แชร์ผ่าน


สิทธิ์ระดับแยกย่อยของ SQL ใน Microsoft Fabric

นําไปใช้กับ:✅ จุดสิ้นสุดการวิเคราะห์ SQL และ Warehouse ใน Microsoft Fabric

เมื่อสิทธิ์เริ่มต้นที่ให้มาโดยการกําหนดไปยังบทบาทพื้นที่ทํางานหรือมอบให้ผ่านสิทธิ์รายการมีไม่เพียงพอ โครงสร้าง SQL มาตรฐานจะพร้อมใช้งานสําหรับการควบคุมที่ละเอียดมากขึ้น

สําหรับจุดสิ้นสุดการวิเคราะห์ SQL และ Warehouse:

  • สามารถจัดการการรักษาความปลอดภัยระดับวัตถุได้โดยใช้ ไวยากรณ์ GRANT, REVOKE และ DENY T-SQL
  • คุณสามารถกําหนดผู้ใช้ให้กับบทบาท SQL ทั้งบทบาทฐานข้อมูลแบบกําหนดเองและแบบติดตั้งมาในตัว

สิทธิ์ระดับแยกย่อยของผู้ใช้

  • เพื่อให้ผู้ใช้เชื่อมต่อกับฐานข้อมูล ผู้ใช้ต้องได้รับมอบหมายบทบาทพื้นที่ทํางานหรือมอบหมายสิทธิ์การอ่านของรายการ ถ้าไม่มี สิทธิ์ในการอ่าน อย่างน้อยที่สุด การเชื่อมต่อจะล้มเหลว
  • ถ้าคุณต้องการตั้งค่าสิทธิ์ที่ละเอียดของผู้ใช้ก่อนที่จะอนุญาตให้ผู้ใช้เชื่อมต่อกับคลังสินค้า สิทธิ์สามารถตั้งค่าได้ก่อนภายใน SQL จากนั้น พวกเขาสามารถเข้าถึงได้โดยกําหนดให้บทบาทพื้นที่ทํางาน หรือให้สิทธิ์รายการแก่พวกเขา

ข้อจำกัด

  • CREATE USER ไม่สามารถดําเนินการได้อย่างชัดเจนในขณะนี้ เมื่อ GRANT หรือ DENY ถูกดําเนินการ ผู้ใช้จะถูกสร้างขึ้นโดยอัตโนมัติ ผู้ใช้จะไม่สามารถเชื่อมต่อได้จนกว่าจะมีสิทธิ์ระดับพื้นที่ทํางานที่เพียงพอ

ดูสิทธิ์ของฉัน

เมื่อผู้ใช้เชื่อมต่อกับสายอักขระการเชื่อมต่อ SQL พวกเขาสามารถดูสิทธิ์ที่พร้อมใช้งานได้โดยใช้ฟังก์ชัน sys.fn_my_permissions

สิทธิ์ที่กําหนดขอบเขตของฐานข้อมูลของผู้ใช้:

SELECT *
FROM sys.fn_my_permissions(NULL, 'Database');

สิทธิ์ที่กําหนดขอบเขตของ Schema ของผู้ใช้:

SELECT *
FROM sys.fn_my_permissions('<schema-name>', 'Schema');

สิทธิ์ที่กําหนดขอบเขตวัตถุของผู้ใช้:

SELECT *
FROM sys.fn_my_permissions('<schema-name>.<object-name>', 'Object');

ดูสิทธิ์ที่ให้ไว้อย่างชัดเจนแก่ผู้ใช้

เมื่อเชื่อมต่อผ่านสายอักขระการเชื่อมต่อ SQL ผู้ใช้ที่มีสิทธิ์ระดับสูงสามารถสอบถามสิทธิ์ที่ได้รับโดยใช้มุมมองระบบ ซึ่งจะไม่แสดงผู้ใช้หรือสิทธิ์ของผู้ใช้ที่มอบให้กับผู้ใช้โดยการมอบหมายบทบาทพื้นที่ทํางานหรือสิทธิ์รายการที่กําหนด

SELECT DISTINCT pr.principal_id, pr.name, pr.type_desc, 
 pr.authentication_type_desc, pe.state_desc, pe.permission_name
FROM sys.database_principals AS pr
INNER JOIN sys.database_permissions AS pe
 ON pe.grantee_principal_id = pr.principal_id;

คุณลักษณะการป้องกันข้อมูล

คุณสามารถรักษาความปลอดภัยตัวกรองคอลัมน์และตัวกรองแถวตามเพรดิเคตในตารางใน Warehouse หรือจุดสิ้นสุดการวิเคราะห์ SQL ไปยังบทบาทและผู้ใช้ใน Microsoft Fabric ได้ คุณยังสามารถซ่อนข้อมูลที่ละเอียดอ่อนจากไม่ใช่ผู้ดูแลระบบโดยใช้การมาสก์ข้อมูลแบบไดนามิก