Zabezpieczenia magazynowania danych w usłudze Microsoft Fabric
Dotyczy:✅ punkt końcowy analizy SQL i magazyn w usłudze Microsoft Fabric
W tym artykule opisano tematy dotyczące zabezpieczeń dotyczące zabezpieczania punktu końcowego analizy SQL usługi Lakehouse i magazynu w usłudze Microsoft Fabric.
Aby uzyskać informacje na temat zabezpieczeń usługi Microsoft Fabric, zobacz Zabezpieczenia w usłudze Microsoft Fabric.
Aby uzyskać informacje na temat nawiązywania połączenia z punktem końcowym analizy SQL i magazynem, zobacz Łączność.
Model dostępu do magazynu
Uprawnienia usługi Microsoft Fabric i szczegółowe uprawnienia SQL współpracują ze sobą, aby zarządzać dostępem do magazynu i uprawnieniami użytkownika po nawiązaniu połączenia.
- Łączność magazynu jest zależna od udzielenia uprawnienia do odczytu usługi Microsoft Fabric co najmniej dla magazynu.
- Uprawnienia elementu usługi Microsoft Fabric umożliwiają udostępnianie użytkownikowi uprawnień SQL bez konieczności udzielania tych uprawnień w programie SQL.
- Role obszaru roboczego usługi Microsoft Fabric zapewniają uprawnienia usługi Microsoft Fabric dla wszystkich magazynów w obszarze roboczym.
- Szczegółowe uprawnienia użytkownika można dalej zarządzać za pośrednictwem języka T-SQL.
Role obszaru roboczego
Role obszaru roboczego są używane do współpracy zespołu deweloperów w obszarze roboczym. Przypisanie roli określa akcje dostępne dla użytkownika i dotyczy wszystkich elementów w obszarze roboczym.
- Aby zapoznać się z omówieniem ról obszaru roboczego usługi Microsoft Fabric, zobacz Role w obszarach roboczych.
- Aby uzyskać instrukcje dotyczące przypisywania ról obszaru roboczego, zobacz Przyznawanie dostępu do obszaru roboczego.
Aby uzyskać szczegółowe informacje na temat określonych funkcji magazynu udostępnianych za pomocą ról obszaru roboczego, zobacz Role obszaru roboczego w magazynowaniu danych sieci szkieletowej.
Uprawnienia do elementu
W przeciwieństwie do ról obszaru roboczego, które mają zastosowanie do wszystkich elementów w obszarze roboczym, uprawnienia do elementów można przypisać bezpośrednio do poszczególnych magazynów. Użytkownik otrzyma przypisane uprawnienie do tego pojedynczego magazynu. Głównym celem tych uprawnień jest włączenie udostępniania dla podrzędnego użycia magazynu.
Aby uzyskać szczegółowe informacje na temat określonych uprawnień dostępnych dla magazynów, zobacz Udostępnianie danych i zarządzanie uprawnieniami.
Szczegółowe zabezpieczenia
Role i uprawnienia elementów obszaru roboczego umożliwiają łatwe przypisywanie uprawnień do użytkownika dla całego magazynu. Jednak w niektórych przypadkach wymagane są bardziej szczegółowe uprawnienia dla użytkownika. Aby to osiągnąć, standardowe konstrukcje języka T-SQL mogą służyć do zapewniania określonych uprawnień użytkownikom.
Magazynowanie danych w usłudze Microsoft Fabric obsługuje kilka technologii ochrony danych, których administratorzy mogą używać do ochrony poufnych danych przed nieautoryzowanym dostępem. Zabezpieczając lub zaciemniając dane przed nieautoryzowanymi użytkownikami lub rolami, te funkcje zabezpieczeń mogą zapewnić ochronę danych zarówno w punkcie końcowym magazynu, jak i analizy SQL bez zmian aplikacji.
- Zabezpieczenia na poziomie obiektu kontrolują dostęp do określonych obiektów bazy danych.
- Zabezpieczenia na poziomie kolumny uniemożliwiają nieautoryzowane wyświetlanie kolumn w tabelach.
- Zabezpieczenia na poziomie wiersza uniemożliwiają nieautoryzowane wyświetlanie wierszy w tabelach przy użyciu znanych
WHERE
predykatów filtru klauzul. - Dynamiczne maskowanie danych zapobiega nieautoryzowanemu wyświetlaniu poufnych danych przy użyciu masek, aby zapobiec zakończeniu dostępu, takim jak adresy e-mail lub numery.
Zabezpieczenia na poziomie obiektu
Zabezpieczenia na poziomie obiektu to mechanizm zabezpieczeń, który kontroluje dostęp do określonych obiektów bazy danych, takich jak tabele, widoki lub procedury, na podstawie uprawnień użytkownika lub ról. Gwarantuje to, że użytkownicy lub role mogą wchodzić w interakcje tylko z obiektami, do których otrzymali uprawnienia i manipulować nimi, chroniąc integralność i poufność schematu bazy danych i skojarzonych z nimi zasobów.
Aby uzyskać szczegółowe informacje na temat zarządzania szczegółowymi uprawnieniami w programie SQL, zobacz Szczegółowe uprawnienia sql.
Zabezpieczenia na poziomie wiersza
Zabezpieczenia na poziomie wiersza to funkcja zabezpieczeń bazy danych, która ogranicza dostęp do poszczególnych wierszy lub rekordów w tabeli bazy danych na podstawie określonych kryteriów, takich jak role użytkownika lub atrybuty. Gwarantuje to, że użytkownicy mogą wyświetlać lub manipulować danymi, które są jawnie autoryzowane w celu uzyskania dostępu, zwiększając prywatność i kontrolę danych.
Aby uzyskać szczegółowe informacje na temat zabezpieczeń na poziomie wiersza, zobacz Zabezpieczenia na poziomie wiersza w magazynowaniu danych sieci szkieletowej.
Zabezpieczenia na poziomie kolumny
Zabezpieczenia na poziomie kolumny to środek zabezpieczeń bazy danych, który ogranicza dostęp do określonych kolumn lub pól w tabeli bazy danych, co umożliwia użytkownikom wyświetlanie i interakcję tylko z autoryzowanymi kolumnami przy ukrywaniu poufnych lub ograniczonych informacji. Zapewnia szczegółową kontrolę nad dostępem do danych, zabezpieczając poufne dane w bazie danych.
Aby uzyskać szczegółowe informacje na temat zabezpieczeń na poziomie kolumny, zobacz Zabezpieczenia na poziomie kolumny w magazynowaniu danych sieci szkieletowej.
Dynamiczne maskowanie danych
Dynamiczne maskowanie danych pomaga zapobiegać nieautoryzowanemu wyświetlaniu poufnych danych, umożliwiając administratorom określenie, ile poufnych danych ma być ujawnianych, przy minimalnym wpływie na warstwę aplikacji. Dynamiczne maskowanie danych można skonfigurować w wyznaczonych polach bazy danych w celu ukrycia poufnych danych w zestawach wyników zapytań. W przypadku dynamicznego maskowania danych dane w bazie danych nie są zmieniane, więc można ich używać z istniejącymi aplikacjami, ponieważ reguły maskowania są stosowane do wyników zapytań. Wiele aplikacji może maskować poufne dane bez modyfikowania istniejących zapytań.
Aby uzyskać szczegółowe informacje na temat dynamicznego maskowania danych, zobacz Dynamiczne maskowanie danych w magazynowaniu danych sieci szkieletowej.
Udostępnianie magazynu
Udostępnianie to wygodny sposób zapewnienia użytkownikom dostępu do odczytu do magazynu na potrzeby użycia podrzędnego. Udostępnianie umożliwia użytkownikom podrzędnym w organizacji korzystanie z magazynu przy użyciu usług SQL, Spark lub Power BI. Możesz dostosować poziom uprawnień przyznanych przez adresata udostępnionego w celu zapewnienia odpowiedniego poziomu dostępu.
Aby uzyskać więcej informacji na temat udostępniania, zobacz Udostępnianie danych i zarządzanie uprawnieniami.
Wskazówki dotyczące dostępu użytkowników
Podczas oceniania uprawnień do przypisywania do użytkownika należy wziąć pod uwagę następujące wskazówki:
- Tylko członkowie zespołu, którzy obecnie współpracują nad rozwiązaniem, powinni być przypisani do ról obszaru roboczego (administrator, członek, współautor), ponieważ zapewnia im dostęp do wszystkich elementów w obszarze roboczym.
- Jeśli przede wszystkim wymagają dostępu tylko do odczytu, przypisz je do roli Osoba przeglądająca i przyznaj dostęp do odczytu określonym obiektom za pośrednictwem języka T-SQL. Aby uzyskać więcej informacji, zobacz Zarządzanie uprawnieniami szczegółowymi SQL.
- Jeśli są to użytkownicy z wyższymi uprawnieniami, przypisz je do ról Administrator, Członek lub Współautor. Odpowiednia rola jest zależna od innych akcji, które muszą wykonać.
- Inni użytkownicy, którzy potrzebują tylko dostępu do pojedynczego magazynu lub wymagają dostępu tylko do określonych obiektów SQL, powinni otrzymać uprawnienia elementu sieci szkieletowej i udzielić dostępu za pośrednictwem programu SQL do określonych obiektów.
- Możesz również zarządzać uprawnieniami w grupach microsoft Entra ID (dawniej Azure Active Directory), a nie dodawać poszczególnych członków. Aby uzyskać więcej informacji, zobacz Microsoft Entra authentication as an alternative to SQL authentication in Microsoft Fabric (Uwierzytelnianie entra firmy Microsoft jako alternatywa dla uwierzytelniania SQL w usłudze Microsoft Fabric).
Dzienniki inspekcji użytkowników
Aby śledzić aktywność użytkowników w magazynie i punkcie końcowym analizy SQL w celu spełnienia wymagań dotyczących zgodności z przepisami i rekordów, zestaw działań inspekcji jest dostępny za pośrednictwem usług Microsoft Purview i PowerShell. Dzienniki inspekcji użytkowników umożliwiają określenie, kto podejmuje jakie działania w elementach sieci szkieletowej.
Aby uzyskać więcej informacji na temat uzyskiwania dostępu do dzienników inspekcji użytkowników, zobacz Śledzenie działań użytkowników w usłudze Microsoft Fabric i na liście Operacje.