如何保护对安全访问数据目录和数据资产的访问
重要
此功能仅在 Azure 数据目录标准版中可用。
借助 Azure 数据目录,用户可指定有权访问数据目录的人员,以及他们可对目录中的元数据执行的操作(注册、批注、取得所有权)。
目录用户和权限
为用户或组授予对数据目录的访问权并设置权限:
在数据目录主页的工具栏上,选择“设置”。
在设置页面中,展开“目录用户”部分。
选择 添加 。
在与目录关联的 Microsoft Entra ID 中输入完全限定的用户名或安全组名称。 若要添加多个用户或组,请使用逗号(“,”)作为分隔符。
在文本框外按 Enter 或 Tab。
请确认默认情况下为用户或组分配了所有权限(“批注”、“注册”和“取得所有权”)。 即:用户或组可以注册数据资产、批注数据资产和取得数据资产的所有权。
若仅向用户或组授予对目录的读取访问权限,请清除该用户或组对应的“批注”选项。 现在,用户或组无法对目录中的数据资产进行批注,但可以查看它们。
若要拒绝用户或组注册数据资产,请清除该用户或组对应的“注册”选项。
若要拒绝用户取得数据资产的所有权,请清除该用户或组对应的“取得所有权”选项。
若要从目录用户中删除用户/组,请在列表底部选择该用户/组对应的 x。
重要
建议向目录用户添加安全组,而不是直接添加用户和分配权限。 然后将用户添加到与其角色和所需目录访问权限匹配的安全组。
特殊注意事项
- 分配给安全组的权限是累加式的。 例如:用户位于两个组中。 一个组具有批注权限,另一个组没有批注权限。 则该用户具有批注权限。
- 向用户显式分配的权限会替代分配给用户所属组的权限。 例如:用户位于具有批注权限的组中。 如果将用户显式添加到目录用户,并且未分配批注权限,则用户无法批注数据资产。 用户的显式权限将替代组权限。