Autorizzazione nel database SQL in Microsoft Fabric
Si applica a:✅Database SQL in Microsoft Fabric
Questo articolo illustra il controllo di accesso per gli elementi del database SQL in Fabric.
È possibile configurare l'accesso per il database SQL a due livelli:
- In Infrastruttura, usando i controlli di accesso dell'infrastruttura- ruoli dell'area di lavoro e autorizzazioni per elementi.
- All'interno del database, usando controlli di accesso SQL, ad esempio autorizzazioni SQL o ruoli a livello di database.
I controlli di accesso a questi due livelli diversi interagiscono.
- Per connettersi a un database, un utente deve disporre almeno dell'autorizzazione Lettura in Infrastruttura per l'elemento di database fabric.
- È possibile concedere l'accesso a funzionalità o dati specifici usando i controlli di accesso di Fabric, i controlli di accesso SQL o entrambi. È possibile concedere un'autorizzazione per connettersi al database solo con ruoli o autorizzazioni di Infrastruttura.
- La negazione dell'accesso (con l'istruzione Transact-SQL DENY ) nel database ha sempre la priorità.
Nota
I criteri di protezione di Microsoft Purview possono aumentare l'autorizzazione efficace per gli utenti del database. Se l'organizzazione usa Microsoft Purview con Microsoft Fabric, vedere Proteggere i dati sensibili nel database SQL con i criteri di protezione di Microsoft Purview.
Controlli di accesso dell'infrastruttura
In Infrastruttura è possibile controllare l'accesso usando i ruoli e le autorizzazioni degli elementi dell'area di lavoro infrastruttura.
Ruoli dell'area di lavoro
I ruoli dell'area di lavoro infrastruttura consentono di gestire chi può eseguire le operazioni in un'area di lavoro di Microsoft Fabric.
- Per una panoramica dei ruoli dell'area di lavoro, vedere Ruoli nelle aree di lavoro.
- Per istruzioni sull'assegnazione dei ruoli dell'area di lavoro, vedere Concedere agli utenti l'accesso alle aree di lavoro.
Nella tabella seguente vengono acquisite le funzionalità specifiche del database SQL, ai membri di ruoli specifici dell'area di lavoro è consentito l'accesso.
| Funzionalità | Ruolo Amministratore | Ruolo Membro | Ruolo Collaboratore | Ruolo Visualizzatore |
|---|---|---|---|---|
| Accesso amministrativo completo e accesso completo ai dati | Sì | Sì | Sì | No |
| Leggere dati e metadati | Sì | Sì | Sì | Sì |
| Connettersi al database | Sì | Sì | Sì | Sì |
Autorizzazioni per gli elementi
Le autorizzazioni dell'elemento infrastruttura controllano l'accesso a singoli elementi di Fabric all'interno di un'area di lavoro. Diversi elementi di Fabric dispongono di autorizzazioni diverse. Nella tabella seguente sono elencate le autorizzazioni degli elementi applicabili agli elementi del database SQL.
| Autorizzazione | Funzionalità |
|---|---|
| Lettura | Stabilire la connessione al database |
| ReadData | Leggere dati e metadati |
| ReadAll | Leggere i dati con mirroring direttamente dai file OneLake |
| Condivisione | Condividere l'elemento e gestire le autorizzazioni per gli elementi di Fabric |
| Scrittura | Accesso amministrativo completo e accesso completo ai dati |
Il modo più semplice per concedere le autorizzazioni per gli elementi consiste nell'aggiungere un utente, un'applicazione o un gruppo a un ruolo dell'area di lavoro. L'appartenenza a ogni ruolo implica che i membri del ruolo dispongano di un subset di autorizzazioni per tutti i database nell'area di lavoro, come specificato nella tabella seguente.
| Ruolo | Lettura | ReadAll | ReadData | Scrittura | Condividi |
|---|---|---|---|---|---|
| Amministratore | Sì | Sì | Sì | Sì | Sì |
| Member | Sì | Sì | Sì | Sì | Sì |
| Collaboratore | Sì | Sì | Sì | Sì | No |
| Visualizzatore | Sì | Sì | Sì | No | No |
Autorizzazioni per l'elemento di condivisione
È anche possibile concedere le autorizzazioni Read, ReadAll e ReadData per un singolo database condividendo l'elemento di database tramite l'azione Condividi rapida nel portale di Fabric. È possibile visualizzare e gestire le autorizzazioni concesse per un elemento di database tramite l'azione rapida Gestisci autorizzazioni nel portale di Infrastruttura. Per altre informazioni, vedere Condividere il database SQL e gestire le autorizzazioni.
Controlli di accesso SQL
I concetti DI SQL seguenti consentono un controllo di accesso molto più granulare rispetto ai ruoli e alle autorizzazioni degli elementi dell'area di lavoro infrastruttura.
- Ruoli a livello di database. Esistono due tipi di ruoli a livello di database: ruoli predefiniti del database predefiniti nel database e ruoli di database definiti dall'utente che è possibile creare.
- È possibile gestire l'appartenenza ai ruoli a livello di database e definire ruoli definiti dall'utente per scenari comuni nel portale di Fabric.
- Per altre informazioni, vedere Gestire i ruoli a livello di database SQL dal portale di Infrastruttura.
- È anche possibile gestire l'appartenenza ai ruoli e le definizioni dei ruoli usando Transact-SQL.
- Per aggiungere e rimuovere utenti a un ruolo del database, usare le opzioni
ADD MEMBEReDROP MEMBERdell'istruzione ALTER ROLE . Per gestire le definizioni dei ruoli definiti dall'utente, usare CREATE ROLE, ALTER ROLE e DROP ROLE.
- Per aggiungere e rimuovere utenti a un ruolo del database, usare le opzioni
- È possibile gestire l'appartenenza ai ruoli a livello di database e definire ruoli definiti dall'utente per scenari comuni nel portale di Fabric.
- Autorizzazioni SQL. È possibile gestire le autorizzazioni per gli utenti del database o i ruoli del database usando le istruzioni GRANT, REVOKE e DENY Transact-SQL.
- La sicurezza a livello di riga consente di controllare l'accesso a righe specifiche in una tabella.
Per altre informazioni, vedere Configurare un controllo di accesso granulare per un database SQL.