Ochrona poufnych danych w bazie danych SQL przy użyciu zasad ochrony usługi Microsoft Purview

Dotyczy bazy danych:✅SQL w usłudze Microsoft Fabric

Microsoft Purview to rodzina rozwiązań dotyczących zarządzania danymi, ryzyka i zgodności, które mogą pomóc organizacji w zarządzaniu i ochronie całej infrastruktury danych. Między innymi usługa Microsoft Purview umożliwia etykietowanie elementów bazy danych SQL z etykietami poufności i definiowanie zasad ochrony, które kontrolują dostęp na podstawie etykiet poufności.

W tym artykule wyjaśniono, jak zasady ochrony usługi Microsoft Purview współpracują z mechanizmami kontroli dostępu usługi Microsoft Fabric i mechanizmami kontroli dostępu SQL w bazie danych SQL w usłudze Microsoft Fabric.

Aby uzyskać ogólne informacje na temat możliwości usługi Microsoft Purview dla usługi Microsoft Fabric, w tym bazy danych SQL, zobacz artykuły wymienione w temacie Powiązana zawartość.

Jak działają zasady ochrony w bazie danych SQL

Każda zasada ochrony dla usługi Microsoft Fabric jest skojarzona z etykietą poufności. Zasady ochrony kontrolują dostęp do elementów, które mają skojarzą etykietę za pośrednictwem dwóch mechanizmów kontroli dostępu:

• Zezwalaj użytkownikom na zachowanie dostępu do odczytu — po włączeniu umożliwia określonym użytkownikom (lub użytkownikom należącym do określonych grup) zachowanie uprawnienia odczytanego elementu dla elementów oznaczonych etykietami, jeśli określeni użytkownicy mają już uprawnienia. Wszelkie inne uprawnienia, które określone użytkownicy mają w elemencie, zostaną usunięte. W bazie danych SQL uprawnienie Odczyt elementu jest wymagane, aby użytkownik nawiązał połączenie z bazą danych. W związku z tym, jeśli użytkownik nie jest określony w tej kontroli dostępu, użytkownik nie może nawiązać połączenia z bazą danych.

• Zezwalaj użytkownikom na zachowanie pełnej kontroli — po włączeniu umożliwia określonym użytkownikom (lub użytkownikom należącym do określonych grup) zachowanie pełnej kontroli nad oznaczonym elementem, jeśli określeni użytkownicy mają je lub jakiekolwiek inne uprawnienia, które mogą mieć. W przypadku elementów bazy danych SQL ta kontrolka umożliwia użytkownikom zachowanie uprawnień do zapisu elementu, co oznacza, że użytkownik zachowuje pełny dostęp administracyjny wewnątrz bazy danych. Jeśli użytkownik nie zostanie określony w tej kontroli dostępu, uprawnienie Do zapisu elementu zostanie skutecznie usunięte z użytkownika. Ta kontrolka nie ma wpływu na natywne uprawnienia użytkownika SQL w bazie danych — aby uzyskać więcej informacji, zobacz Przykład 4 i ograniczenia.

Przykłady

Przykłady w tej sekcji zawierają następującą konfigurację:

• Organizacja ma obszar roboczy usługi Microsoft Fabric o nazwie Produkcja.
• Obszar roboczy zawiera element bazy danych SQL o nazwie Sales (Sprzedaż), który ma etykietę poufnej poufności.
• W usłudze Microsoft Purview istnieją zasady ochrony dotyczące usługi Microsoft Fabric. Zasady są skojarzone z etykietą Poufne poufności.

Przykład 1

• Użytkownik jest członkiem roli Współautor dla obszaru roboczego Produkcja.
• Opcja Zezwalaj użytkownikom na zachowanie kontroli dostępu do odczytu jest włączona, ale nie obejmuje użytkownika.
• Ustawienie Zezwalaj użytkownikom na zachowanie pełnej kontroli dostępu jest wyłączone/nieaktywne.

Zasady usuwa uprawnienia do odczytu elementu użytkownika, dlatego użytkownik nie może nawiązać połączenia z bazą danych Sales. W związku z tym użytkownik nie może odczytywać ani uzyskiwać dostępu do żadnych danych w bazie danych.

Przykład 2

• Użytkownik ma uprawnienie Odczyt elementu dla bazy danych Sales.
• Użytkownik jest członkiem roli db_owner natywnej bazy danych SQL na poziomie bazy danych.
• Opcja Zezwalaj użytkownikom na zachowanie kontroli dostępu do odczytu jest włączona, ale nie obejmuje użytkownika.
• Ustawienie Zezwalaj użytkownikom na zachowanie pełnej kontroli dostępu jest wyłączone/nieaktywne.

Zasady usuwa uprawnienia do odczytu elementu użytkownika, dlatego użytkownik nie może nawiązać połączenia z bazą danych Sales, niezależnie od natywnych uprawnień użytkownika (przyznanych za pośrednictwem członkostwa użytkownika w roli db_owner) w bazie danych. W związku z tym użytkownik nie może odczytywać ani uzyskiwać dostępu do żadnych danych w bazie danych.

Przykład 3

• Użytkownik jest członkiem roli Współautor dla obszaru roboczego Produkcja.
• Użytkownik nie ma uprawnień natywnych SQL przyznanych w bazie danych.
• Opcja Zezwalaj użytkownikom na zachowanie kontroli dostępu do odczytu jest włączona i zawiera użytkownika.
• Opcja Zezwalaj użytkownikom na zachowanie pełnej kontroli dostępu jest włączona, ale nie obejmuje użytkownika.

Jako członek roli Współautor użytkownik początkowo ma wszystkie uprawnienia do bazy danych Sales, w tym Odczyt, ReadData i Write. Ustawienie Zezwalaj użytkownikom na zachowanie kontroli dostępu do odczytu w zasadach umożliwia użytkownikowi zachowanie uprawnień Odczyt i OdczytData, jednak opcja Zezwalaj użytkownikom na zachowanie pełnej kontroli dostępu usuwa uprawnienia do zapisu użytkownika. W związku z tym użytkownik może nawiązać połączenie z bazą danych i odczytywać dane, ale użytkownik traci dostęp administracyjny do bazy danych, w tym możliwość zapisu/edytowania danych.

Przykład 4

• Użytkownik ma uprawnienie Odczyt elementu dla bazy danych Sales.
• Użytkownik jest członkiem roli db_owner natywnej bazy danych SQL na poziomie bazy danych.
• Opcja Zezwalaj użytkownikom na zachowanie kontroli dostępu do odczytu jest włączona i zawiera użytkownika.
• Opcja Zezwalaj użytkownikom na zachowanie pełnej kontroli dostępu jest włączona, ale nie obejmuje użytkownika.

Ustawienie Zezwalaj użytkownikom na zachowanie kontroli dostępu do odczytu w zasadach umożliwia użytkownikowi zachowanie uprawnień do odczytu. Ponieważ użytkownik początkowo nie ma pełnej kontroli dostępu (uprawnienia do zapisu elementu), uprawnienie Zezwalaj użytkownikom na zachowanie pełnej kontroli dostępu nie ma żadnego wpływu na uprawnienia użytkownika przyznane w usłudze Microsoft Fabric. Ustawienie Zezwalaj użytkownikom na zachowanie pełnej kontroli dostępu nie ma wpływu na natywne uprawnienia użytkownika SQL w bazie danych. Jako członek roli db_owner użytkownik nadal ma dostęp administracyjny do bazy danych. Zobacz Ograniczenia.

Ograniczenia

• Ustawienie Zezwalaj użytkownikom na zachowanie pełnej kontroli dostępu w zasadach ochrony usługi Microsoft Purview nie ma wpływu na uprawnienia natywne SQL przyznane użytkownikom w bazie danych.

Powiązana zawartość

• Zarządzanie usługą Microsoft Fabric przy użyciu usługi Microsoft Purview
• Ochrona informacji w usłudze Microsoft Fabric
• Zasady ochrony w usłudze Microsoft Fabric (wersja zapoznawcza)
• Tworzenie zasad ochrony dla sieci Szkieletowej i zarządzanie nimi (wersja zapoznawcza)
• Autoryzacja w bazie danych SQL w usłudze Microsoft Fabric