Microsoft Fabric 中 SQL 資料庫中的授權
✅適用於:Microsoft Fabric 中的 SQL 資料庫
本文說明 Fabric 中 SQL 資料庫專案的存取控制。
您可以在兩個層級設定 SQL 資料庫的存取權:
這兩個不同層級的訪問控制會一起運作。
- 若要 連線 到資料庫,使用者至少 必須具有 Fabric 資料庫專案的 Fabric 讀取許可權。
- 您可以使用網狀架構訪問控制、SQL 訪問控制或兩者來授與特定功能或數據的存取權。 線上到資料庫的許可權只能授與 Fabric 角色或許可權。
- 拒絕資料庫中的 存取權(使用 DENY Transact-SQL 語句)一律優先。
注意
Microsoft Purview 保護原則可以增強資料庫使用者的有效許可權。 如果您的組織使用 Microsoft Purview 搭配 Microsoft Fabric,請參閱 使用 Microsoft Purview 保護原則來保護 SQL 資料庫中的敏感數據。
網狀架構訪問控制
在 Fabric 中,您可以使用 Fabric 工作區角色 和 專案許可權來控制存取權。
工作區角色
網狀架構 工作區角色 可讓您管理誰可以在 Microsoft Fabric 工作區中執行哪些動作。
- 如需工作區角色的概觀,請參閱 工作區中的角色。
- 如需指派工作區角色的指示,請參閱 為使用者提供工作區的存取權。
下表擷取 SQL 資料庫特定功能,允許特定工作區角色的成員存取。
功能 | 系統管理員角色 | 成員角色 | 參與者角色 | 檢視人員角色 |
---|---|---|---|---|
完整系統管理存取和完整數據存取 | Yes | .是 | 是 | No |
讀取數據和元數據 | Yes | .是 | .是 | Yes |
連線至資料庫 | Yes | .是 | .是 | Yes |
項目權限
網狀架構 項目許可權 可控制工作區中個別 Fabric 專案的存取權。 不同的 Fabric 項目有不同的權限。 下表列出適用於 SQL 資料庫項目的項目許可權。
權限 | 功能 |
---|---|
讀取 | 連線至資料庫 |
ReadData | 讀取數據和元數據 |
ReadAll | 直接從 OneLake 檔案讀取鏡像數據 |
共用 | 共用專案和管理網狀架構項目許可權 |
寫入 | 完整系統管理存取和完整數據存取 |
授與專案許可權最簡單的方式是將使用者、應用程式或群組新增至 工作區角色。 每個角色的成員資格表示角色成員具有工作區中所有資料庫的許可權子集,如下表所指定。
角色 | 參閱 | ReadAll | ReadData | 寫入 | 共用 |
---|---|---|---|---|---|
系統管理員 | Yes | .是 | .是 | .是 | Yes |
成員 | Yes | .是 | .是 | .是 | Yes |
參與者 | Yes | .是 | .是 | 是 | No |
檢視人員 | Yes | .是 | 是 | 無 | No |
共用項目許可權
您也可以透過 Fabric 入口網站中的共用快速動作,為個別資料庫授與 Read、ReadAll 和 ReadData 許可權。 您可以透過 Fabric 入口網站中的管理 許可權快速動作,檢視及管理授與資料庫項目的許可權 。 如需詳細資訊,請參閱 共用 SQL 資料庫和管理許可權。
SQL 訪問控制
相較於 Fabric 工作區角色和項目許可權,下列 SQL 概念可允許更細微的訪問控制。
- 資料庫層級角色。 資料庫層級角色有兩種類型: 資料庫中預先定義的固定資料庫角色 ,以及 您可以建立的使用者定義資料庫角色 。
- 您可以管理資料庫層級角色的成員資格,併為網狀架構入口網站中的常見案例定義用戶定義角色。
- 如需詳細資訊,請參閱 從 Fabric 入口網站管理 SQL 資料庫層級角色。
- 您也可以使用 Transact-SQL 來管理角色成員資格和角色定義。
- 若要新增和移除資料庫角色的使用者,請使用
ADD MEMBER
ALTER ROLEDROP MEMBER
陳述式的 和 選項。 若要管理使用者定義角色的定義,請使用 CREATE ROLE、ALTER ROLE 和 DROP ROLE。
- 若要新增和移除資料庫角色的使用者,請使用
- 您可以管理資料庫層級角色的成員資格,併為網狀架構入口網站中的常見案例定義用戶定義角色。
- SQL 許可權。 您可以使用 GRANT、REVOKE 和 DENY Transact-SQL 語句來管理資料庫使用者或資料庫角色的許可權。
- 數據列層級安全性 (RLS) 可讓您控制資料表中特定數據列的存取。
如需詳細資訊,請參閱 設定 SQL 資料庫的細微訪問控制。