Microsoft Purview 보호 정책을 사용하여 SQL 데이터베이스의 중요한 데이터 보호
적용 대상:✅Microsoft Fabric의 SQL 데이터베이스
Microsoft Purview는 조직에서 전체 데이터 자산을 통제, 보호 및 관리하는 데 도움이 되는 데이터 거버넌스, 위험 및 규정 준수 솔루션 제품군입니다. Microsoft Purview를 사용하면 민감도 레이블을 사용하여 SQL 데이터베이스 항목에 레이블을 지정하고 민감도 레이블에 따라 액세스를 제어하는 보호 정책을 정의할 수 있습니다.
이 문서에서는 Microsoft Purview 보호 정책이 Microsoft Fabric의 SQL 데이터베이스에서 Microsoft Fabric 액세스 제어 및 SQL 액세스 제어와 함께 작동하는 방법을 설명합니다.
SQL 데이터베이스를 포함하여 Microsoft Fabric의 Microsoft Purview 기능에 대한 일반적인 내용은 관련 콘텐츠에 나열된 문서를 참조하세요.
SQL 데이터베이스에서 보호 정책이 작동하는 방식
Microsoft Fabric에 대한 각 보호 정책은 민감도 레이블과 연결됩니다. 보호 정책은 다음 두 가지 액세스 제어를 통해 연결된 레이블이 있는 항목에 대한 액세스를 제어합니다.
사용자가 읽기 권한을 유지할 수 있도록 허용 - 사용하도록 설정하면 지정된 사용자(또는 지정된 그룹에 속한 사용자)가 지정된 사용자에게 이미 권한이 있는 경우 레이블이 지정된 항목에 대한 읽기 항목 권한을 유지할 수 있습니다. 항목에 대해 지정된 사용자가 가진 다른 사용 권한은 제거됩니다. SQL 데이터베이스에서 사용자가 데이터베이스에 연결하려면 읽기 항목 권한이 필요합니다. 따라서 사용자가 이 액세스 제어에 지정되지 않은 경우 사용자는 데이터베이스에 연결할 수 없습니다.
사용자가 모든 권한을 유지할 수 있도록 허용 - 사용하도록 설정된 경우 지정된 사용자(또는 지정된 그룹에 속한 사용자)가 레이블이 지정된 항목에 대한 모든 권한을 유지하도록 허용합니다(지정된 사용자에게 이미 있는 경우) 또는 다른 사용 권한이 있을 수 있습니다. SQL 데이터베이스 항목의 경우 이 컨트롤을 사용하면 사용자가 쓰기 항목 권한을 유지할 수 있습니다. 즉, 사용자가 데이터베이스 내에서 모든 관리 권한을 유지합니다. 이 액세스 제어에서 사용자를 지정하지 않으면 쓰기 항목 권한이 사용자로부터 효과적으로 제거됩니다. 이 컨트롤은 데이터베이스에서 사용자의 SQL 네이티브 권한에 영향을 주지 않습니다. 자세한 내용은 예제 4 및 제한 사항을 참조하세요.
예제
이 섹션의 예제에서는 다음 구성을 공유합니다.
- 조직에는 프로덕션이라는 Microsoft Fabric 작업 영역이 있습니다.
- 작업 영역에는 기밀 민감도 레이블이 있는 Sales라는 SQL 데이터베이스 항목이 포함되어 있습니다.
- Microsoft Purview에는 Microsoft Fabric에 적용되는 보호 정책이 있습니다. 정책은 기밀 민감도 레이블과 연결됩니다.
예 1
- 사용자는 프로덕션 작업 영역에 대한 기여자 역할의 구성원입니다.
- 사용자가 읽기 액세스 액세스 제어를 유지하도록 허용은 사용하도록 설정되어 있지만 사용자를 포함하지는 않습니다.
- 사용자가 모든 권한 액세스 제어를 유지할 수 있도록 허용은 비활성화/비활성 상태입니다.
정책은 사용자의 읽기 항목 권한을 제거하므로 사용자가 Sales 데이터베이스에 연결할 수 없습니다. 따라서 사용자는 데이터베이스의 데이터를 읽거나 액세스할 수 없습니다.
예제 2
- 사용자에게 Sales 데이터베이스에 대한 읽기 항목 권한이 있습니다.
- 사용자는 데이터베이스에서 db_owner SQL 네이티브 데이터베이스 수준 역할의 구성원입니다.
- 사용자가 읽기 액세스 액세스 제어를 유지하도록 허용은 사용하도록 설정되어 있지만 사용자를 포함하지는 않습니다.
- 사용자가 모든 권한 액세스 제어를 유지할 수 있도록 허용은 비활성화/비활성 상태입니다.
정책은 사용자의 읽기 항목 권한을 제거하므로 사용자는 데이터베이스에서 사용자의 SQL 기본 권한(db_owner 역할의 사용자 멤버 자격을 통해 부여됨)과 관계없이 Sales 데이터베이스에 연결할 수 없습니다. 따라서 사용자는 데이터베이스의 데이터를 읽거나 액세스할 수 없습니다.
예제 3
- 사용자는 프로덕션 작업 영역에 대한 기여자 역할의 구성원입니다.
- 사용자에게 데이터베이스에 부여된 SQL 네이티브 권한이 없습니다.
- 사용자가 읽기 액세스 액세스 제어를 유지할 수 있도록 허용이 사용되며 사용자가 포함됩니다.
- 사용자가 모든 권한 액세스 제어를 유지할 수 있도록 허용이 설정되어 있지만 사용자를 포함하지는 않습니다.
참가자 역할의 멤버로서 사용자는 처음에 읽기, 읽기 및 쓰기를 포함하여 Sales 데이터베이스에 대한 모든 권한을 갖습니다. 사용자가 정책에서 읽기 액세스 액세스 제어를 유지하도록 허용하면 사용자가 읽기 및 읽기 데이터 권한을 유지할 수 있지만 사용자가 모든 권한의 액세스 제어를 유지하도록 허용하면 사용자의 쓰기 권한이 제거됩니다. 결과적으로 사용자는 데이터베이스에 연결하고 데이터를 읽을 수 있지만 사용자는 데이터를 쓰거나 편집하는 기능을 포함하여 데이터베이스에 대한 관리 액세스를 느슨하게 합니다.
예시 4
- 사용자에게 Sales 데이터베이스에 대한 읽기 항목 권한이 있습니다.
- 사용자는 데이터베이스에서 db_owner SQL 네이티브 데이터베이스 수준 역할의 구성원입니다.
- 사용자가 읽기 액세스 액세스 제어를 유지할 수 있도록 허용이 사용되며 사용자가 포함됩니다.
- 사용자가 모든 권한 액세스 제어를 유지할 수 있도록 허용이 설정되어 있지만 사용자를 포함하지는 않습니다.
사용자가 정책에서 읽기 액세스 액세스 제어를 유지하도록 허용하면 사용자가 읽기 권한을 유지할 수 있습니다. 사용자에게 처음에는 모든 권한(쓰기 항목 권한) 이 없으므로 사용자가 모든 권한 액세스 제어 를 유지하도록 허용해도 Microsoft Fabric에서 부여된 사용자의 권한에는 영향을 주지 않습니다. 사용자가 모든 권한 액세스 제어를 유지하도록 허용해도 데이터베이스에서 사용자의 SQL 네이티브 권한에는 영향을 주지 않습니다. db_owner 역할의 멤버로서 사용자는 계속해서 데이터베이스에 대한 관리 액세스 권한을 갖습니다. 제한 사항 보기.
제한 사항
- 사용자가 Microsoft Purview 보호 정책에서 모든 권한 액세스 제어를 유지할 수 있도록 허용은 데이터베이스의 사용자에게 부여된 SQL 네이티브 권한에 영향을 주지 않습니다.