Configurar o controle de acesso granular para um banco de dados SQL

Aplica-se a:✅banco de dados SQL no Microsoft Fabric

As funções de espaço de trabalho do Fabric e as permissões de item permitem que você configure facilmente a autorização para os usuários do banco de dados que precisam de acesso administrativo completo ou somente leitura ao banco de dados.

Para configurar o acesso granular ao banco de dados, use os controles de acesso SQL: funções no nível do banco de dados, permissões SQL e/ou RLS (segurança em nível de linha).

Você pode gerenciar a associação de funções no nível do banco de dados e definir funções personalizadas (definidas pelo usuário) para cenários comuns de acesso a dados usando o portal do Fabric. Você pode configurar todos os controles de acesso SQL usando o Transact-SQL.

Gerenciar funções no nível do banco de dados SQL no portal do Fabric

Para começar a gerenciar funções no nível do banco de dados para um banco de dados SQL do Fabric:

1. Navegue até o portal do Fabric e abra-o nele.
2. No menu principal, selecione Segurança e selecione Gerenciar segurança SQL.

1. A página Gerenciar segurança do SQL é aberta.

Para adicionar uma nova função personalizada (definida pelo usuário) no nível do banco de dados que permita que seus membros acessem objetos em esquemas específicos do seu banco de dados:

1. Na página Gerenciar segurança do SQL, selecione Novo.
2. Na página Nova função, insira um nome de função.
3. Selecione um ou mais esquemas.
4. Selecione as permissões que você deseja conceder aos membros da função para cada esquema selecionado. As permissões Select, Insert, Update e Delete se aplicam a todas as tabelas e exibições em um esquema. A permissão Executar se aplica a todos os procedimentos armazenados e funções em um esquema.
5. Selecione Salvar.

Para alterar a definição de uma função personalizada no nível do banco de dados:

1. Na página Gerenciar segurança do SQL, selecione uma função personalizada e selecione Editar.
2. Altere o nome de uma função ou as permissões da função para seus esquemas de banco de dados.

   Observação

   A página Gerenciar segurança do SQL permite exibir e gerenciar apenas as cinco permissões no nível do esquema. Se você tiver concedido a função SELECT, INSERT, UPDATE, DELETE ou EXECUTE para um objeto diferente de um esquema, ou se tiver concedido à função outras permissões por meio da instrução GRANT Transact-SQL, a página Gerenciar segurança do SQL não as mostrará.

3. Selecione Salvar.

Para excluir uma função personalizada no nível do banco de dados:

1. Na página Gerenciar segurança do SQL, selecione uma função e selecione Excluir.
2. Selecione Excluir novamente, quando solicitado.

Para exibir a lista de membros da função e adicionar ou remover membros da função:

1. Na página Gerenciar segurança do SQL, selecione uma função interna ou personalizada e selecione Gerenciar acesso.
   • Para adicionar membros da função:
     1. No campo Adicionar pessoas, grupos ou aplicativos, digite um nome e selecione um usuário, grupo ou aplicativo nos resultados da pesquisa. Você pode repetir isso para adicionar outras pessoas, grupos ou aplicativos.
     2. Selecione Adicionar.
     3. Se alguns dos membros da função que você está adicionando não tiverem a permissão Ler item para o banco de dados no Fabric, o botão Compartilhar banco de dados será exibido. Selecione-o para abrir a caixa de diálogo Conceder acesso às pessoas e selecione Conceder para compartilhar o banco de dados. A concessão de permissões compartilhadas ao banco de dados concederá a permissão de item de leitura aos membros da função que ainda não a têm. Para obter mais informações sobre como compartilhar um banco de dados SQL, consulte Compartilhar seu banco de dados SQL e gerenciar permissões.

     Importante

     Para se conectar a um banco de dados, um usuário ou um aplicativo deve ter a permissão de item de leitura para o banco de dados no Fabric, independentemente de sua associação em funções no nível do banco de dados SQL ou permissões SQL dentro do banco de dados.

   • Para remover membros da função:
     1. Selecione os membros da função que você deseja remover.
     2. Selecione Remover.
2. Selecione Salvar para salvar suas alterações na lista de membros da função.

   Observação

   Quando você adiciona um novo membro de função que não tem nenhum objeto de usuário no banco de dados, o portal do Fabric cria automaticamente um objeto de usuário para o membro de função em seu nome (usando CREATE USER (Transact-SQL)). O portal do Fabric não remove objetos de usuário do banco de dados quando um membro da função é removido de uma função.

Configurar controles SQL com Transact-SQL

Para configurar o acesso para um usuário ou um aplicativo usando o Transact SQL:

1. Compartilhe o banco de dados com o usuário/aplicativo ou com o grupo do Microsoft Entra ao qual o usuário/aplicativo também pertence. O compartilhamento do banco de dados garante que o usuário/aplicativo tenha a permissão de item de leitura para o banco de dados no Fabric, que é necessária para se conectar ao banco de dados. Para obter mais informações, consulte Compartilhar seu banco de dados SQL e gerenciar permissões.
2. Crie um objeto de usuário para o usuário, o aplicativo ou seu grupo no banco de dados, usando CREATE USER (Transact-SQL). Para obter mais informações, consulte Criar usuários de banco de dados para identidades do Microsoft Entra.
3. Configure os controles de acesso desejados:
   1. Defina funções personalizadas (definidas pelo usuário) no nível do banco de dados. Para gerenciar definições de funções personalizadas, use CREATE ROLE, ALTER ROLE e DROP ROLE.
   2. Adicione o objeto de usuário a funções personalizadas ou internas (fixas) com as opções ADD MEMBER e DROP MEMBER da instrução ALTER ROLE.
   3. Configure permissões granulares SQL para o objeto de usuário com as instruções GRANT, REVOKE e DENY.
   4. Configure RLS (segurança em nível de linha) para conceder/negar acesso a linhas específicas em uma tabela para o objeto de usuário.

Conteúdo relacionado

• Autorização no banco de dados SQL
• Compartilhe seu banco de dados SQL e gerencie permissões