Lakehousen turvaaminen tietovarastotiimeille
Esittely
Tässä artikkelissa annetaan yleiskuvaus siitä, miten voit määrittää Fabric lakehouse-järjestelmän suojauksen T-SQL-kyselyitä sisältäville SQL-käyttäjille. Nämä käyttäjät voivat olla yritysanalyytikoita, jotka kuluttavat tietoja SQL:n, raporttien luojien tai tietoinsinöörien kautta luomassa uusia taulukoita ja näkymiä.
Suojausominaisuudet
Microsoft Fabric käyttää monikerroksista suojausmallia, jonka eri tasoilla on saatavilla erilaisia ohjausobjekteja ja jonka avulla voidaan antaa vain tarvittavat vähimmäisoikeudet. Saat lisätietoja Fabricin erilaisista suojausominaisuuksista ohjeartikkelista Data Käyttöoikeuksien hallinta Model in OneLake.
Fabric Data Warehouse -kuormituksessa varaston ja SQL-analytiikan päätepisteen kohteet mahdollistavat myös alkuperäisen SQL-suojauksen määrittämisen. SQL-suojaus käyttää T-SQL-suojausrakenteiden koko kirjastoa mahdollistaakseen kohteen sisältämien taulukoiden, näkymien, rivien ja sarakkeiden eriytetyn käytön hallinnan. Lisätietoja SQL-suojauksesta on kohdassa SQL:n eriytettyjä käyttöoikeuksia.
Sql-käyttöoikeudet, jotka on määritetty varaston tai SQL-analytiikan päätepisteessä, koskevat vain kyselyitä, jotka suoritetaan varaston tai SQL-analytiikan päätepisteen avulla. Pohjana olevia tietoja käytetään OneLakessa, mutta OneLake-tietojen käyttöä hallitaan erikseen OneLake-tietojen käyttöoikeusroolien kautta. Jos haluat varmistaa, että KÄYTTÄJÄT, joilla on SQL-käyttöoikeudet, eivät näe tietoja, joihin heillä ei ole SQL-käyttöoikeutta, älä sisällytä kyseisiä käyttäjiä OneLake-tietojen käyttöoikeusrooliin.
Käyttötapauksen mukaan suojattu
Microsoft Fabricin suojaus on optimoitu tietojen suojaamisen ympärille tiettyjä käyttötapauksia varten. Käyttötapaus on joukko käyttäjiä, jotka tarvitsevat tietyn käyttöoikeuden ja käyttävät tietoja tietyn moduulin kautta. SQL-skenaarioissa yleisiä käyttötapauksia ovat:
- SQL-kirjoittajat: Käyttäjät, joiden on luotava uusia taulukoita, tarkasteltava tai kirjoitettava tietoja olemassa oleviin taulukoihin.
- SQL-lukijat: Käyttäjät, joiden on luettava tietoja SQL-kyselyiden avulla. He voivat käyttää SQL-yhteyttä suoraan tai toisen palvelun, kuten Power BI:n, kautta.
Voimme sitten tasata kunkin käyttötapauksen Fabricissa tarvittavilla käyttöoikeuksilla.
SQL-kirjoitusoikeus
Käyttäjälle voidaan myöntää kirjoitusoikeus varastoon tai SQL-analytiikan päätepisteeseen kahdella tavalla:
- Fabric-työtilaroolien kautta voit myöntää jäsenyyttä kolmelle työtilaroolille, jotka myöntävät kirjoitusoikeuksia. Jokainen rooli muuttuu automaattisesti vastaavaksi rooliksi SQL:ssä, joka myöntää vastaavan kirjoitusoikeuden.
- Anna SQL-moduulin lukuoikeus ja myönnä mukautetuille SQL-käyttöoikeuksille joidenkin tai kaikkien tietojen kirjoittamiseen.
Jos käyttäjä tarvitsee kirjoitusoikeudet kaikkiin työtilan varastoihin tai SQL-analytiikan päätepisteisiin, määritä hänelle työtilan rooli. Ellei käyttäjän tarvitse määrittää muita käyttäjiä työtilan rooleihin, tulee käyttää Osallistuja-roolia.
Jos käyttäjän tarvitsee kirjoittaa vain tiettyihin varastoihin tai SQL-analytiikkaan, myönnä heille suora käyttöoikeus SQL-käyttöoikeuksien kautta.
SQL-lukuoikeus
Käyttäjälle voidaan myöntää lukuoikeus varastoon tai SQL-analytiikan päätepisteeseen kahdella tavalla:
- Myönnä lukuoikeus ReadData-käyttöoikeudella, joka myönnetään osana Fabric-työtilarooleja. Kaikki neljä työtilaroolia myöntävät ReadData-käyttöoikeuden.
- Myönnä lukuoikeus SQL-moduuliin ja myönnä mukautetuille SQL-käyttöoikeuksille joidenkin tai kaikkien tietojen lukemiseen.
Jos käyttäjä on Fabric-työtilaroolin jäsen, hänelle annetaan ReadData-käyttöoikeus. ReadData-käyttöoikeus yhdistää käyttäjän SQL-rooliin, joka antaa SELECT-käyttöoikeudet kaikkiin varaston tai Lakehousen taulukoihin. Tästä käyttöoikeudesta on hyötyä, jos käyttäjän on nähtävä kaikki tai suurin osa Lakehousen tai varaston tiedoista. Tiettyyn Lakehouseen tai varastoon määritetyt SQL DENY -käyttöoikeudet ovat edelleen voimassa ja rajoittavat taulukoiden käyttöä. Lisäksi taulukoille voidaan määrittää rivi- ja saraketason suojaus, jolla käyttöoikeuksia rajoitetaan yksityiskohtaisesti.
Jos käyttäjä tarvitsee vain tietyn lakehousen tai varaston käyttöoikeuden, jakamistoiminto tarjoaa käyttöoikeuden vain jaettuun kohteeseen. Jaon aikana käyttäjät voivat antaa vain luku- tai lukuoikeudet sekä luku- ja lukutiedot. Lukuoikeuden myöntäminen sallii käyttäjän muodostaa yhteyden varastoon tai SQL-analytiikan päätepisteeseen, mutta ei anna taulukon käyttöoikeutta. ReadData-käyttöoikeuksien myöntäminen käyttäjille antaa heille täydet lukuoikeudet kaikkiin varaston taulukoihin tai SQL-analytiikan päätepisteisiin. Kummassakin tapauksessa voidaan määrittää lisää SQL-suojausta, joka myöntää tai estää tiettyjen taulukoiden käytön. Tämä SQL-suojaus voi sisältää rakeisen käytön hallinnan, kuten rivi- tai saraketason suojauksen.
Käyttäminen pikakuvakkeiden kanssa
Pikakuvakkeet ovat OneLake-ominaisuus, jonka avulla tietoihin voidaan viitata yhdestä sijainnista kopioimatta tietoja fyysisesti. Pikakuvakkeet ovat tehokas työkalu, jonka avulla yhdestä Lakehousesta peräisin olevia tietoja voi helposti käyttää uudelleen muissa sijainneissa ilman kopioiden tekemistä tiedoista.
Fabric-varastot eivät tue pikakuvakkeita. Lakehousen SQL-analytiikan päätepisteellä on kuitenkin erityinen käyttäytyminen pikakuvakkeiden kanssa.
Kaikkia Lakehousen pikanäppäimiä käytetään delegoidussa tilassa, kun teet kyselyjä SQL-analytiikan päätepisteen kautta. Delegoitu käyttäjätieto on Fabric-käyttäjä, joka omistaa Lakehousen. Oletusarvoisesti omistaja on käyttäjä, joka loi Lakehouse- ja SQL-analytiikan päätepisteen. Omistajaa voidaan muuttaa valituissa tapauksissa ja nykyinen omistaja näkyy Fabricin Omistaja-sarakkeessa , kun kohdetta tarkastellaan työtilan kohdeluettelossa. Delegoitu toiminta tarkoittaa sitä, että kyselykäyttäjä voi lukea pikataulukoista, jos omistajalla on käyttöoikeus pohjana oleviin tietoihin, ei kyselyn suorittavasta käyttäjästä. Kyselyn kohdekäyttäjä tarvitsee vain pikakuvaketaulukosta valitsemisen käyttöoikeuden.
Muistiinpano
Esimerkiksi UserA on Lakehousen omistaja ja UserB suorittaa kyselyä pikakuvakkeeksi tietylle taulukolle. UserB:llä on ensin oltava lukuoikeus taulukkoon joko ReadDatan tai SQL-käyttöoikeuksien kautta. Jotta tiedot näkyvät, kysely tarkistaa, onko UserA:lla pikakuvakkeen käyttöoikeus. Jos UserA:lla on käyttöoikeus, UserB näkee kyselyn tulokset. Jos UserA:lla ei ole käyttöoikeutta, kysely epäonnistuu.
Lakehousessa, joka käyttää OneLake-tietojen käyttörooleja , pikakuvakkeen käyttöoikeus määräytyy sen mukaan, onko SQL-analytiikan päätepisteen omistajalla käyttöoikeus kohde lakehousen näkemiseen ja taulukon lukemiseen OneLake-tietojen käyttöoikeusroolin kautta.
Lakehouse-kohteissa, joissa ei vielä käytetä OneLake-tietojen käyttörooleja , pikakuvakkeiden käyttö määräytyy sen mukaan, onko SQL-analytiikan päätepisteen omistajalla Luku- ja ReadAll-käyttöoikeudet kohdepolulla.