如何:确保 Azure SQL 数据库中 Microsoft Fabric 镜像数据库的数据安全

本指南可帮助在 Microsoft Fabric 中为镜像 Azure SQL 数据库建立数据安全性。

安全要求

  1. 需要启用 Azure SQL 逻辑服务器的系统分配托管标识 (SAMI),并且必须是主要标识。 要进行配置,请转到 Azure 门户中的逻辑 SQL Server。 在“资源”菜单中的“安全性”下,选择“标识”。 然后在“系统分配的托管标识”下,将“状态”设置为“开启”
    • 启用 SAMI 后,如果 SAMI 被禁用或移除,Azure SQL 数据库到 Fabric OneLake 的镜像将失败。
    • 启用 SAMI 后,如果添加用户分配的托管标识 (UAMI),它将成为主要标识,并取代作为主要标识的 SAMI。 这会导致复制失败。 若要解决此问题,请移除 UAMI。
  2. Fabric 需要连接到 Azure SQL 数据库。 为此,请创建一个权限有限的专用数据库用户,以遵循最小特权原则。 创建使用强密码和已连接用户的登录名,或带有强密码的包含的数据库用户。 如需教程,请参阅教程:配置来自 Azure SQL 数据库的 Microsoft Fabric 镜像数据库

重要

在源数据库中建立的任何粒度的安全性,都必须在 Microsoft Fabric 中的镜像数据库中重新配置。 有关详细信息,请参阅 Microsoft Fabric 中的 SQL 粒度权限

数据保护功能

可以将表中的列筛选器和基于谓词的行筛选器固定为 Microsoft Fabric 中的角色和用户:

还可以使用动态数据掩码来屏蔽非管理员的敏感数据: