SQL-detaljerade behörigheter i Microsoft Fabric
Gäller för:✅ SQL-analysslutpunkt och lager i Microsoft Fabric
När standardbehörigheterna som tillhandahålls av tilldelning till arbetsyteroller eller som beviljas via objektbehörigheter inte är tillräckliga, är SQL-standardkonstruktioner tillgängliga för mer detaljerad kontroll.
För SQL-analysslutpunkt och lager:
- Säkerhet på objektnivå kan hanteras med hjälp av GRANT-, REVOKE- och DENY T-SQL-syntax.
- Användare kan tilldelas till SQL-roller, både anpassade och inbyggda databasroller.
Användargransulära behörigheter
- För att en användare ska kunna ansluta till databasen måste användaren tilldelas en arbetsyteroll eller tilldelas objektet Läsbehörighet . Utan läsbehörighet som minst misslyckas anslutningen.
- Om du vill konfigurera en användares detaljerade behörigheter innan du tillåter dem att ansluta till lagret kan behörigheter först konfigureras i SQL. Sedan kan de få åtkomst genom att tilldela dem till en arbetsyteroll eller bevilja objektbehörigheter.
Begränsningar
CREATE USER
kan inte köras explicit för närvarande. NärGRANT
ellerDENY
körs skapas användaren automatiskt. Användaren kommer inte att kunna ansluta förrän tillräckliga behörigheter på arbetsytan har angetts.
Visa mina behörigheter
När en användare ansluter till SQL-anslutningssträng kan de visa de behörigheter som är tillgängliga för dem med hjälp av funktionen sys.fn_my_permissions.
Användarens databasomfattningsbehörigheter:
SELECT *
FROM sys.fn_my_permissions(NULL, 'Database');
Användarens schemabegränsade behörigheter:
SELECT *
FROM sys.fn_my_permissions('<schema-name>', 'Schema');
Användarens behörigheter med objektomfattning:
SELECT *
FROM sys.fn_my_permissions('<schema-name>.<object-name>', 'Object');
Visa behörigheter som uttryckligen beviljats användare
När du ansluter via SQL anslutningssträng kan en användare med utökade behörigheter köra frågor mot beviljade behörigheter med hjälp av systemvyer. Detta visar inte de användare eller användarbehörigheter som ges till användare genom att tilldelas till arbetsyteroller eller tilldelade objektbehörigheter.
SELECT DISTINCT pr.principal_id, pr.name, pr.type_desc,
pr.authentication_type_desc, pe.state_desc, pe.permission_name
FROM sys.database_principals AS pr
INNER JOIN sys.database_permissions AS pe
ON pe.grantee_principal_id = pr.principal_id;
Dataskyddsfunktioner
Du kan skydda kolumnfilter och predikatbaserade radfilter på tabeller i Warehouse eller SQL-analysslutpunkten för roller och användare i Microsoft Fabric. Du kan också maskera känsliga data från icke-administratörer med hjälp av dynamisk datamaskering.
- Säkerhet på radnivå i fabric-datalager
- Säkerhet på kolumnnivå i fabric-datalager
- Dynamisk datamaskering i fabric-datalager