Microsoft Fabric의 데이터 웨어하우징 보안
적용 대상:✅ Microsoft Fabric의 SQL 분석 엔드포인트 및 웨어하우스
이 문서에서는 Microsoft Fabric Lakehouse 및 웨어하우스의 SQL 분석 엔드포인트를 보호하기 위한 보안 항목을 다룹니다.
Microsoft Fabric 보안 정보는 Microsoft Fabric의 보안을 참조하세요.
SQL 분석 엔드포인트 및 웨어하우스에 연결하는 방법에 대한 자세한 내용은 연결을 참조하세요.
웨어하우스 액세스 모델
Microsoft Fabric 권한과 세분화된 SQL 권한이 함께 작동하여 웨어하우스 액세스 및 연결된 사용자 권한을 관리합니다.
- 웨어하우스 연결은 최소한 웨어하우스에 대한 Microsoft Fabric 읽기 권한 부여에 따라 달라집니다.
- Microsoft Fabric 항목 권한을 사용하면 SQL 내에서 해당 권한을 부여할 필요 없이 사용자에게 SQL 권한을 제공할 수 있습니다.
- Microsoft Fabric 작업 영역 역할은 작업 영역 내의 모든 웨어하우스에 대한 Microsoft Fabric 권한을 제공합니다.
- 세분화된 사용자 권한은 T-SQL을 통해 추가로 관리할 수 있습니다.
작업 영역 역할
작업 영역 역할은 작업 영역 내의 개발 팀 공동 작업에 사용됩니다. 역할 할당은 사용자가 사용할 수 있는 작업을 결정하고 작업 영역 내의 모든 항목에 적용됩니다.
- Microsoft Fabric 작업 영역 역할에 대한 개요는 작업 영역의 역할을 참조하세요.
- 작업 영역 역할 할당에 대한 지침은 작업 영역 액세스 권한 부여를 참조하세요.
작업 영역 역할을 통해 제공되는 특정 웨어하우스 기능에 대한 자세한 내용은 Fabric 데이터 웨어하우징의 작업 영역 역할을 참조하세요.
항목 권한
작업 영역 내의 모든 항목에 적용되는 작업 영역 역할과 달리, 항목 권한은 개별 웨어하우스에 직접 할당할 수 있습니다. 사용자는 해당 단일 웨어하우스에 할당된 권한을 받게 됩니다. 이러한 권한의 주된 목적은 웨어하우스의 다운스트림 사용을 위해 공유를 사용하도록 설정하는 것입니다.
웨어하우스에 제공된 특정 권한에 대한 자세한 내용은 데이터 공유 및 사용 권한 관리를 참조 하세요.
세분화된 보안
작업 영역 역할 및 항목 권한은 전체 웨어하우스에 대해 사용자에게 대략적인 권한을 쉽게 할당할 수 있는 방법을 제공합니다. 그러나 경우에 따라 사용자에게 더 세분화된 권한이 필요합니다. 이를 위해 표준 T-SQL 구문을 사용하여 사용자에게 특정 권한을 제공할 수 있습니다.
Microsoft Fabric 데이터 웨어하우징은 관리자가 무단 액세스로부터 중요한 데이터를 보호하는 데 사용할 수 있는 여러 데이터 보호 기술을 지원합니다. 이러한 보안 기능은 권한이 없는 사용자 또는 역할로부터 데이터를 보호하거나 난독 처리함으로써 애플리케이션 변경 없이 웨어하우스 및 SQL 분석 엔드포인트 모두에서 데이터 보호를 제공할 수 있습니다.
- 개체 수준 보안은 특정 데이터베이스 개체에 대한 액세스를 제어합니다.
- 열 수준 보안을 사용하면 테이블의 열을 무단으로 볼 수 없습니다.
- 행 수준 보안을 사용하면 익숙한
WHERE
절 필터 조건자를 사용하여 테이블의 행을 무단으로 볼 수 없습니다. - 동적 데이터 마스킹은 마스크를 사용하여 이메일 주소 또는 숫자와 같은 액세스가 완료되지 않도록 하여 중요한 데이터를 무단으로 볼 수 없도록 합니다.
개체 수준 보안
개체 수준 보안은 사용자 권한 또는 역할에 따라 테이블, 보기 또는 프로시저와 같은 특정 데이터베이스 개체에 대한 액세스를 제어하는 보안 메커니즘입니다. 이를 통해 사용자 또는 역할이 데이터베이스 스키마 및 관련 리소스의 무결성과 기밀성을 보호하기 위해 권한이 부여된 개체와만 상호 작용하고 조작할 수 있습니다.
SQL에서 세분화된 권한 관리에 대한 자세한 내용은 SQL 세부 권한을 참조하세요.
행 수준 보안
행 수준 보안은 사용자 역할 또는 특성과 같은 지정된 기준에 따라 데이터베이스 테이블 내의 개별 행 또는 레코드에 대한 액세스를 제한하는 데이터베이스 보안 기능입니다. 이를 통해 사용자가 액세스 권한이 명시적으로 부여된 데이터만 보거나 조작할 수 있으므로 데이터 개인 정보 보호 및 제어가 향상됩니다.
행 수준 보안에 대한 자세한 내용은 Fabric 데이터 웨어하우징의 행 수준 보안을 참조하세요.
열 수준 보안
열 수준 보안은 데이터베이스 테이블 내의 특정 열 또는 필드에 대한 액세스를 제한하는 데이터베이스 보안 측정값으로, 사용자가 중요하거나 제한된 정보를 숨기면서 권한 있는 열만 보고 상호 작용할 수 있도록 합니다. 데이터 액세스를 세밀하게 제어하여 데이터베이스 내의 기밀 데이터를 보호합니다.
열 수준 보안에 대한 자세한 내용은 Fabric 데이터 웨어하우징의 열 수준 보안을 참조하세요.
동적 데이터 마스킹
동적 데이터 마스킹을 사용하면 관리자가 애플리케이션 계층에 미치는 영향을 최소화하고 표시할 중요한 데이터의 양을 지정할 수 있게 하여 중요한 데이터에 대한 무단 보기를 방지할 수 있습니다. 지정된 데이터베이스 필드에 동적 데이터 마스킹을 구성하여 쿼리의 결과 집합에서 중요한 데이터를 숨길 수 있습니다. 동적 데이터 마스킹을 사용하면 데이터베이스의 데이터가 변경되지 않으므로 마스킹 규칙이 쿼리 결과에 적용되어 기존 애플리케이션에서 사용할 수 있습니다. 많은 애플리케이션에서 기존 쿼리를 수정하지 않고 중요한 데이터를 마스킹할 수 있습니다.
동적 데이터 마스킹에 대한 자세한 내용은 Fabric 데이터 웨어하우징의 동적 데이터 마스킹을 참조하세요.
웨어하우스 공유
공유는 사용자에게 다운스트림 사용을 위해 웨어하우스에 대한 읽기 액세스를 제공하는 편리한 방법입니다. 공유를 사용하면 조직의 다운스트림 사용자가 SQL, Spark 또는 Power BI를 통해 웨어하우스를 사용할 수 있습니다. 공유 받는 사람에게 부여되는 사용 권한 수준을 사용자 지정하여 적절한 수준의 액세스를 제공할 수 있습니다.
공유에 대한 자세한 내용은 데이터 공유 및 권한 관리를 참조 하세요.
사용자 액세스에 대한 지침
사용자에게 할당할 권한을 평가할 때 다음 지침을 고려합니다.
- 현재 솔루션에서 공동 작업 중인 팀 구성원만 작업 영역 역할(관리자, 멤버, 기여자)에 할당되어야 합니다. 이렇게 하면 작업 영역 내의 모든 항목에 액세스할 수 있습니다.
- 주로 읽기 전용 액세스 권한이 필요한 경우 뷰어 역할에 할당하고 T-SQL을 통해 특정 개체에 대한 읽기 권한을 부여합니다. 자세한 내용은 SQL 세부 권한 관리하기를 참조.
- 권한이 높은 사용자인 경우 관리자, 구성원 또는 기여자 역할에 할당합니다. 적절한 역할은 수행해야 하는 다른 작업에 따라 달라집니다.
- 개별 웨어하우스에 대한 액세스만 필요하거나 특정 SQL 개체에만 액세스해야 하는 다른 사용자에게는 패브릭 항목 권한이 부여되고 SQL을 통해 특정 개체에 대한 액세스 권한이 부여되어야 합니다.
- 각 특정 멤버를 추가하는 대신 Microsoft Entra ID(이전의 Azure Active Directory) 그룹에 대한 사용 권한을 관리할 수 있습니다. 자세한 내용은 Microsoft Fabric의 SQL 인증 대신 Microsoft Entra 인증을 참조하세요.
사용자 감사 로그
규정 준수 및 레코드 관리 요구 사항을 충족하기 위한 웨어하우스 및 SQL 분석 엔드포인트의 사용자 활동을 추적하기 위해 Microsoft Purview 및 PowerShell을 통해 일련의 감사 활동에 액세스할 수 있습니다. 사용자 감사 로그를 사용하여 패브릭 항목에 대한 작업을 수행하는 사용자를 식별할 수 있습니다.
사용자 감사 로그에 액세스하는 방법에 대한 자세한 내용은 Microsoft Fabric 및 작업 목록에서 사용자 활동 추적을 참조하세요.