Autoryzacja w bazie danych SQL w usłudze Microsoft Fabric
Dotyczy bazy danych:✅SQL w usłudze Microsoft Fabric
W tym artykule opisano kontrolę dostępu dla elementów bazy danych SQL w sieci szkieletowej.
Dostęp dla bazy danych SQL można skonfigurować na dwóch poziomach:
- W sieci szkieletowej przy użyciu kontroli dostępu do sieci szkieletowej — role obszaru roboczego i uprawnienia elementu.
- W bazie danych przy użyciu kontroli dostępu SQL, takich jak uprawnienia SQL lub role na poziomie bazy danych.
Mechanizmy kontroli dostępu na tych dwóch różnych poziomach współpracują ze sobą.
- Aby nawiązać połączenie z bazą danych, użytkownik musi mieć co najmniej uprawnienie Odczyt w sieci szkieletowej dla elementu bazy danych sieci szkieletowej.
- Dostęp do określonych funkcji można udzielić przy użyciu kontroli dostępu do sieci szkieletowej, kontroli dostępu SQL lub obu tych funkcji. Uprawnienie do nawiązywania połączenia z bazą danych można udzielić tylko z rolami lub uprawnieniami sieci szkieletowej.
- Odmowa dostępu (z instrukcją DENY języka Transact-SQL) w bazie danych zawsze ma priorytet.
Mechanizmy kontroli dostępu do sieci szkieletowej
W sieci szkieletowej możesz kontrolować dostęp przy użyciu ról i uprawnień elementu obszaru roboczego sieci szkieletowej.
Role obszaru roboczego
Role obszaru roboczego sieci szkieletowej umożliwiają zarządzanie osobami, które mogą wykonywać zadania w obszarze roboczym usługi Microsoft Fabric.
- Aby zapoznać się z omówieniem ról obszaru roboczego, zobacz Role w obszarach roboczych.
- Aby uzyskać instrukcje dotyczące przypisywania ról obszaru roboczego, zobacz Przyznawanie użytkownikom dostępu do obszarów roboczych.
W poniższej tabeli przedstawiono możliwości specyficzne dla bazy danych SQL, do których mogą uzyskiwać dostęp członkowie określonych ról obszaru roboczego.
| Możliwość | Rola administratora | Rola członka | Rola współautora | Viewer role |
|---|---|---|---|---|
| Pełny dostęp administracyjny i pełny dostęp do danych | Tak | Tak | Tak | Nie. |
| Odczytywanie danych i metadanych | Tak | Tak | Tak | Tak |
| Nawiązywanie połączenia z bazą danych | Tak | Tak | Tak | Tak |
Uprawnienia do elementu
Uprawnienia elementu sieci szkieletowej kontrolują dostęp do poszczególnych elementów sieci szkieletowej w obszarze roboczym. Różne elementy sieci szkieletowej mają różne uprawnienia. W poniższej tabeli wymieniono uprawnienia elementów, które mają zastosowanie do elementów bazy danych SQL.
| Uprawnienie | Możliwości |
|---|---|
| Przeczytaj | Łączenie z bazą danych |
| ReadData | Odczytywanie danych i metadanych |
| ReadAll | Odczytywanie zdublowanych danych bezpośrednio z plików OneLake |
| Udostępnij | Udostępnianie elementu i zarządzanie uprawnieniami elementu sieci szkieletowej |
| Zapis | Pełny dostęp administracyjny i pełny dostęp do danych |
Najprostszym sposobem udzielenia uprawnień do elementu jest dodanie użytkownika, aplikacji lub grupy do roli obszaru roboczego. Członkostwo w każdej roli oznacza, że członkowie roli mają podzbiór uprawnień do wszystkich baz danych w obszarze roboczym, jak określono w poniższej tabeli.
| Rola | Przeczytaj | ReadAll | ReadData | Write | Udostępnij |
|---|---|---|---|---|---|
| Administrator | Tak | Tak | Tak | Tak | Tak |
| Członek | Tak | Tak | Tak | Tak | Tak |
| Współautor | Tak | Tak | Tak | Tak | Nie. |
| Osoba przeglądająca | Tak | Tak | Tak | Nie. | Nie. |
Uprawnienia do udostępniania elementu
Możesz również przyznać uprawnienia Odczyt, ReadAll i ReadData dla pojedynczej bazy danych, udostępniając element bazy danych za pośrednictwem szybkiej akcji Udostępnij w portalu sieci szkieletowej. Uprawnienia przyznane dla elementu bazy danych można wyświetlać i zarządzać nimi za pomocą szybkiej akcji Zarządzanie uprawnieniami w portalu sieci szkieletowej. Aby uzyskać więcej informacji, zobacz Udostępnianie bazy danych SQL i zarządzanie uprawnieniami.
Mechanizmy kontroli dostępu SQL
Poniższe pojęcia dotyczące języka SQL umożliwiają znacznie bardziej szczegółową kontrolę dostępu w porównaniu z rolami i uprawnieniami elementów obszaru roboczego sieci szkieletowej.
- Role na poziomie bazy danych. Istnieją dwa typy ról na poziomie bazy danych: stałe role bazy danych, które są wstępnie zdefiniowane w bazie danych, oraz role bazy danych zdefiniowane przez użytkownika, które można utworzyć.
- Możesz zarządzać członkostwem ról na poziomie bazy danych i definiować role zdefiniowane przez użytkownika dla typowych scenariuszy w portalu sieci szkieletowej.
- Aby uzyskać więcej informacji, zobacz Zarządzanie rolami na poziomie bazy danych SQL w portalu sieci szkieletowej.
- Możesz również zarządzać członkostwem ról i definicjami ról przy użyciu języka Transact-SQL.
- Aby dodać i usunąć użytkowników do roli bazy danych, użyj
ADD MEMBERopcji iDROP MEMBERinstrukcji ALTER ROLE . Aby zarządzać definicjami ról zdefiniowanych przez użytkownika, użyj funkcji CREATE ROLE, ALTER ROLE i DROP ROLE.
- Aby dodać i usunąć użytkowników do roli bazy danych, użyj
- Możesz zarządzać członkostwem ról na poziomie bazy danych i definiować role zdefiniowane przez użytkownika dla typowych scenariuszy w portalu sieci szkieletowej.
- Uprawnienia SQL. Uprawnienia dla użytkowników bazy danych lub ról bazy danych można zarządzać przy użyciu instrukcji GRANT, REVOKE i DENY Języka Transact-SQL.
- Zabezpieczenia na poziomie wiersza umożliwiają kontrolowanie dostępu do określonych wierszy w tabeli.
Aby uzyskać więcej informacji, zobacz Konfigurowanie szczegółowej kontroli dostępu dla bazy danych SQL.