohteita, jotka ovat samassa työtilassa kuin Varasto. Jos haluat antaa ryhmän muille käyttäjille oikeudet tehdä yhteistyötä Varastossa (luku- ja kirjoitusoikeudet), lisää heidät työtilan rooleiksi, kuten Jäsen tai Osallistuja.
- Tällä hetkellä, kun jaat Varaston ja valitset Lue kaikki tiedot SQL:n avulla, jaettu vastaanottaja voi käyttää Warehouse-editoria vain luku -tilassa. Nämä jaetut vastaanottajat voivat luoda kyselyitä, mutta he eivät voi nykyisin tallentaa kyselyjään.
- Tällä hetkellä varaston jakaminen on käytettävissä vain käyttökokemuksen kautta.
- Jos haluat antaa vaiheittaisen käyttöoikeuden tiettyihin objekteihin Warehousessa, jaa Varasto ilman lisäkäyttöoikeuksia ja anna sitten vaiheittainen käyttöoikeus tiettyihin objekteihin T-SQL GRANT -lausekkeen avulla. Lisätietoja on artikkelissa T-SQL-syntaksi parametrille GRANT, REVOKE ja DENY.
- Jos näet, että ReadAll-käyttöoikeudet ja ReadData-käyttöoikeudet on poistettu käytöstä jakamisvalintaikkunassa, päivitä sivu.
- Jaetuilla vastaanottajilla ei ole oikeutta jakaa varastoa uudelleen.
- Jos varaston päälle luotu raportti jaetaan toisen vastaanottajan kanssa, jaettu vastaanottaja tarvitsee enemmän oikeuksia raportin käyttämiseen. Tämä riippuu power BI:n semanttisen mallin käyttötilasta:
- Jos sitä käsitellään suoran kyselytilan kautta, warehouseen on annettava Lukudata-käyttöoikeudet (tai eriytetyt SQL-käyttöoikeudet tiettyihin taulukoihin tai näkymiin).
- Jos sitä käsitellään Direct Lake -tilan kautta, varastoon on annettava ReadData-käyttöoikeudet (tai tiettyjen taulukoiden tai näkymien eriytetyt käyttöoikeudet). Direct Lake -tila on oletusyhteystyyppi semanttisille malleille, jotka käyttävät tietolähteenä Warehouse- tai SQL-analytiikan päätepistettä. Lisätietoja on kohdassa Direct Lake -tila.
- Jos sitä käytetään tuontitilan kautta, lisäoikeuksia ei tarvita.
- Tällä hetkellä varaston jakamista suoraan palvelun päänimen kanssa ei tueta.