Поделиться через

Настройка детального управления доступом для базы данных SQL

  • Статья

Применимо к:базе данных SQL в Microsoft Fabric

Роли рабочей области Fabric и разрешения элементов позволяют легко настроить авторизацию для пользователей базы данных, которым необходим полный административный доступ или доступ только для чтения к базе данных.

Чтобы настроить подробный доступ к базе данных, используйте элементы управления доступом к SQL: роли уровня базы данных, разрешения SQL и (или) безопасность на уровне строк (RLS).

Вы можете управлять членством в ролях уровня базы данных и определять пользовательские (определяемые пользователем) роли для распространенных сценариев доступа к данным с помощью портала Fabric. Вы можете настроить все элементы управления доступом SQL с помощью Transact-SQL.

Управление ролями уровня базы данных SQL на портале Fabric

Чтобы начать управление ролями уровня базы данных для базы данных SQL Fabric, выполните следующие действия.

  1. Перейдите к базе данных и откройте ее на портале Fabric.
  2. В главном меню выберите "Безопасность" и выберите "Управление безопасностью SQL".

Снимок экрана: портал Fabric кнопки, чтобы открыть управление безопасностью SQL.

  1. Откроется страница "Управление безопасностью SQL".

Снимок экрана: портал Fabric кнопки для управления страницей безопасности SQL.

Чтобы добавить новую настраиваемую (определяемую пользователем) роль уровня базы данных, которая позволяет членам получать доступ к объектам в определенных схемах базы данных:

  1. На странице "Управление безопасностью SQL" нажмите кнопку "Создать".
  2. На странице "Создать роль" введите имя роли.
  3. Выберите одну или несколько схем.
  4. Выберите разрешения, которые необходимо предоставить членам роли для каждой выбранной схемы. Разрешения выбора, вставки, обновления и удаления применяются ко всем таблицам и представлениям в схеме. Разрешение execute применяется ко всем хранимым процедурам и функциям в схеме. Снимок экрана: портал Fabric для определения настраиваемой роли.
  5. Выберите Сохранить.

Чтобы изменить определение настраиваемой роли уровня базы данных, выполните следующие действия.

  1. На странице "Управление безопасностью SQL" выберите пользовательскую роль и нажмите кнопку "Изменить".
  2. Измените имя роли или разрешения роли для схем базы данных.

    Примечание.

    Страница "Управление безопасностью SQL" позволяет просматривать и управлять только пятью разрешениями уровня схемы. Если вы предоставили роль SELECT, UPDATEINSERTDELETEили объект, отличный от схемы, или EXECUTE если вы предоставили роль другим разрешениям с помощью инструкции GRANT Transact-SQL, страница "Управление безопасностью SQL" не отображает их.

  3. Выберите Сохранить.

Чтобы удалить пользовательскую роль уровня базы данных, выполните следующие действия.

  1. На странице "Управление безопасностью SQL" выберите роль и нажмите кнопку "Удалить".
  2. При появлении запроса нажмите кнопку " Удалить " еще раз.

Чтобы просмотреть список участников роли и добавить или удалить участников роли:

  1. На странице "Управление безопасностью SQL" выберите встроенную роль или пользовательскую роль и выберите "Управление доступом".
    • Чтобы добавить участников роли, выполните приведенные действия.
      1. В поле "Добавление людей, групп или приложений" введите имя и выберите пользователя, группу или приложение из результатов поиска. Вы можете повторить это, чтобы добавить других пользователей, групп или приложений.
      2. Выберите Добавить. Снимок экрана: портал Fabric для добавления участников роли.
      3. Если некоторые члены роли добавляются, у вас нет разрешения на чтение элемента для базы данных в Fabric, отображается кнопка "Общий доступ к базе данных ". Выберите его, чтобы открыть диалоговое окно "Предоставление доступа к людям" и выберите "Предоставить доступ к базе данных". Предоставление общих разрешений для базы данных предоставит разрешение на чтение элемента членам роли, у которых его еще нет. Дополнительные сведения о совместном использовании базы данных SQL см. в статье "Общий доступ к базе данных SQL" и управление разрешениями.

      Внимание

      Чтобы подключиться к базе данных, пользователь или приложение должны иметь разрешение на чтение элемента для базы данных в Fabric независимо от их членства в ролях уровня базы данных SQL или разрешениях SQL в базе данных.

    • Чтобы удалить члены роли, выполните приведенные действия.
      1. Выберите участников роли, которые нужно удалить.
      2. Выберите Удалить.
  2. Нажмите кнопку "Сохранить", чтобы сохранить изменения в списке участников роли.

    Примечание.

    При добавлении нового члена роли, не имеющего объекта пользователя в базе данных, портал Fabric автоматически создает объект пользователя для члена роли от вашего имени (с помощью CREATE USER (Transact-SQL)). Портал Fabric не удаляет пользовательские объекты из базы данных, когда член роли удаляется из роли.

Настройка элементов управления SQL с помощью Transact-SQL

Чтобы настроить доступ для пользователя или приложения с помощью Transact SQL:

  1. Поделитесь базой данных с пользователем или приложением или с группой Microsoft Entra, к которой принадлежит пользователь или приложение. Общий доступ к базе данных гарантирует, что пользователь или приложение имеет разрешение на чтение элемента для базы данных в Fabric, которая требуется для подключения к базе данных. Дополнительные сведения см. в статье "Общий доступ к базе данных SQL" и управление разрешениями.
  2. Создайте объект пользователя для пользователя, приложения или группы в базе данных с помощью CREATE USER (Transact-SQL). Дополнительные сведения см. в разделе "Создание пользователей базы данных для удостоверений Microsoft Entra".
  3. Настройте требуемые элементы управления доступом:
    1. Определите пользовательские (определяемые пользователем) роли уровня базы данных. Чтобы управлять определениями настраиваемых ролей, используйте CREATE ROLE, ALTER ROLE и DROP ROLE.
    2. Добавьте объект пользователя в пользовательские или встроенные (фиксированные) роли с ADD MEMBER DROP MEMBER параметрами инструкции ALTER ROLE .
    3. Настройте детализированные разрешения SQL для пользовательского объекта с помощью инструкций GRANT, REVOKE и DENY .
    4. Настройте безопасность на уровне строк (RLS), чтобы предоставить или запретить доступ к определенным строкам в таблице объекту пользователя.

Связанный контент