Dela via

Dela dina data och hantera behörigheter

  • Artikel

Gäller för:Warehouse och speglad databas i Microsoft Fabric

Delning är ett bekvämt sätt att ge användarna läsåtkomst till dina data för nedströmsförbrukning. Delning gör att nedströmsanvändare i din organisation kan använda ett lager med T-SQL, Spark eller Power BI. Du kan anpassa den behörighetsnivå som den delade mottagaren beviljas för att ge lämplig åtkomstnivå.

Kommentar

Du måste vara administratör eller medlem på arbetsytan för att kunna dela ett objekt i Microsoft Fabric.

Kom igång

När du har identifierat lagerobjektet som du vill dela med en annan användare i din Infrastruktur-arbetsyta väljer du snabbåtgärden på raden till Dela.

Följande animerade gif granskar stegen för att välja ett lager som ska delas, väljer de behörigheter som ska tilldelas och beviljar sedan behörigheter till en annan användare.

En animerad gif som visar interaktion med Fabric-portalen där en användare delar ett lager i Microsoft Fabric med en annan användare.

Dela ett lager

  1. Du kan dela ditt lager från onelake - eller lagerobjektet genom att välja Dela från snabbåtgärd, enligt markering i följande bild.

  2. Du uppmanas att välja vilka du vill dela lagret med, vilka behörigheter som ska beviljas och om de ska meddelas via e-post.

  3. Fyll i alla obligatoriska fält och välj Bevilja åtkomst.

  4. När den delade mottagaren får e-postmeddelandet kan de välja Öppna och navigera till sidan Lager onelake-katalog.

    Skärmbild som visar den delade användarens e-postavisering för ett delat lager.

  5. Beroende på vilken åtkomstnivå den delade mottagaren har beviljats kan den delade mottagaren nu ansluta till SQL-analysslutpunkten, fråga informationslagret, skapa rapporter eller läsa data via Spark.

Infrastruktursäkerhetsroller

Här är mer information om var och en av de behörigheter som tillhandahålls:

  • Om inga ytterligare behörigheter har valts – Den delade mottagaren får som standard behörigheten "Läs", vilket endast tillåter mottagaren att ansluta till SQL-analysslutpunkten, motsvarande CONNECT-behörigheter i SQL Server. Den delade mottagaren kommer inte att kunna fråga någon tabell eller visa eller köra någon funktion eller lagrad procedur om de inte ges åtkomst till objekt i lagret med hjälp av T-SQL GRANT-instruktionen .

Dricks

ReadData (används av lagret för T-SQL-behörigheter), ReadAll (används av OneLake och SQL-analysslutpunkten) och Build (används av Power BI) är separata behörigheter som inte överlappar varandra.

  • "Läs alla data med SQL" är markerat ("ReadData"-behörigheter)– Den delade mottagaren kan läsa alla objekt i informationslagret. ReadData motsvarar db_datareader roll i SQL Server. Den delade mottagaren kan läsa data från alla tabeller och vyer i informationslagret. Om du vill begränsa och ge detaljerad åtkomst till vissa objekt i lagret kan du göra detta med hjälp av T-SQL-instruktionerGRANTDENY/REVOKE/.

    • I SQL-analysslutpunkten i Lakehouse motsvarar "Läs alla SQL-slutpunktsdata" "Läs alla data med SQL".

  • "Läs alla data med Apache Spark" är valt ("ReadAll"-behörigheter)- Den delade mottagaren har läsbehörighet till de underliggande parquet-filerna i OneLake, som kan användas med Spark. ReadAll ska endast anges om den delade mottagaren vill ha fullständig åtkomst till ditt lagers filer med Spark-motorn.

  • Kryssrutan "Skapa rapporter på standarddatauppsättningen" är markerad ("Build"-behörigheter)– Den delade mottagaren kan skapa rapporter ovanpå standardsemantikmodellen som är ansluten till ditt lager. Bygget bör tillhandahållas om den delade mottagaren vill ha build-behörigheter för standard-semantikmodellen för att skapa Power BI-rapporter på dessa data. Kryssrutan Skapa är markerad som standard, men kan avmarkeras.

ReadData-behörigheter

Med ReadData-behörigheter kan den delade mottagaren öppna lagerredigeraren i skrivskyddat läge och köra frågor mot tabellerna och vyerna i informationslagret. Den delade mottagaren kan också välja att kopiera den SQL-analysslutpunkt som tillhandahålls och ansluta till ett klientverktyg för att köra dessa frågor.

LäsAlla behörigheter

En delad mottagare med ReadAll-behörigheter kan hitta ABFS-sökvägen (Azure Blob File System) till den specifika filen i OneLake från fönstret Egenskaper i lagerredigeraren. Den delade mottagaren kan sedan använda den här sökvägen i en Spark Notebook för att läsa dessa data.

I följande skärmbild kan till exempel en användare med ReadAll-behörigheter köra frågor mot data med FactSale en Spark-fråga i en ny notebook-fil.

Skärmbild från Fabric-portalen där en användare öppnar en Spark-notebook-fil för att fråga efter genvägen Till lager.

Byggbehörigheter

Med build-behörigheter kan den delade mottagaren skapa rapporter ovanpå standardsemantikmodellen som är ansluten till lagret. Den delade mottagaren kan skapa Power BI-rapporter från OneLake-katalogen eller även göra samma sak med Power BI Desktop.

Hantera behörigheter

Sidan Hantera behörigheter visar listan över användare som har fått åtkomst genom att antingen tilldela till arbetsyteroller eller objektbehörigheter.

Om du är medlem i arbetsyterollerna Administratör eller Medlem går du till din arbetsyta och väljer Fler alternativ. Välj sedan Hantera behörigheter.

Skärmbild som visar en användare som väljer Hantera behörigheter i snabbmenyn för informationslagret.

För användare som har fått arbetsyteroller visas motsvarande användare, arbetsyteroll och behörigheter. Medlemmar i arbetsyterollerna Administratör, Medlem och Deltagare har läs- och skrivåtkomst till objekt på den här arbetsytan. Användare har Läsdata-behörigheter och kan fråga alla tabeller och vyer i lagret på den arbetsytan. Objektbehörigheter Läs, ReadData och ReadAll kan tillhandahållas till användare.

Skärmbild som visar sidan Hantera behörigheter i informationslagret i Infrastrukturportalen.

Du kan välja att lägga till eller ta bort behörigheter med hjälp av Hantera behörigheter:

  • Ta bort åtkomst tar bort alla objektbehörigheter.
  • Ta bort ReadData tar bort ReadData-behörigheterna .
  • Ta bort ReadAll tar bort ReadAll-behörigheter .
  • Ta bort kompilering tar bort Build-behörigheter för motsvarande standard semantiska modell.

Skärmbild som visar en användare som tar bort ReadAll-behörigheten för en delad mottagare.

Dataskyddsfunktioner

Microsoft Fabric-datalager stöder flera tekniker som administratörer kan använda för att skydda känsliga data från obehörig visning. Genom att skydda eller dölja data från obehöriga användare eller roller kan dessa säkerhetsfunktioner ge dataskydd i både en slutpunkt för lager- och SQL-analys utan programändringar.

  • Säkerhet på kolumnnivå förhindrar obehörig visning av kolumner i tabeller.
  • Säkerhet på radnivå förhindrar obehörig visning av rader i tabeller med hjälp av välbekanta WHERE satsfilterpredikat.
  • Dynamisk datamaskning förhindrar obehörig visning av känsliga data med hjälp av masker för att förhindra åtkomst till fullständiga, till exempel e-postadresser eller siffror.

Begränsningar

  • Om du anger objektbehörigheter eller tar bort användare som tidigare hade behörigheter kan det ta upp till två timmar att sprida behörigheter. De nya behörigheterna visas i Hantera behörigheter omedelbart. Logga in igen för att säkerställa att behörigheterna återspeglas i SQL-analysslutpunkten.
  • Delade mottagare kan komma åt informationslagret med ägarens identitet (delegerat läge). Kontrollera att lagerägaren inte tas bort från arbetsytan.
  • Delade mottagare har bara åtkomst till det lager som de tar emot och inte andra objekt på samma arbetsyta som lagret. Om du vill ge behörigheter för andra användare i ditt team att samarbeta i informationslagret (läs- och skrivåtkomst) lägger du till dem som arbetsyteroller som Medlem eller Deltagare.
  • När du delar ett lager och väljer Läs alla data med SQL kan den delade mottagaren för närvarande komma åt Warehouse-redigeraren i skrivskyddat läge. Dessa delade mottagare kan skapa frågor, men kan för närvarande inte spara sina frågor.
  • För närvarande är delning av ett lager endast tillgängligt via användarupplevelsen.
  • Om du vill ge detaljerad åtkomst till specifika objekt i lagret delar du lagret utan ytterligare behörigheter och ger sedan detaljerad åtkomst till specifika objekt med hjälp av T-SQL GRANT-instruktionen. Mer information finns i T-SQL-syntax för GRANT, REVOKE och DENY.
  • Om du ser att behörigheterna ReadAll och ReadData är inaktiverade i delningsdialogrutan uppdaterar du sidan.
  • Delade mottagare har inte behörighet att dela ett lager på nytt.
  • Om en rapport som bygger på lagret delas med en annan mottagare behöver den delade mottagaren fler behörigheter för att få åtkomst till rapporten. Detta beror på läget för åtkomst till den semantiska modellen av Power BI:
    • Om läsdatabehörigheter (eller detaljerade SQL-behörigheter till specifika tabeller/vyer) nås via direktfrågeläge måste de tillhandahållas till informationslagret.
    • Om du använder Direct Lake-läget måste ReadData-behörigheter (eller detaljerade behörigheter till specifika tabeller/vyer) tillhandahållas till informationslagret. Direct Lake-läge är standardanslutningstypen för semantiska modeller som använder en slutpunkt för lager- eller SQL-analys som datakälla. Mer information finns i Direct Lake-läge.
    • Om du använder importläget behövs inga ytterligare behörigheter.
    • För närvarande stöds inte delning av ett lager direkt med ett SPN.

Relaterat innehåll