ปกป้องข้อมูลที่สําคัญในฐานข้อมูล SQL ด้วยนโยบายการป้องกัน Microsoft Purview

นําไปใช้กับ:✅ฐานข้อมูล SQL ใน Microsoft Fabric

Microsoft Purview เป็นตระกูลของโซลูชันการกํากับดูแลข้อมูล ความเสี่ยง และการปฏิบัติตามกฎระเบียบที่สามารถช่วยให้องค์กรของคุณควบคุม ปกป้อง และจัดการอสังหาริมทรัพย์ทั้งหมดของคุณได้ เหนือสิ่งอื่นใด Microsoft Purview ช่วยให้คุณสามารถติดป้ายชื่อรายการฐานข้อมูล SQL ของคุณด้วยป้ายชื่อระดับความลับและกําหนดนโยบายการป้องกันที่ควบคุมการเข้าถึงตามป้ายชื่อระดับความลับ

บทความนี้อธิบายวิธีการที่นโยบายการป้องกัน Purview ของ Microsoft ทํางานร่วมกับ ตัวควบคุม การเข้าถึง Microsoft Fabric และ ตัวควบคุม การเข้าถึง SQL ในฐานข้อมูล SQL ใน Microsoft Fabric

สําหรับข้อมูลทั่วไปเกี่ยวกับความสามารถของ Microsoft Purview สําหรับ Microsoft Fabric รวมถึงฐานข้อมูล SQL ให้ดูบทความที่แสดงอยู่ใน เนื้อหาที่เกี่ยวข้อง

วิธีการทํางานของนโยบายการป้องกันในฐานข้อมูล SQL

แต่ละนโยบายการป้องกันสําหรับ Microsoft Fabric จะเชื่อมโยงกับป้ายชื่อระดับความลับ นโยบายการป้องกันจะควบคุมการเข้าถึงรายการที่มีป้ายชื่อที่เกี่ยวข้องผ่านการควบคุมการเข้าถึงสองตัว:

• อนุญาตให้ผู้ใช้รักษาการเข้าถึง การอ่าน - เมื่อเปิดใช้งาน อนุญาตให้ผู้ใช้ที่ระบุ (หรือผู้ใช้ที่อยู่ในกลุ่มที่ระบุ) ยังคงมีสิทธิ์อ่านรายการบนรายการที่มีป้ายชื่อถ้าผู้ใช้ที่ระบุมีสิทธิ์อยู่แล้ว สิทธิ์อื่นใดที่ผู้ใช้ที่ระบุมีในรายการถูกลบออก ในฐานข้อมูล SQL จําเป็นต้องมีสิทธิ์ในการอ่านรายการสําหรับผู้ใช้เพื่อเชื่อมต่อกับฐานข้อมูล ดังนั้น ถ้าผู้ใช้ไม่ได้ระบุไว้ในตัวควบคุมการเข้าถึงนี้ ผู้ใช้จะไม่สามารถเชื่อมต่อกับฐานข้อมูลได้

• อนุญาตให้ผู้ใช้สามารถรักษาการควบคุม ทั้งหมด - เมื่อเปิดใช้งาน อนุญาตให้ผู้ใช้ที่ระบุ (หรือผู้ใช้ที่อยู่ในกลุ่มที่ระบุ) รักษาการควบคุมทั้งหมดบนรายการที่มีป้ายชื่อถ้าผู้ใช้ที่ระบุมีอยู่แล้ว หรือสิทธิ์อื่นๆ ที่พวกเขาอาจมี สําหรับรายการฐานข้อมูล SQL ตัวควบคุมนี้อนุญาตให้ผู้ใช้รักษาสิทธิ์รายการการเขียนซึ่งหมายความว่าผู้ใช้ยังคงมีการเข้าถึงการดูแลระบบเต็มรูปแบบภายในฐานข้อมูล ถ้าผู้ใช้ไม่ได้ระบุไว้ในตัวควบคุมการเข้าถึงนี้ สิทธิ์รายการเขียนจะถูกลบออกจากผู้ใช้อย่างมีประสิทธิภาพ ตัวควบคุมนี้จะไม่มีผลกับสิทธิ์ SQL แบบเนทีฟของผู้ใช้ในฐานข้อมูล - สําหรับข้อมูลเพิ่มเติม ดูตัวอย่างที่ 4 และ ขีดจํากัด

ตัวอย่าง

ตัวอย่างในส่วนนี้ใช้การกําหนดค่าต่อไปนี้:

• องค์กรมีพื้นที่ทํางาน Microsoft Fabric ที่เรียกว่า Production
• พื้นที่ทํางานประกอบด้วยรายการฐานข้อมูล SQL ที่ชื่อว่า Sales ที่มีป้ายชื่อระดับความลับเป็นความลับ
• ใน Microsoft Purview มีนโยบายการป้องกันที่ใช้ได้กับ Microsoft Fabric นโยบายจะเชื่อมโยงกับป้ายชื่อระดับความลับเป็นความลับ

ตัวอย่าง 1

• ผู้ใช้เป็นสมาชิกของบทบาทผู้สนับสนุนสําหรับพื้นที่ทํางานการผลิต
• เปิดใช้งาน อนุญาตให้ผู้ใช้รักษาการควบคุมการเข้าถึง การอ่านไว้แล้ว แต่ไม่รวมผู้ใช้
• อนุญาตให้ ผู้ใช้รักษาการควบคุมการเข้าถึงทั้งหมด ถูกปิดใช้งาน/ไม่ได้ใช้งาน

นโยบายเอาสิทธิ์ในการอ่านรายการของผู้ใช้ออก ดังนั้นผู้ใช้จึงไม่สามารถเชื่อมต่อกับฐานข้อมูลการขายได้ ดังนั้น ผู้ใช้จึงไม่สามารถอ่านหรือเข้าถึงข้อมูลใดๆ ในฐานข้อมูลได้

ตัวอย่าง 2

• ผู้ใช้มีสิทธิ์อ่านรายการสําหรับฐานข้อมูลการขาย
• ผู้ใช้เป็นสมาชิกของบทบาทระดับฐานข้อมูลดั้งเดิมของ db_owner SQL ในฐานข้อมูล
• เปิดใช้งาน อนุญาตให้ผู้ใช้รักษาการควบคุมการเข้าถึง การอ่านไว้แล้ว แต่ไม่รวมผู้ใช้
• อนุญาตให้ ผู้ใช้รักษาการควบคุมการเข้าถึงทั้งหมด ถูกปิดใช้งาน/ไม่ได้ใช้งาน

นโยบายจะลบสิทธิ์การอ่านรายการของผู้ใช้ออก ดังนั้นผู้ใช้จึงไม่สามารถเชื่อมต่อกับฐานข้อมูลการขายได้ โดยไม่คํานึงถึงสิทธิ์ดั้งเดิมของ SQL ของผู้ใช้ (ซึ่งมอบให้ผ่านการเป็นสมาชิกของผู้ใช้ในบทบาท db_owner) ในฐานข้อมูล ดังนั้น ผู้ใช้จึงไม่สามารถอ่านหรือเข้าถึงข้อมูลใดๆ ในฐานข้อมูลได้

ตัวอย่างที่ 3

• ผู้ใช้เป็นสมาชิกของบทบาทผู้สนับสนุนสําหรับพื้นที่ทํางานการผลิต
• ผู้ใช้ไม่มีสิทธิ์ดั้งเดิมของ SQL ในฐานข้อมูล
• เปิดใช้งาน อนุญาตให้ผู้ใช้เก็บการควบคุมการเข้าถึง การอ่านและมีผู้ใช้
• เปิดใช้งาน อนุญาตให้ผู้ใช้เก็บการควบคุม การเข้าถึงทั้งหมด ไว้แต่ไม่รวมผู้ใช้

ในฐานะสมาชิกของบทบาทผู้สนับสนุน ผู้ใช้มีสิทธิ์ทั้งหมดบนฐานข้อมูลการขายในเบื้องต้น รวมถึงอ่าน อ่านข้อมูล และเขียน อนุญาตให้ ผู้ใช้เก็บการควบคุมการเข้าถึงการอ่าน ในนโยบายอนุญาตให้ผู้ใช้สามารถรักษาสิทธิ์การอ่านและอ่านข้อมูลได้ อย่างไรก็ตาม อนุญาตให้ผู้ใช้เก็บการควบคุมการเข้าถึงทั้งหมด เอาสิทธิ์การเขียนของผู้ใช้ออก ด้วยเหตุนี้ ผู้ใช้สามารถเชื่อมต่อกับฐานข้อมูลและอ่านข้อมูล ได้ แต่ผู้ใช้จะสูญเสียการเข้าถึงระดับผู้ดูแลไปยังฐานข้อมูล รวมถึงความสามารถในการเขียน/แก้ไขข้อมูล

ตัวอย่างที่ 4

• ผู้ใช้มีสิทธิ์อ่านรายการสําหรับฐานข้อมูลการขาย
• ผู้ใช้เป็นสมาชิกของบทบาทระดับฐานข้อมูลดั้งเดิมของ db_owner SQL ในฐานข้อมูล
• เปิดใช้งาน อนุญาตให้ผู้ใช้เก็บการควบคุมการเข้าถึง การอ่านและมีผู้ใช้
• เปิดใช้งาน อนุญาตให้ผู้ใช้เก็บการควบคุม การเข้าถึงทั้งหมด ไว้แต่ไม่รวมผู้ใช้

อนุญาตให้ ผู้ใช้เก็บการควบคุมการเข้าถึง การอ่านในนโยบายอนุญาตให้ผู้ใช้สามารถเก็บสิทธิ์ในการอ่านได้ เนื่องจากผู้ใช้ไม่มีสิทธิ์ควบคุมทั้งหมด (สิทธิ์รายการ เขียน) ใน ขั้นต้น อนุญาตให้ผู้ใช้เก็บการควบคุม การควบคุมทั้งหมด ควบคุมการเข้าถึง ไม่มีผลใดๆ กับสิทธิ์ของผู้ใช้ที่ได้รับอนุญาตใน Microsoft Fabric อนุญาตให้ ผู้ใช้รักษาการควบคุมการเข้าถึงเต็มรูปแบบ ไม่ส่งผลกระทบต่อสิทธิ์ดั้งเดิมของ SQL ของผู้ใช้ในฐานข้อมูล ในฐานะสมาชิกของบทบาท db_owner ผู้ใช้จะยังคงมีสิทธิ์เข้าถึงฐานข้อมูลในระดับผู้ดูแล โปรดดู ข้อจํากัด

ข้อจำกัด

• อนุญาตให้ ผู้ใช้รักษาการควบคุมการเข้าถึงเต็มรูปแบบ ในนโยบายการป้องกัน Microsoft Purview ไม่มีผลกระทบต่อสิทธิ์ดั้งเดิมของ SQL ที่มอบให้กับผู้ใช้ในฐานข้อมูล

เนื้อหาที่เกี่ยวข้อง

• ใช้ Microsoft Purview เพื่อควบคุม Microsoft Fabric
• การปกป้องข้อมูลใน Microsoft Fabric
• นโยบายการป้องกันใน Microsoft Fabric (ตัวอย่าง)
• สร้างและจัดการนโยบายการป้องกันสําหรับ Fabric (ตัวอย่าง)
• การอนุญาตในฐานข้อมูล SQL ใน Microsoft Fabric