共用方式為


Microsoft Fabric 中 SQL 資料庫中的授權

✅適用於:Microsoft Fabric 中的 SQL 資料庫

本文說明 Fabric 中 SQL 資料庫專案的存取控制。

您可以在兩個層級設定 SQL 資料庫的存取權:

這兩個不同層級的訪問控制會一起運作。

  • 若要 連線 到資料庫,使用者至少 必須具有 Fabric 資料庫專案的 Fabric 讀取許可權。
  • 您可以使用網狀架構訪問控制、SQL 訪問控制或兩者來授與特定功能或數據的存取權。 線上到資料庫的許可權只能授與 Fabric 角色或許可權。
  • 拒絕資料庫中的 存取權(使用 DENY Transact-SQL 語句)一律優先。

注意

Microsoft Purview 保護原則可以增強資料庫使用者的有效許可權。 如果您的組織使用 Microsoft Purview 搭配 Microsoft Fabric,請參閱 使用 Microsoft Purview 保護原則來保護 SQL 資料庫中的敏感數據。

網狀架構訪問控制

在 Fabric 中,您可以使用 Fabric 工作區角色專案許可權來控制存取權。

工作區角色

網狀架構 工作區角色 可讓您管理誰可以在 Microsoft Fabric 工作區中執行哪些動作。

下表擷取 SQL 資料庫特定功能,允許特定工作區角色的成員存取。

功能 系統管理員角色 成員角色 參與者角色 檢視人員角色
完整系統管理存取和完整數據存取 Yes .是 No
讀取數據和元數據 Yes .是 .是 Yes
連線至資料庫 Yes .是 .是 Yes

項目權限

網狀架構 項目許可權 可控制工作區中個別 Fabric 專案的存取權。 不同的 Fabric 項目有不同的權限。 下表列出適用於 SQL 資料庫項目的項目許可權。

權限 功能
讀取 連線至資料庫
ReadData 讀取數據和元數據
ReadAll 直接從 OneLake 檔案讀取鏡像數據
共用 共用專案和管理網狀架構項目許可權
寫入 完整系統管理存取和完整數據存取

授與專案許可權最簡單的方式是將使用者、應用程式或群組新增至 工作區角色。 每個角色的成員資格表示角色成員具有工作區中所有資料庫的許可權子集,如下表所指定。

角色 參閱 ReadAll ReadData 寫入 共用
系統管理員 Yes .是 .是 .是 Yes
成員 Yes .是 .是 .是 Yes
參與者 Yes .是 .是 No
檢視人員 Yes .是 No

共用項目許可權

您也可以透過 Fabric 入口網站中的共用快速動作,為個別資料庫授與 Read、ReadAll 和 ReadData 許可權。 您可以透過 Fabric 入口網站中的管理 許可權快速動作,檢視及管理授與資料庫項目的許可權 。 如需詳細資訊,請參閱 共用 SQL 資料庫和管理許可權

SQL 訪問控制

相較於 Fabric 工作區角色和項目許可權,下列 SQL 概念可允許更細微的訪問控制。

  • 資料庫層級角色。 資料庫層級角色有兩種類型: 資料庫中預先定義的固定資料庫角色 ,以及 您可以建立的使用者定義資料庫角色
    • 您可以管理資料庫層級角色的成員資格,併為網狀架構入口網站中的常見案例定義用戶定義角色。
    • 您也可以使用 Transact-SQL 來管理角色成員資格和角色定義。
      • 若要新增和移除資料庫角色的使用者,請使用 ADD MEMBER ALTER ROLE DROP MEMBER 陳述式的 選項。 若要管理使用者定義角色的定義,請使用 CREATE ROLE、ALTER ROLEDROP ROLE
  • SQL 許可權。 您可以使用 GRANTREVOKEDENY Transact-SQL 語句來管理資料庫使用者或資料庫角色的許可權。
  • 數據列層級安全性 (RLS) 可讓您控制資料表中特定數據列的存取。

如需詳細資訊,請參閱 設定 SQL 資料庫的細微訪問控制。