Microsoft Fabric 中数据仓库的安全性

适用于:✅SQL 分析终结点和 Microsoft Fabric 中的仓库

本文中的安全主题介绍了如何保护 Microsoft Fabric 中的湖屋和仓库的 SQL 分析终结点。

有关 Microsoft Fabric 安全性的信息,请参阅 Microsoft Fabric 中的安全性

如需了解连接 SQL 分析终结点和仓库的信息,请参阅连接

数据仓库访问模型

Microsoft Fabric 权限和精细 SQL 权限共同管理数据仓库访问权限和连接后的用户权限。

  • 数据仓库连接性取决于是否至少获得 Microsoft Fabric 读取权限。
  • Microsoft Fabric 项权限支持向用户提供 SQL 权限,而无需在 SQL 中授予这些权限。
  • Microsoft Fabric 工作区角色为工作区中的所有数据仓库提供 Microsoft Fabric 权限。
  • 可通过 T-SQL 进一步管理精细用户权限。

工作区角色

工作区角色有助于开发团队在工作区中的相互协作。 角色分配确定用户可用的操作,并应用于工作区中的所有项。

有关通过工作区角色提供的特定数据仓库功能的详细信息,请参阅 Fabric 数据仓库中的工作区角色

项权限

与适用于工作区中的所有项的工作区角色不同,项访问权限可直接分配给单个仓库。 用户将获得对该仓库的访问权限。 这些权限的主要目的是为数据仓库的下游使用启用共享。

有关提供给数据仓库的特定权限的详细信息,请参阅共享数据和管理权限

粒度安全性

工作区角色和项权限便于向用户分配整个仓库的大致权限。 但是,在某些情况下,用户需要更精细的权限。 为此,可以使用标准 T-SQL 构造向用户提供特定权限。

Microsoft Fabric 数据仓库支持多种数据保护技术,管理员可以使用这些技术来保护敏感数据免受未经授权的访问。 通过保护或模糊处理未经授权的用户或角色的数据,这些安全功能可以在仓库和 SQL 分析终结点中提供数据保护,而无需更改应用程序。

  • 对象级安全性控制对特定数据库对象的访问。
  • 列级安全性可防止未经授权的查看表中的列。
  • 行级安全性可防止使用熟悉的 WHERE 子句筛选器谓词在表中未经授权地查看行。
  • 动态数据掩码通过使用掩码防止未经授权的查看敏感数据,以防止访问完成,例如电子邮件地址或数字。

对象级安全性

对象级安全性是一种安全机制,可基于用户权限或角色控制对特定数据库对象(例如表、视图或过程)的访问。 它确保用户或角色只能与被授予权限的对象进行交互和操作,从而保护数据库架构及其关联资源的完整性和机密性。

有关在 SQL 中管理精细权限的详细信息,请参阅 SQL 精细权限

行级别安全性

行级安全性是一项数据库安全功能,可基于指定的条件(例如用户角色或属性)限制对数据库表中单个行或记录的访问。 它确保用户只能查看或操作显式授权其访问的数据,从而增强数据隐私和控制。

有关行级安全性的详细信息,请参阅 Fabric 数据仓库中的行级安全性

列级别安全功能

列级安全性是一项数据库安全措施,可限制对数据库表中特定列或字段的访问,允许用户仅查看授权列并与之交互,同时隐藏敏感或受限信息。 它提供对数据访问的精细控制,从而保护数据库中的机密数据。

有关列级安全性的详细信息,请参阅 Fabric 数据仓库中的列级安全性

动态数据屏蔽

动态数据掩码有助于防止未经授权的查看敏感数据,使管理员能够指定要透露的敏感数据量,对应用程序层的影响最小。 可以在指定的数据库字段上配置动态数据掩码,在查询结果集中隐藏敏感数据。 使用动态数据掩码时,数据库中的数据不会更改,因此它可用于现有应用程序,因为屏蔽规则应用于查询结果。 许多应用程序可以屏蔽敏感数据,而无需修改现有查询。

有关动态数据掩码的详细信息,请参阅 Fabric 数据仓库中的动态数据掩码

共享数据仓库

共享是为用户提供对你的仓库的读取访问权限以供下游使用的便捷方式。 共享使组织中的下游用户可以通过 SQL、Spark 或 Power BI 使用仓库。 可以自定义向共享对象授予的权限级别,提供适当的访问级别。

有关共享的详细信息,请参阅共享数据和管理权限

有关用户访问的指导

评估分配给用户的权限时,请考虑以下指南:

  • 只有当前正在协作处理解决方案的团队成员才需要分配工作区角色(管理员、成员、参与者),因为这样他们才能访问工作区中的所有项。
  • 如果他们主要需要的只读访问权限,请向他们分配“查看者”角色,并通过 T-SQL 授予对特定对象的读取访问权限。 有关详细信息,请参阅管理 SQL 精细权限
  • 如果他们是较高特权用户,请向其分配“管理员”、“成员”或“参与者”角色。 根据他们需要执行的其他操作再分配合适的角色。
  • 对于仅需要访问单个数据仓库或特定 SQL 对象的其他用户,应向其分配“Fabric 项”权限,并通过 SQL 授予对特定对象的访问权限。
  • 还可以管理对 Microsoft Entra ID(前 Azure Active Directory)组的权限,而不是添加每个特定成员。 有关详细信息,请参阅 Microsoft Entra 身份验证作为 Microsoft Fabric 中 SQL 身份验证的替代方法

用户审核日志

要跟踪仓库和 SQL 分析终结点中的用户活动以满足法规合规性和记录管理要求,可通过 Microsoft Purview 和 PowerShell 访问一组审核活动。 可以使用用户审核日志来确定哪些人正在对 Fabric 项执行哪些操作。

有关如何访问用户审核日志的详细信息,请参阅跟踪 Azure Fabric 中的用户活动操作列表