Autorização no banco de dados SQL no Microsoft Fabric
Aplica-se a:✅banco de dados SQL no Microsoft Fabric
Este artigo explica o controle de acesso para itens de banco de dados SQL no Fabric.
Você pode configurar o acesso para seu banco de dados SQL em dois níveis:
- No Fabric, usando controles de acesso do Fabric - funções de espaço de trabalho e permissões de item.
- Dentro do banco de dados, usando controles de acesso SQL, como permissões SQL ou funções no nível do banco de dados.
Os controles de acesso nesses dois níveis diferentes funcionam juntos.
- Para conectar a um banco de dados, um usuário deve ter pelo menos a permissão Leitura em Fabric para o item de banco de dados do Fabric.
- Você pode permitir o acesso a funcionalidades ou dados específicos usando controles de acesso do Fabric, controles de acesso do SQL, ou ambos. Uma permissão para se conectar ao banco de dados só pode ser concedida com funções ou permissões do Fabric.
- Negar acesso (com a instrução Transact-SQL DENY) no banco de dados sempre tem prioridade.
Observação
As políticas de proteção do Microsoft Purview podem aumentar a permissão efetiva para usuários do banco de dados. Se a sua organização usa o Microsoft Purview com o Microsoft Fabric, consulte Proteger dados confidenciais no banco de dados SQL com políticas de proteção do Microsoft Purview.
Controles de acesso do Fabric
No Fabric, você pode controlar o acesso usando o Fabric funções de espaço de trabalho e permissões de item.
Funções de workspace
As funções de espaço de trabalho do Fabric permitem que você gerencie quem pode fazer o quê em um espaço de trabalho do Microsoft Fabric.
- Para obter uma visão geral das funções do espaço de trabalho, consulte Funções em espaços de trabalho.
- Para obter instruções sobre como atribuir funções de espaço de trabalho, consulte Conceder aos usuários acesso a espaços de trabalho.
A tabela a seguir captura recursos específicos do banco de dados SQL, membros de funções de espaço de trabalho específicas têm permissão para acessar.
| Funcionalidade | Função Admin | Função Member | Função Parceiro | Função de espectador |
|---|---|---|---|---|
| Acesso administrativo total e acesso total aos dados | Sim | Sim | Sim | No |
| Leia dados e metadados | Sim | Sim | Sim | Sim |
| Conectar-se ao banco de dados | Sim | Sim | Sim | Sim |
Permissões de item
As Permissões de item do Fabric controlam o acesso a itens individuais do Fabric em um espaço de trabalho. Diferentes itens do Fabric têm permissões diferentes. A tabela a seguir lista as permissões de item aplicáveis a itens do banco de dados SQL.
| Permissão | Recursos |
|---|---|
| Leitura | Conectar-se ao banco de dados |
| ReadData | Ler dados e metadados |
| ReadAll | Ler dados espelhados diretamente de arquivos do OneLake |
| Compartilhe | Compartilhar itens e gerenciar permissões de itens do Fabric |
| Gravar | Acesso administrativo total e acesso total aos dados |
A maneira mais fácil de conceder permissões de item é adicionando um usuário, um aplicativo ou um grupo a uma função de espaço de trabalho. A associação em cada função implica que os membros da função têm um subconjunto de permissões para todos os bancos de dados no workspace, conforme especificado na tabela a seguir.
| Função | Ler | ReadAll | ReadData | Gravar | Compartilhar |
|---|---|---|---|---|---|
| Administrador | Sim | Sim | Sim | Sim | Sim |
| Membro | Sim | Sim | Sim | Sim | Sim |
| Colaborador | Sim | Sim | Sim | Sim | No |
| Visualizador | Sim | Sim | Sim | Não | No |
Permissões de compartilhamento de itens
Você também pode conceder permissões Read, ReadAll e ReadData para um banco de dados individual compartilhando o item de banco de dados por meio da ação rápida Compartilhar no portal do Fabric. Você pode visualizar e gerenciar permissões concedidas para um item de banco de dados por meio da ação rápida Gerenciar permissões no portal do Fabric. Para obter mais informações, consulte Compartilhar seu banco de dados SQL e gerenciar permissões.
Controles de acesso SQL
Os conceitos SQL a seguir permitem um controle de acesso muito mais granular em comparação com as funções de espaço de trabalho do Fabric e as permissões de item.
- Funções no nível do banco de dados. Há dois tipos de funções no nível do banco de dados: funções fixas de banco de dados que são predefinidas no banco de dados e funções de banco de dados definidas pelo usuário que você pode criar.
- Você pode gerenciar a associação de funções no nível do banco de dados e definir funções definidas pelo usuário para cenários comuns no portal do Fabric.
- Para obter mais informações, consulte Gerenciar funções no nível do banco de dados SQL no portal do Fabric.
- Você também pode gerenciar a associação de função e as definições de função usando o Transact-SQL.
- Para adicionar e remover usuários de uma função de banco de dados, use as opções
ADD MEMBEReDROP MEMBERda instrução ALTER ROLE . Para gerenciar definições de funções definidas pelo usuário, use CREATE ROLE, ALTER ROLE e DROP ROLE.
- Para adicionar e remover usuários de uma função de banco de dados, use as opções
- Você pode gerenciar a associação de funções no nível do banco de dados e definir funções definidas pelo usuário para cenários comuns no portal do Fabric.
- Permissões SQL. Você pode gerenciar permissões para usuários de banco de dados ou funções de banco de dados usando as instruções Transact-SQL GRANT, REVOKE e DENY.
- A RLS (segurança em nível de linha) permite controlar o acesso a linhas específicas em uma tabela.
Para obter mais informações, consulte Configurar o controle de acesso granular para um banco de dados SQL.