共用方式為


Microsoft Fabric 中的 SQL 細微權限

適用於:✅ Microsoft Fabric 中的 SQL 分析端點和倉儲

當指派至工作區角色或透過項目權限授與的預設權限不足時,標準 SQL 建構可用於更細微的控制。

針對 SQL 分析端點和倉儲:

  • 可以使用 GRANTREVOKEDENY T-SQL 語法來管理物件層級安全性。
  • 使用者可以指派至 SQL 角色,包括自訂和內建資料庫角色。

使用者 SQL 細微權限

  • 若要讓使用者連線到資料庫,使用者必須指派至工作區角色,或指派項目 [讀取] 權限。 如果沒有最低的 [讀取] 權限,連線會失敗。
  • 如果您想要在允許使用者連線到倉儲之前設定使用者的細微權限,請先在 SQL 中設定權限。 然後,可以將他們指派至工作區角色或授與其項目權限,以授與存取權。

限制

  • CREATE USER 目前無法明確執行。 執行 或 DENYGRANT,會自動建立使用者。 在提供足夠的工作區層級權限之前,使用者將無法連線。

檢視我的權限

當使用者連線到 SQL 連接字串 時,他們可以使用 sys.fn_my_permissions 函式來檢視可用的權限。

使用者的資料庫範圍權限:

SELECT *
FROM sys.fn_my_permissions(NULL, 'Database');

使用者的結構描述範圍權限:

SELECT *
FROM sys.fn_my_permissions('<schema-name>', 'Schema');

使用者的物件範圍權限:

SELECT *
FROM sys.fn_my_permissions('<schema-name>.<object-name>', 'Object');

檢視明確授與使用者的權限

透過 SQL 連接字串連線時,具有較高權限的使用者可以使用系統檢視表來查詢授與的權限。 這不會顯示透過指派至工作區角色或指派的項目權限而授與使用者的使用者或使用者權限。

SELECT DISTINCT pr.principal_id, pr.name, pr.type_desc, 
 pr.authentication_type_desc, pe.state_desc, pe.permission_name
FROM sys.database_principals AS pr
INNER JOIN sys.database_permissions AS pe
 ON pe.grantee_principal_id = pr.principal_id;

資料保護功能

您可以對 Microsoft Fabric 中的角色和使用者保護倉儲或 SQL 分享端點中資料表上的資料行篩選和述詞型資料列篩選的安全。 您也可以使用動態資料遮罩,透過非系統管理員遮罩敏感資料。