Авторизация в базе данных SQL в Microsoft Fabric
Применимо к:✅базе данных SQL в Microsoft Fabric
В этой статье объясняется управление доступом для элементов базы данных SQL в Fabric.
Доступ к базе данных SQL можно настроить на двух уровнях:
- В Fabric с помощью элементов управления доступом Fabric — роли рабочей области и разрешения элементов.
- В базе данных с помощью элементов управления доступом SQL, таких разрешений SQL или ролей уровня базы данных.
Элементы управления доступом на этих двух разных уровнях работают вместе.
- Чтобы подключиться к базе данных, пользователь должен иметь по крайней мере разрешение на чтение в Fabric для элемента базы данных Fabric .
- Вы можете предоставить доступ к определенным возможностям или данным с помощью элементов управления доступом Fabric, элементов управления доступом SQL или обоих. Разрешение на подключение к базе данных может быть предоставлено только с ролями или разрешениями Fabric.
- Запрет доступа (с инструкцией DENY Transact-SQL) в базе данных всегда имеет приоритет.
Примечание.
Политики защиты Microsoft Purview могут расширить действующие разрешения для пользователей базы данных. Если ваша организация использует Microsoft Purview с Microsoft Fabric, см. статью "Защита конфиденциальных данных в базе данных SQL с помощью политик защиты Microsoft Purview".
Элементы управления доступом Fabric
В Fabric можно управлять доступом с помощью ролей рабочей области Fabric и разрешений элементов.
Роли рабочей области
Роли рабочей области Fabric позволяют управлять тем, кто может выполнять действия в рабочей области Microsoft Fabric.
- Общие сведения о ролях рабочей области см. в разделе "Роли в рабочих областях".
- Инструкции по назначению ролей рабочей области см. в статье "Предоставление пользователям доступа к рабочим областям".
В следующей таблице описаны возможности базы данных SQL, к которым разрешен доступ члены определенных ролей рабочей области.
| Возможность | Роль администратора | Роль участника | Роль участника | Роль "Зритель" |
|---|---|---|---|---|
| Полный административный доступ и полный доступ к данным | Да | Да | Да | Нет |
| Чтение данных и метаданных | Да | Да | Да | Да |
| Подключение к базе данных | Да | Да | Да | Да |
Разрешения элемента
Разрешения элемента Структуры управляют доступом к отдельным элементам Fabric в рабочей области. Разные элементы Fabric имеют разные разрешения. В следующей таблице перечислены разрешения элементов, применимые к элементам базы данных SQL.
| Разрешение | Возможность |
|---|---|
| Чтение | Подключение к базе данных |
| ReadData | Чтение данных и метаданных |
| ReadAll | Чтение зеркальных данных непосредственно из файлов OneLake |
| Общий доступ | Предоставление общего доступа к элементам и управление разрешениями элемента Fabric |
| Запись | Полный административный доступ и полный доступ к данным |
Самый простой способ предоставления разрешений элемента — добавление пользователя, приложения или группы в роль рабочей области. Членство в каждой роли подразумевает, что члены роли имеют подмножество разрешений для всех баз данных в рабочей области, как указано в следующей таблице.
| Роль | Читать | ReadAll | ReadData | Write | Поделиться |
|---|---|---|---|---|---|
| Администратор | Да | Да | Да | Да | Да |
| Член | Да | Да | Да | Да | Да |
| Участник | Да | Да | Да | Да | Нет |
| Зритель | Да | Да | Да | No | No |
Предоставление общего доступа к разрешениям элемента
Вы также можете предоставлять разрешения на чтение, readAll и ReadData для отдельной базы данных, предоставляя общий доступ к элементу базы данных с помощью быстрого действия "Общий доступ" на портале Fabric. Вы можете просматривать разрешения, предоставленные для элемента базы данных, и управлять ими с помощью быстрого действия "Управление разрешениями " на портале Fabric. Дополнительные сведения см. в статье "Общий доступ к базе данных SQL" и управление разрешениями.
Элементы управления доступом SQL
Следующие понятия SQL позволяют гораздо более детализированному управлению доступом по сравнению с ролями рабочей области Fabric и разрешениями элементов.
- Роли уровня базы данных. Существует два типа ролей уровня базы данных: предопределенные роли базы данных, предопределенные в базе данных, а также определяемые пользователем роли базы данных.
- Вы можете управлять членством в ролях уровня базы данных и определять определяемые пользователем роли для распространенных сценариев на портале Fabric.
- Дополнительные сведения см. в разделе "Управление ролями уровня базы данных SQL" на портале Fabric.
- Вы также можете управлять определениями членства в роли и ролей с помощью Transact-SQL.
- Чтобы добавлять и удалять пользователей в роли базы данных, используйте параметры
ADD MEMBERиDROP MEMBERинструкции ALTER ROLE . Чтобы управлять определениями определяемых пользователем ролей, используйте CREATE ROLE, ALTER ROLE и DROP ROLE.
- Чтобы добавлять и удалять пользователей в роли базы данных, используйте параметры
- Вы можете управлять членством в ролях уровня базы данных и определять определяемые пользователем роли для распространенных сценариев на портале Fabric.
- Разрешения SQL. Вы можете управлять разрешениями для пользователей базы данных или ролей базы данных с помощью инструкций GRANT, REVOKE и DENY Transact-SQL.
- Безопасность на уровне строк (RLS) позволяет управлять доступом к определенным строкам в таблице.
Дополнительные сведения см. в разделе "Настройка детального управления доступом для базы данных SQL".