Sdílení skladu a správa oprávnění

  • Článek

Platí pro:Warehouse a Zrcadlené databáze v Microsoft Fabric

Sdílení je pohodlný způsob, jak uživatelům poskytnout přístup ke čtení vašeho skladu pro příjem dat. Sdílení umožňuje podřízeným uživatelům ve vaší organizaci využívat sklad pomocí SQL, Sparku nebo Power BI. Můžete přizpůsobit úroveň oprávnění, která je sdílenému příjemci udělena, a poskytnout tak odpovídající úroveň přístupu.

Poznámka:

Abyste mohli sdílet sklad v Microsoft Fabric, musíte být ve svém pracovním prostoru správcem nebo členem.

Začínáme

Po identifikaci skladu, který chcete sdílet s jiným uživatelem v pracovním prostoru Prostředky infrastruktury, vyberte rychlou akci na řádku pro sdílení skladu.

Následující animovaný gif zkontroluje kroky k výběru skladu, který chcete sdílet, vyberte oprávnění k přiřazení a nakonec udělte oprávnění jinému uživateli.

Animovaný gif znázorňující interakci s portálem Fabric, kde uživatel sdílí sklad v Microsoft Fabric s jiným uživatelem

Sklad můžete sdílet z datového centra OneLake nebo položky Skladu tak, že zvolíte Možnost Sdílet z rychlé akce, jak je zvýrazněno na následujícím obrázku.

Snímek obrazovky znázorňující, jak sdílet sklad na stránce datového centra OneLake

Sdílení skladu

Zobrazí se výzva, abyste vybrali, s kým chcete sdílet sklad, s jakým oprávněním je chcete udělit a jestli budou upozorněni e-mailem. Po vyplnění všech požadovaných polí vyberte Udělit přístup.

Tady je další podrobnosti o jednotlivých zadaných oprávněních:

  • Pokud nejsou vybrána žádná další oprávnění – Sdílený příjemce ve výchozím nastavení obdrží oprávnění Číst, což příjemci umožňuje připojit se pouze ke koncovému bodu analýzy SQL, což je ekvivalent oprávnění CONNECT na SQL Serveru. Sdílený příjemce nebude moct dotazovat žádnou tabulku nebo zobrazit nebo spustit žádnou funkci nebo uloženou proceduru, pokud jim není poskytnut přístup k objektům v rámci skladu pomocí příkazu T-SQL GRANT .

Poznámka:

ReadData, ReadAll a Build jsou samostatná oprávnění, která se nepřekrývají.

  • Je vybrána možnost Číst všechna data pomocí SQL (oprávnění ReadData) – Sdílený příjemce může číst všechny databázové objekty v rámci skladu. ReadData je ekvivalentem role db_datareader v SQL Serveru. Sdílený příjemce může číst data ze všech tabulek a zobrazení v rámci skladu. Pokud chcete dále omezit a poskytnout podrobný přístup k některým objektům v rámci skladu, můžete to provést pomocí příkazů T-SQL GRANT/REVOKE/DENY.

    • V koncovém bodu analýzy SQL ve službě Lakehouse je "Čtení všech dat koncového bodu SQL" ekvivalentní hodnotě Čtení všech dat pomocí SQL.

  • Je vybrána možnost Číst všechna data pomocí Apache Sparku (oprávnění ReadAll) – Sdílený příjemce má přístup pro čtení k podkladovým souborům parquet ve OneLake, které je možné využívat pomocí Sparku. Funkci ReadAll byste měli poskytnout jenom v případě, že sdílený příjemce chce úplný přístup k souborům vašeho skladu pomocí modulu Spark.

  • Zaškrtávací políčko Vytvořit sestavy pro výchozí datovou sadu je zaškrtnuté (oprávnění Sestavení) – Sdílený příjemce může vytvářet sestavy nad výchozím sémantickým modelem, který je připojený k vašemu skladu. Sestavení by se mělo poskytnout, pokud sdílený příjemce chce mít oprávnění k sestavení výchozího sémantického modelu, aby vytvořil sestavy Power BI pro tato data. Ve výchozím nastavení je zaškrtnuté políčko Sestavení, ale můžete ho zrušit.

Když sdílený příjemce obdrží e-mail, může vybrat Otevřít a přejít na stránku Datového centra skladu.

Snímek obrazovky zobrazující e-mailové oznámení sdíleného uživatele sdíleného skladu

V závislosti na úrovni přístupu sdíleného příjemce se teď může sdílený příjemce připojit ke koncovému bodu analýzy SQL, dotazovat se na Sklad, sestavovat sestavy nebo číst data prostřednictvím Sparku.

Snímek obrazovky z portálu Fabric s stránkou Zobrazit, co už existuje, ve sdíleném skladu

Oprávnění ReadData

S oprávněními ReadData může sdílený příjemce otevřít editor skladu v režimu jen pro čtení a dotazovat se na tabulky a zobrazení v rámci skladu. Sdílený příjemce se také může rozhodnout zkopírovat zadaný koncový bod analýzy SQL a připojit se ke klientskému nástroji pro spuštění těchto dotazů.

Například na následujícím snímku obrazovky může uživatel s oprávněními ReadData dotazovat sklad.

Snímek obrazovky s portálem Fabric zobrazte, že uživatel může dotazovat sdílený sklad.

Oprávnění ReadAll

Sdílený příjemce s oprávněními ReadAll může najít cestu systému souborů Azure Blob (ABFS) ke konkrétnímu souboru v OneLake z podokna Vlastnosti v editoru skladu. Sdílený příjemce pak může tuto cestu použít v poznámkovém bloku Sparku ke čtení těchto dat.

Například na následujícím snímku obrazovky může uživatel s oprávněním ReadAll dotazovat data v FactSale dotazu Spark v novém poznámkovém bloku.

Snímek obrazovky z portálu Fabric, kde uživatel otevře poznámkový blok Sparku pro dotaz na zástupce skladu

Oprávnění k sestavení

S oprávněními k sestavení může sdílený příjemce vytvářet sestavy nad výchozím sémantickým modelem, který je připojený ke skladu. Sdílený příjemce může vytvářet sestavy Power BI z datového centra nebo také provádět totéž pomocí Power BI Desktopu.

Například na následujícím snímku obrazovky s oprávněním k sestavení může uživatel s oprávněním k sestavení začít automaticky vytvářet sestavu Power BI založenou na sdíleném skladu.

Snímek obrazovky znázorňující interakci s portálem Fabric, kde uživatel může automaticky vytvořit sestavu ve sdíleném skladu

Spravovat oprávnění

Na stránce Spravovat oprávnění se zobrazí seznam uživatelů, kterým byl udělen přístup, buď přiřazením k rolím pracovního prostoru, nebo oprávněním k položce.

Pokud jste Správa nebo člen, přejděte do svého pracovního prostoru a vyberte Další možnosti. Pak vyberte Spravovat oprávnění.

Snímek obrazovky s výběrem možnosti Spravovat oprávnění v místní nabídce skladu

U uživatelů, kteří měli k dispozici role pracovního prostoru, se zobrazí odpovídající uživatel, role a oprávnění pracovního prostoru. Správa mají členové a přispěvatelé přístup pro čtení a zápis k položkám v tomto pracovním prostoru. Čtenáři mají oprávnění ReadData a můžou dotazovat všechny tabulky a zobrazení v rámci skladu v daném pracovním prostoru. Uživatelům lze poskytnout oprávnění Ke čtení, ČteníData a ReadAll .

Snímek obrazovky se stránkou Spravovat oprávnění skladu na portálu Fabric

Oprávnění můžete přidat nebo odebrat pomocí možnosti Spravovat oprávnění:

  • Odebrání přístupu odebere všechna oprávnění k položce.
  • Odebrání ReadData odebere oprávnění ReadData.
  • Odebrání readAll odebere oprávnění ReadAll .
  • Odebrání sestavení odebere oprávnění k sestavení u odpovídajícího výchozího sémantického modelu.

Snímek obrazovky znázorňující uživatele, který odebírá oprávnění ReadAll sdíleného příjemce

Omezení

  • Pokud zadáte oprávnění k položce nebo odeberete uživatele, kteří už oprávnění měli, může šíření oprávnění trvat až dvě hodiny. Nová oprávnění se okamžitě projeví v části Spravovat oprávnění. Znovu se přihlaste, abyste měli jistotu, že se oprávnění projeví v koncovém bodu analýzy SQL.
  • Sdílené příjemce mají přístup k skladu pomocí identity vlastníka (delegovaný režim). Ujistěte se, že vlastník skladu není z pracovního prostoru odebrán.
  • Sdílené příjemce mají přístup pouze k skladu, který obdrží, a ne k žádným dalším položkám ve stejném pracovním prostoru jako Sklad. Pokud chcete ostatním uživatelům ve vašem týmu poskytnout oprávnění ke spolupráci na skladu (přístup pro čtení a zápis), přidejte je jako role pracovního prostoru, například Člen nebo Přispěvatel.
  • Když v současné době sdílíte sklad a zvolíte Možnost Číst všechna data pomocí SQL, bude mít sdílený příjemce přístup k editoru skladu v režimu jen pro čtení. Tito sdílení příjemci mohou vytvářet dotazy, ale v současné době nemůžou ukládat své dotazy.
  • Sdílení skladu je v současné době dostupné jenom prostřednictvím uživatelského prostředí.
  • Pokud chcete poskytnout podrobný přístup ke konkrétním objektům v rámci skladu, sdílejte sklad bez dalších oprávnění a pak pomocí příkazu T-SQL GRANT poskytněte podrobný přístup ke konkrétním objektům. Další informace naleznete v tématu Syntaxe T-SQL pro GRANT, REVOKE a DENY.
  • Pokud se v dialogovém okně sdílení zobrazí oprávnění ReadAll a oprávnění ReadData , aktualizujte stránku.
  • Sdílené příjemce nemají oprávnění k opětovnému sdílení skladu.
  • Pokud se sestava založená na skladu sdílí s jiným příjemcem, potřebuje sdílený příjemce pro přístup k sestavě více oprávnění. To závisí na režimu přístupu k sémantickému modelu pomocí Power BI:
    • Pokud se k němu přistupuje prostřednictvím režimu přímého dotazu, musí se službě Warehouse poskytnout oprávnění ReadData (nebo podrobná oprávnění SQL ke konkrétním tabulkám a zobrazením).
    • Pokud se k němu přistupuje prostřednictvím režimu Direct Lake, musí se do skladu poskytnout oprávnění ReadData (nebo podrobná oprávnění ke konkrétním tabulkám nebo zobrazením). Režim Direct Lake je výchozím typem připojení pro sémantické modely, které jako zdroj dat používají koncový bod služby Warehouse nebo SQL Analytics. Další informace najdete v režimu Direct Lake.
    • Pokud se k němu přistupuje prostřednictvím režimu importu, nepotřebujete žádná další oprávnění.
    • Sdílení skladu přímo s hlavním název služby (SPN) se v současné době nepodporuje.

Funkce ochrany dat

Datové sklady Microsoft Fabric podporují několik technologií, které můžou správci použít k ochraně citlivých dat před neoprávněným prohlížením. Zabezpečením nebo obfuzením dat před neoprávněnými uživateli nebo rolemi můžou tyto funkce zabezpečení poskytovat ochranu dat v koncovém bodu služby Warehouse i SQL Analytics bez změn aplikací.

  • Zabezpečení na úrovni sloupců zabraňuje neoprávněnému zobrazení sloupců v tabulkách.
  • Zabezpečení na úrovni řádků brání neoprávněnému zobrazení řádků v tabulkách pomocí známých WHERE predikátů filtru klauzulí.
  • Dynamické maskování dat zabraňuje neoprávněnému zobrazení citlivých dat pomocí masek, aby se zabránilo přístupu k dokončení, jako jsou e-mailové adresy nebo čísla.

Související obsah