Udostępnij za pośrednictwem


Udostępnianie danych i zarządzanie uprawnieniami

Dotyczy: magazyn i dublowana baza danych w usłudze Microsoft Fabric

Udostępnianie jest wygodnym sposobem zapewnienia użytkownikom dostępu do odczytu danych do użycia podrzędnego. Udostępnianie umożliwia użytkownikom podrzędnym w organizacji korzystanie z magazynu przy użyciu języka T-SQL, Platformy Spark lub usługi Power BI. Możesz dostosować poziom uprawnień przyznanych przez adresata udostępnionego w celu zapewnienia odpowiedniego poziomu dostępu.

Uwaga

Aby udostępnić element w usłudze Microsoft Fabric, musisz być administratorem lub członkiem obszaru roboczego.

Rozpocznij

Po zidentyfikowaniu elementu Warehouse, który chcesz udostępnić innemu użytkownikowi w obszarze roboczym Sieć szkieletowa, wybierz szybką akcję w wierszu do udostępnienia.

Poniższy animowany plik GIF przegląda kroki wybierania magazynu do udostępnienia, wybierz uprawnienia do przypisania, a następnie na koniec przyznaj uprawnienia innemu użytkownikowi.

Animowany plik GIF przedstawiający interakcję z portalem usługi Fabric, w którym użytkownik udostępnia magazyn w usłudze Microsoft Fabric innemu użytkownikowi.

Udostępnianie magazynu

  1. Magazyn można udostępnić z elementu OneLake lub Warehouse, wybierając pozycję Udostępnij z szybkiej akcji, jak pokazano na poniższej ilustracji.

  2. Zostanie wyświetlony monit z opcjami, aby wybrać, z kim chcesz udostępnić magazyn, jakie uprawnienia do ich udzielenia oraz czy będą otrzymywać powiadomienia pocztą e-mail.

  3. Wypełnij wszystkie wymagane pola, wybierz pozycję Udziel dostępu.

  4. Gdy udostępniony odbiorca otrzyma wiadomość e-mail, może wybrać pozycję Otwórz i przejść do strony wykazu Warehouse OneLake.

    Zrzut ekranu przedstawiający powiadomienie e-mail użytkownika o udostępnionym magazynie.

  5. W zależności od poziomu dostępu, któremu udzielono dostępu do udostępnionego adresata, odbiorca udostępniony może teraz nawiązać połączenie z punktem końcowym analizy SQL, wykonać zapytanie dotyczące magazynu, tworzyć raporty lub odczytywać dane za pośrednictwem platformy Spark.

Role zabezpieczeń sieci szkieletowej

Poniżej przedstawiono bardziej szczegółowe informacje na temat każdego z podanych uprawnień:

  • Jeśli nie wybrano żadnych dodatkowych uprawnień — odbiorca udostępniony domyślnie otrzymuje uprawnienie "Odczyt", co umożliwia adresatowi nawiązanie połączenia z punktem końcowym analizy SQL, odpowiednik uprawnień CONNECT w programie SQL Server. Współużytkowany adresat nie będzie mógł wykonywać zapytań względem żadnej tabeli ani wyświetlić ani wykonać żadnej funkcji ani procedury składowanej, chyba że mają dostęp do obiektów w magazynie przy użyciu instrukcji T-SQL GRANT .

Napiwek

ReadData (używane przez magazyn do uprawnień języka T-SQL), ReadAll (używane przez usługę OneLake i punkt końcowy analizy SQL) i Build (używane przez usługę Power BI) są oddzielnymi uprawnieniami, które nie nakładają się.

  • Opcja "Odczytaj wszystkie dane przy użyciu języka SQL" jest zaznaczona ("Uprawnienia ReadData") — udostępniony odbiorca może odczytać wszystkie obiekty w magazynie. ReadData jest odpowiednikiem roli db_datareader w programie SQL Server. Udostępniony odbiorca może odczytywać dane ze wszystkich tabel i widoków w magazynie. Jeśli chcesz jeszcze bardziej ograniczyć i zapewnić szczegółowy dostęp do niektórych obiektów w magazynie, możesz to zrobić przy użyciu instrukcji języka T-SQLGRANT//REVOKEDENY.

    • W punkcie końcowym analizy SQL usługi Lakehouse "Odczytaj wszystkie dane punktu końcowego SQL" jest równoważne "Odczytaj wszystkie dane przy użyciu języka SQL".
  • Opcja "Odczytaj wszystkie dane przy użyciu platformy Apache Spark" jest zaznaczona ("Uprawnienia ReadAll") — udostępniony odbiorca ma dostęp do odczytu do bazowych plików parquet w usłudze OneLake, z których można korzystać przy użyciu platformy Spark. Funkcja ReadAll powinna być udostępniana tylko wtedy, gdy odbiorca udostępniony chce uzyskać pełny dostęp do plików magazynu przy użyciu aparatu Spark.

  • Pole wyboru "Kompiluj raporty na domyślnym zestawie danych" jest zaznaczone ("Uprawnienia kompilacji) — udostępniony odbiorca może tworzyć raporty na podstawie domyślnego modelu semantycznego połączonego z magazynem. Kompilacja powinna zostać podana, jeśli udostępniony odbiorca chce utworzyć uprawnienia do tworzenia domyślnego modelu semantycznego, aby utworzyć raporty usługi Power BI na temat tych danych. Pole wyboru Kompilacja jest zaznaczone domyślnie, ale można je usunąć.

Uprawnienia readData

Przy użyciu uprawnień ReadData adresat udostępniony może otworzyć edytor magazynu w trybie tylko do odczytu i wysyłać zapytania do tabel i widoków w magazynie. Udostępniony adresat może również skopiować udostępniony punkt końcowy analizy SQL i połączyć się z narzędziem klienckim w celu uruchomienia tych zapytań.

Uprawnienia do odczytuwszystkie

Udostępniony adresat z uprawnieniami ReadAll może znaleźć ścieżkę systemu plików obiektów blob platformy Azure (ABFS) do określonego pliku w usłudze OneLake w okienku Właściwości w edytorze magazynu. Odbiorca udostępniony może następnie użyć tej ścieżki w notesie platformy Spark, aby odczytać te dane.

Na przykład na poniższym zrzucie ekranu użytkownik z uprawnieniami ReadAll może wykonywać zapytania dotyczące danych za FactSale pomocą zapytania platformy Spark w nowym notesie.

Zrzut ekranu z portalu sieci szkieletowej, w którym użytkownik otwiera notes platformy Spark w celu wykonywania zapytań dotyczących skrótu magazynu.

Uprawnienia do tworzenia

Przy użyciu uprawnień do tworzenia udostępniony odbiorca może tworzyć raporty na podstawie domyślnego modelu semantycznego połączonego z magazynem. Udostępniony adresat może tworzyć raporty usługi Power BI z katalogu usługi OneLake lub wykonywać te same czynności przy użyciu programu Power BI Desktop.

Zarządzaj uprawnieniami

Na stronie Zarządzanie uprawnieniami jest wyświetlana lista użytkowników, którzy otrzymali dostęp, przypisując do ról obszaru roboczego lub uprawnień elementu.

Jeśli jesteś członkiem ról obszaru roboczego Administrator lub Członek , przejdź do obszaru roboczego i wybierz pozycję Więcej opcji. Następnie wybierz pozycję Zarządzaj uprawnieniami.

Zrzut ekranu przedstawiający użytkownika wybierającego pozycję Zarządzaj uprawnieniami w menu kontekstowym magazynu.

W przypadku użytkowników, którzy otrzymali role obszaru roboczego, zobaczysz odpowiedniego użytkownika, rolę obszaru roboczego i uprawnienia. Członkowie ról obszaru roboczego Administrator, Członek i Współautor mają dostęp do odczytu/zapisu do elementów w tym obszarze roboczym. Osoby przeglądające mają uprawnienia ReadData i mogą wykonywać zapytania dotyczące wszystkich tabel i widoków w magazynie w tym obszarze roboczym. Uprawnienia do elementu Odczyt, ReadData i ReadAll mogą być udostępniane użytkownikom.

Zrzut ekranu przedstawiający stronę Zarządzanie uprawnieniami magazynu w portalu sieci szkieletowej.

Możesz dodać lub usunąć uprawnienia przy użyciu opcji Zarządzaj uprawnieniami:

  • Usunięcie dostępu spowoduje usunięcie wszystkich uprawnień elementu.
  • Usunięcie funkcji ReadData usuwa uprawnienia ReadData .
  • Usunięcie funkcji ReadAll usuwa uprawnienia ReadAll.
  • Usunięcie kompilacji usuwa uprawnienia kompilacji dla odpowiedniego domyślnego modelu semantycznego.

Zrzut ekranu przedstawiający użytkownika usuwającego uprawnienie ReadAll adresata udostępnionego.

Funkcje ochrony danych

Magazynowanie danych w usłudze Microsoft Fabric obsługuje kilka technologii, których administratorzy mogą używać do ochrony poufnych danych przed nieautoryzowanym wyświetlaniem. Zabezpieczając lub zaciemniając dane przed nieautoryzowanymi użytkownikami lub rolami, te funkcje zabezpieczeń mogą zapewnić ochronę danych zarówno w punkcie końcowym magazynu, jak i analizy SQL bez zmian aplikacji.

  • Zabezpieczenia na poziomie kolumny uniemożliwiają nieautoryzowane wyświetlanie kolumn w tabelach.
  • Zabezpieczenia na poziomie wiersza uniemożliwiają nieautoryzowane wyświetlanie wierszy w tabelach przy użyciu znanych WHERE predykatów filtru klauzul.
  • Dynamiczne maskowanie danych zapobiega nieautoryzowanemu wyświetlaniu poufnych danych przy użyciu masek, aby zapobiec zakończeniu dostępu, takim jak adresy e-mail lub numery.

Ograniczenia

  • Jeśli podasz uprawnienia do elementu lub usuniesz użytkowników, którzy wcześniej mieli uprawnienia, propagacja uprawnień może potrwać do dwóch godzin. Nowe uprawnienia są widoczne natychmiast w obszarze Zarządzanie uprawnieniami . Zaloguj się ponownie, aby upewnić się, że uprawnienia zostaną odzwierciedlone w punkcie końcowym analizy SQL.
  • Adresaci współużytkowani mogą uzyskiwać dostęp do magazynu przy użyciu tożsamości właściciela (trybu delegowanego). Upewnij się, że właściciel magazynu nie został usunięty z obszaru roboczego.
  • Adresaci udostępnioni mają dostęp tylko do magazynu, który otrzymują, a nie do żadnych innych elementów w tym samym obszarze roboczym co magazyn. Jeśli chcesz zapewnić innym użytkownikom w zespole uprawnienia do współpracy nad magazynem (dostęp do odczytu i zapisu), dodaj je jako role obszaru roboczego, takie jak Członek lub Współautor.
  • Obecnie, gdy udostępniasz magazyn i wybierasz pozycję Odczytaj wszystkie dane przy użyciu języka SQL, udostępniony odbiorca może uzyskać dostęp do edytora magazynu w trybie tylko do odczytu. Ci współużytkowany adresaci mogą tworzyć zapytania, ale obecnie nie mogą zapisywać zapytań.
  • Obecnie udostępnianie magazynu jest dostępne tylko za pośrednictwem środowiska użytkownika.
  • Jeśli chcesz zapewnić szczegółowy dostęp do określonych obiektów w magazynie, udostępnij magazyn bez dodatkowych uprawnień, a następnie zapewnij szczegółowy dostęp do określonych obiektów przy użyciu instrukcji T-SQL GRANT. Aby uzyskać więcej informacji, zobacz Składnia języka T-SQL dla funkcji GRANT, REVOKE i DENY.
  • Jeśli zobaczysz, że uprawnienia ReadAll i ReadData są wyłączone w oknie dialogowym udostępniania, odśwież stronę.
  • Adresaci udostępnioni nie mają uprawnień do ponownego udostępniania magazynu.
  • Jeśli raport utworzony na podstawie magazynu jest udostępniany innemu adresatowi, odbiorca udostępniony potrzebuje większej liczby uprawnień dostępu do raportu. Zależy to od trybu dostępu do modelu semantycznego przez usługę Power BI:
    • Jeśli dostęp jest uzyskiwany za pośrednictwem trybu zapytania bezpośredniego, uprawnienia ReadData (lub szczegółowe uprawnienia SQL do określonych tabel/widoków) muszą zostać dostarczone do magazynu.
    • Jeśli dostęp jest uzyskiwany za pośrednictwem trybu Direct Lake, uprawnienia ReadData (lub szczegółowe uprawnienia do określonych tabel/widoków) muszą zostać dostarczone do magazynu. Tryb Direct Lake jest domyślnym typem połączenia dla modeli semantycznych, które używają punktu końcowego usługi Warehouse lub analizy SQL jako źródła danych. Aby uzyskać więcej informacji, zobacz Tryb Direct Lake.
    • Jeśli dostęp jest uzyskiwany za pośrednictwem trybu importu, nie są potrzebne żadne dodatkowe uprawnienia.
    • Obecnie udostępnianie magazynu bezpośrednio z nazwą SPN nie jest obsługiwane.