Microsoft Fabric의 SQL 세부 권한
적용 대상:✅ Microsoft Fabric의 SQL 분석 엔드포인트 및 웨어하우스
작업 영역 역할에 할당하거나 항목 권한을 통해 부여된 기본 사용 권한이 충분하지 않은 경우 표준 SQL 구문을 보다 세부적으로 제어할 수 있습니다.
SQL 분석 엔드포인트 및 웨어하우스의 경우는 다음과 같습니다.
- GRANT, REVOKE 및 DENY T-SQL 구문을 사용하여 개체 수준 보안을 관리할 수 있습니다.
- 사용자 지정 및 기본 제공 데이터베이스 역할 모두 SQL 역할에 사용자를 할당할 수 있습니다.
사용자의 세부 권한
- 사용자가 데이터베이스에 연결하려면 사용자를 작업 영역 역할에 할당하거나 항목 읽기 권한을 할당해야 합니다. 최소한의 읽기 권한이 없으면 연결이 실패합니다.
- 웨어하우스에 연결하기 전에 사용자의 세부 권한을 설정하려는 경우 먼저 SQL 내에서 권한을 설정할 수 있습니다. 그런 다음 작업 영역 역할에 할당하거나 항목 권한을 부여하여 액세스 권한을 부여할 수 있습니다.
제한 사항
CREATE USER는 현재 명시적으로 실행할 수 없습니다.GRANT실행되거나DENY실행되면 사용자가 자동으로 만들어집니다. 충분한 작업 영역 수준 권한이 부여될 때까지 사용자는 연결할 수 없습니다.
내 권한 보기
사용자를 SQL 연결 문자열에 연결할 때 sys.fn_my_permissions 함수를 사용하여 사용 가능한 권한을 볼 수 있습니다.
사용자의 데이터베이스 범위 사용 권한:
SELECT *
FROM sys.fn_my_permissions(NULL, 'Database');
사용자의 스키마 범위 사용 권한:
SELECT *
FROM sys.fn_my_permissions('<schema-name>', 'Schema');
사용자의 개체 범위 사용 권한:
SELECT *
FROM sys.fn_my_permissions('<schema-name>.<object-name>', 'Object');
사용자에게 명시적으로 부여된 권한 보기
SQL 연결 문자열을 통해 연결된 경우 권한이 상승된 사용자는 시스템 보기를 사용하여 부여된 권한을 쿼리할 수 있습니다. 작업 영역 역할 또는 할당된 항목 권한에 할당되어 사용자에게 부여되는 사용자 또는 사용자 권한은 표시되지 않습니다.
SELECT DISTINCT pr.principal_id, pr.name, pr.type_desc,
pr.authentication_type_desc, pe.state_desc, pe.permission_name
FROM sys.database_principals AS pr
INNER JOIN sys.database_permissions AS pe
ON pe.grantee_principal_id = pr.principal_id;
데이터 보호 기능
웨어하우스 또는 SQL 분석 엔드포인트의 테이블에서 열 필터 및 조건자 기반 행 필터를 Microsoft Fabric의 역할 및 사용자에 대해 보호할 수 있습니다. 동적 데이터 마스킹을 사용하여 비관리자로부터 중요한 데이터를 마스킹할 수도 있습니다.