Del via

Dele data og behandle tillatelser

  • Artikkel

Gjelder for:Lager og speilvendt database i Microsoft Fabric

Deling er en praktisk måte å gi brukerne lesetilgang til dataene dine for nedstrøms forbruk. Deling gjør det mulig for nedstrømsbrukere i organisasjonen å bruke et lager ved hjelp av T-SQL, Spark eller Power BI. Du kan tilpasse tillatelsesnivået som den delte mottakeren får for å gi riktig tilgangsnivå.

Merk

Du må være administrator eller medlem i arbeidsområdet for å kunne dele et element i Microsoft Fabric.

Kom i gang

Når du har identifisert lagerelementet du vil dele med en annen bruker i Fabric-arbeidsområdet, velger du hurtighandlingen i raden for å dele.

Følgende animerte gif-fil gjennomgår trinnene for å velge et lager du vil dele, velge tillatelsene som skal tilordnes, og deretter til slutt gi tillatelsene til en annen bruker.

En animert gif som viser samhandling med Fabric-portalen der en bruker deler et lager i Microsoft Fabric med en annen bruker.

Dele et lager

  1. Du kan dele lageret fra OneLake - eller Warehouse-elementet ved å velge Del fra hurtighandling, som uthevet i illustrasjonen nedenfor.

  2. Du blir bedt om å velge hvem du vil dele lageret med, hvilke tillatelser du vil gi dem, og om de blir varslet via e-post.

  3. Fyll ut alle nødvendige felt, velg Gi tilgang.

  4. Når den delte mottakeren mottar e-postmeldingen, kan de velge Åpne og gå til Katalogsiden for Warehouse OneLake.

    Skjermbilde som viser den delte brukerens e-postvarsling om et delt lager.

  5. Avhengig av tilgangsnivået som den delte mottakeren har fått, kan den delte mottakeren nå koble til SQL Analytics-endepunktet, spørre lageret, bygge rapporter eller lese data via Spark.

Sikkerhetsroller for stoff

Her er mer detaljert informasjon om hver av tillatelsene som er angitt:

  • Hvis ingen flere tillatelser er valgt , mottar den delte mottakeren som standard lesetillatelse, som bare tillater mottakeren å koble til SQL Analytics-endepunktet, tilsvarende CONNECT-tillatelser i SQL Server. Den delte mottakeren kan ikke spørre etter tabeller eller vise eller utføre funksjoner eller lagrede prosedyrer med mindre de får tilgang til objekter i lageret ved hjelp av T-SQL GRANT-setningen .

Tips

ReadData (brukt av lageret for T-SQL-tillatelser), ReadAll (brukt av OneLake og SQL Analytics-endepunktet) og bygg (brukt av Power BI) er separate tillatelser som ikke overlapper hverandre.

  • «Les alle data ved hjelp av SQL» er valgt («LesData»-tillatelser) – Den delte mottakeren kan lese alle objektene i lageret. ReadData tilsvarer db_datareader rolle i SQL Server. Den delte mottakeren kan lese data fra alle tabeller og visninger i lageret. Hvis du vil begrense og gi detaljert tilgang til enkelte objekter i lageret ytterligere, kan du gjøre dette ved hjelp av T-SQL-setningerGRANTDENY/REVOKE/.

    • I SQL Analytics-endepunktet i Lakehouse tilsvarer «Les alle SQL Endpoint-data» « Les alle data ved hjelp av SQL».

  • "Les alle data ved hjelp av Apache Spark" er valgt ("ReadAll"-tillatelser)- Den delte mottakeren har lesetilgang til de underliggende parkettfilene i OneLake, som kan brukes ved hjelp av Spark. ReadAll bør bare gis hvis den delte mottakeren ønsker fullstendig tilgang til lagerets filer ved hjelp av Spark-motoren.

  • Avmerkingsboksen «Bygg rapporter på standard datasett» er valgt («Bygg»-tillatelser)– Den delte mottakeren kan bygge rapporter oppå standard semantisk modell som er koblet til lageret. Bygg bør angis hvis den delte mottakeren ønsker å bygge tillatelser på standard semantisk modell, for å opprette Power BI-rapporter på disse dataene. Bygg-avmerkingsboksen er valgt som standard, men kan ikke merkes.

ReadData-tillatelser

Med ReadData-tillatelser kan den delte mottakeren åpne redigeringsprogrammet for lager i skrivebeskyttet modus og spørre tabellene og visningene i lageret. Den delte mottakeren kan også velge å kopiere endepunktet for SQL-analyse og koble til et klientverktøy for å kjøre disse spørringene.

ReadAll-tillatelser

En delt mottaker med ReadAll-tillatelser kan finne Azure Blob File System (ABFS)-banen til den bestemte filen i OneLake fra Egenskaper-ruten i Redigeringsprogrammet for lager. Den delte mottakeren kan deretter bruke denne banen i en Spark-notatblokk til å lese disse dataene.

I skjermbildet nedenfor kan for eksempel en bruker med ReadAll-tillatelser spørre dataene i FactSale med en Spark-spørring i en ny notatblokk.

Skjermbilde fra Stoff-portalen der en bruker åpner en Spark-notatblokk for å spørre lagersnarveien.

Byggetillatelser

Med kompileringstillatelser kan den delte mottakeren opprette rapporter øverst i standard semantisk modell som er koblet til lageret. Den delte mottakeren kan opprette Power BI-rapporter fra OneLake-katalogen eller gjøre det samme ved hjelp av Power BI Desktop.

Administrer tillatelser

Siden Behandle tillatelser viser listen over brukere som har fått tilgang, enten ved å tilordne til arbeidsområderoller eller elementtillatelser.

Hvis du er medlem av rollene administrator- eller medlemsområde, går du til arbeidsområdet og velger Flere alternativer. Velg deretter Behandle tillatelser.

Skjermbilde som viser en bruker som velger Behandle tillatelser i hurtigmenyen for lageret.

For brukere som har fått arbeidsområderoller, ser du den tilsvarende brukeren, arbeidsområderollen og tillatelsene. Medlemmer av arbeidsområderollene Administrator, Medlem og Bidragsyter har lese-/skrivetilgang til elementer i dette arbeidsområdet. Brukere har ReadData-tillatelser og kan spørre etter alle tabeller og visninger i lageret i arbeidsområdet. Elementtillatelser Lese, LeseData og ReadAll kan gis til brukere.

Skjermbilde som viser siden Behandle tillatelser i Lager i Stoff-portalen.

Du kan velge å legge til eller fjerne tillatelser ved hjelp av Behandle tillatelser:

  • Fjern tilgang fjerner alle elementtillatelser.
  • Fjern ReadData fjerner ReadData-tillatelsene .
  • Fjern ReadAll fjerner ReadAll-tillatelser .
  • Fjern build fjerner byggtillatelser på den tilsvarende standard semantiske modellen.

Skjermbilde som viser en bruker som fjerner ReadAll-tillatelsen til en delt mottaker.

Databeskyttelsesfunksjoner

Microsoft Fabric-datalagring støtter flere teknologier som administratorer kan bruke til å beskytte sensitive data mot uautorisert visning. Ved å sikre eller obfuscating data fra uautoriserte brukere eller roller, kan disse sikkerhetsfunksjonene gi databeskyttelse i både et lager- og SQL-analyseendepunkt uten programendringer.

  • Sikkerhet på kolonnenivå hindrer uautorisert visning av kolonner i tabeller.
  • Sikkerhet på radnivå hindrer uautorisert visning av rader i tabeller ved hjelp av velkjente WHERE setningsfilterpredikater.
  • Dynamisk datamaskering hindrer uautorisert visning av sensitive data ved hjelp av masker for å hindre at tilgangen fullføres, for eksempel e-postadresser eller numre.

Begrensninger

  • Hvis du angir elementtillatelser eller fjerner brukere som tidligere hadde tillatelser, kan tillatelsesoverføring ta opptil to timer. De nye tillatelsene er synlige i Behandle tillatelser umiddelbart. Logg på på nytt for å sikre at tillatelsene gjenspeiles i SQL Analytics-endepunktet.
  • Delte mottakere får tilgang til lageret ved hjelp av eierens identitet (delegert modus). Kontroller at eieren av lageret ikke fjernes fra arbeidsområdet.
  • Delte mottakere har bare tilgang til lageret de mottar, og ikke andre elementer i samme arbeidsområde som lageret. Hvis du vil gi andre brukere i gruppen tillatelse til å samarbeide på lageret (lese- og skrivetilgang), kan du legge dem til som arbeidsområderoller som medlem eller bidragsyter.
  • Når du for øyeblikket deler et lager og velger Les alle data ved hjelp av SQL, kan den delte mottakeren få tilgang til redigeringsprogrammet for lageret i skrivebeskyttet modus. Disse delte mottakerne kan opprette spørringer, men kan for øyeblikket ikke lagre spørringene sine.
  • Deling av et lager er for øyeblikket bare tilgjengelig gjennom brukeropplevelsen.
  • Hvis du vil gi detaljert tilgang til bestemte objekter i lageret, kan du dele lageret uten flere tillatelser, og deretter gi detaljert tilgang til bestemte objekter ved hjelp av T-SQL GRANT-setningen. Hvis du vil ha mer informasjon, kan du se T-SQL-syntaks for GRANT, REVOKE og DENY.
  • Hvis du ser at ReadAll-tillatelsene og ReadData-tillatelsene er deaktivert i dialogboksen for deling, kan du oppdatere siden.
  • Delte mottakere har ikke tillatelse til å dele et lager på nytt.
  • Hvis en rapport som er bygget oppå lageret, deles med en annen mottaker, trenger den delte mottakeren flere tillatelser for å få tilgang til rapporten. Dette avhenger av tilgangsmodusen til den semantiske modellen av Power BI:
    • Hvis du får tilgang til Direktespørringsmodus , må LesData-tillatelser (eller detaljerte SQL-tillatelser til bestemte tabeller/visninger) oppgis til lageret.
    • Hvis du får tilgang gjennom Direct Lake-modus, må ReadData-tillatelser (eller detaljerte tillatelser til bestemte tabeller/visninger) oppgis til lageret. Direct Lake-modus er standard tilkoblingstype for semantiske modeller som bruker et lager- eller SQL-analyseendepunkt som datakilde. Hvis du vil ha mer informasjon, kan du se Direct Lake-modus.
    • Hvis du får tilgang til importmodus, er det ikke nødvendig med flere tillatelser.
    • Deling av et lager direkte med en SPN støttes for øyeblikket ikke.

Relatert innhold