Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Platí pro:✅ Sklad v Microsoft Fabric
Služba Fabric Data Warehouse poskytuje řešení podnikového datového skladu, které je plně spravované a plně integrované v rámci Microsoft Fabric. Při ukládání citlivých a důležitých obchodních dat ale musíte podniknout kroky k maximalizaci zabezpečení skladů a dat uložených v nich.
Tento článek obsahuje pokyny, jak nejlépe zabezpečit sklad v Microsoft Fabric.
Model přístupu k skladu
Oprávnění Microsoft Fabric a podrobná oprávnění SQL spolupracují na řízení přístupu k skladu a uživatelských oprávnění po připojení.
- Připojení ke skladu závisí na udělení oprávnění Microsoft Fabric Read minimálně pro sklad.
- Oprávnění k položce Microsoft Fabric umožňují uživateli poskytnout oprávnění SQL bez nutnosti udělit tato oprávnění v rámci SQL.
- Role pracovního prostoru Microsoft Fabric poskytují oprávnění Microsoft Fabric pro všechny sklady v rámci pracovního prostoru.
- Podrobná uživatelská oprávnění je možné dále spravovat prostřednictvím T-SQL.
Role pracovního prostoru
Role pracovního prostoru se používají pro spolupráci vývojového týmu v rámci pracovního prostoru. Přiřazení role určuje akce, které jsou uživateli k dispozici, a vztahuje se na všechny položky v pracovním prostoru.
- Přehled rolí pracovního prostoru Microsoft Fabric najdete v tématu Role v pracovních prostorech v Microsoft Fabric.
- Pokyny k přiřazování rolí pracovního prostoru najdete v tématu Udělení přístupu uživatelům k pracovním prostorům.
Podrobnosti o konkrétních možnostech skladu poskytovaných prostřednictvím rolí pracovního prostoru najdete v tématu Role pracovního prostoru v datovém skladu Fabric.
Oprávnění k položce
Na rozdíl od rolí pracovního prostoru, které platí pro všechny položky v pracovním prostoru, je možné oprávnění k položkám přiřadit přímo jednotlivým skladům.
Při udělování oprávnění a členství rolí vždy dodržujte princip zásady nejmenších práv. Při vyhodnocování oprávnění k přiřazení uživateli zvažte následující doprovodné materiály:
- Pokud primárně vyžadují přístup jen pro čtení, přiřaďte je k roli Čtenář a udělte oprávnění ke čtení pro konkrétní objekty prostřednictvím T-SQL. Další informace najdete v tématu Správa podrobných oprávnění SQL.
- Pouze členové týmu, kteří na řešení aktuálně spolupracují, by měli být přiřazeni k rolím v pracovním prostoru, jako jsou Admin, Člen a Přispěvatel, protože tyto role poskytují přístup ke všem položkám v pracovním prostoru.
- Pokud jsou uživatelé s vyššími oprávněními, přiřaďte je k rolím správce, člena nebo přispěvatele. Příslušná role závisí na ostatních akcích, které potřebují provést.
- Ostatním uživatelům, kteří potřebují přístup pouze k jednotlivým skladům nebo vyžadují přístup pouze ke konkrétním objektům SQL, by měli mít udělená oprávnění k položce prostředků infrastruktury a udělený přístup prostřednictvím SQL ke konkrétním objektům.
- Oprávnění ke skupinám Microsoft Entra ID můžete spravovat i místo přidávání jednotlivých konkrétních členů. Další informace naleznete v tématu Ověřování Microsoft Entra jako alternativu k ověřování SQL v Microsoft Fabric.
- Auditujte aktivitu uživatelů ve vašem skladu pomocí protokolů auditu uživatelů.
Další informace o sdílení najdete v tématu Sdílení dat a správa oprávnění.
Podrobné zabezpečení
Role pracovního prostoru a oprávnění k položce poskytují snadný způsob, jak uživateli přiřadit hrubá oprávnění pro celý sklad. V některých případech je však pro uživatele potřeba podrobnější oprávnění. K tomu je možné použít standardní konstrukce T-SQL k poskytování konkrétních oprávnění uživatelům.
Datové sklady Microsoft Fabric podporují několik technologií ochrany dat, které můžou správci použít k ochraně citlivých dat před neoprávněným přístupem. Zabezpečením nebo obfuzením dat před neoprávněnými uživateli nebo rolemi můžou tyto funkce zabezpečení poskytovat ochranu dat v koncovém bodu služby Warehouse i SQL Analytics bez změn aplikací.
- Zabezpečení na úrovni objektů řídí přístup ke konkrétním databázovým objektům.
- Zabezpečení na úrovni sloupců zabraňuje neoprávněnému zobrazení sloupců v tabulkách.
-
Zabezpečení na úrovni řádků brání neoprávněnému zobrazení řádků v tabulkách pomocí známých
WHEREpredikátů filtru klauzulí. - Dynamické maskování dat zabraňuje neoprávněnému zobrazení citlivých dat pomocí masek, aby se zabránilo přístupu k dokončení, jako jsou e-mailové adresy nebo čísla.
Zabezpečení na úrovni objektů
Zabezpečení na úrovni objektů je mechanismus zabezpečení, který řídí přístup ke konkrétním databázovým objektům, jako jsou tabulky, zobrazení nebo procedury, na základě uživatelských oprávnění nebo rolí. Zajišťuje, že uživatelé nebo role můžou pracovat pouze s objekty, pro které mají udělená oprávnění, chránit integritu a důvěrnost schématu databáze a související prostředky a manipulovat s nimi.
Podrobnosti o správě podrobných oprávnění v SQL najdete v tématu Podrobné oprávnění SQL v Microsoft Fabric.
Zabezpečení na úrovni řádků
Zabezpečení na úrovni řádků je funkce zabezpečení databáze, která omezuje přístup k jednotlivým řádkům nebo záznamům v tabulce databáze na základě zadaných kritérií, jako jsou role uživatele nebo atributy. Zajišťuje, že uživatelé můžou zobrazovat nebo manipulovat pouze s daty, která jsou explicitně autorizovaná pro jejich přístup, což zvyšuje ochranu osobních údajů a řízení dat.
Podrobnosti o zabezpečení na úrovni řádků najdete v tématu Zabezpečení na úrovni řádků v datových skladech Fabric.
Zabezpečení na úrovni sloupců
Zabezpečení na úrovni sloupců je míra zabezpečení databáze, která omezuje přístup ke konkrétním sloupcům nebo polím v tabulce databáze, což uživatelům umožňuje zobrazit a pracovat jenom s autorizovanými sloupci a zároveň skrýt citlivé nebo omezené informace. Nabízí jemně odstupňovanou kontrolu nad přístupem k datům a chrání důvěrná data v databázi.
Podrobnosti o zabezpečení na úrovni sloupců najdete v tématu Zabezpečení na úrovni sloupců v datových skladech Prostředků infrastruktury.
Dynamické maskování dat
Dynamické maskování dat pomáhá zabránit neoprávněnému prohlížení citlivých dat tím, že správcům umožňuje určit, kolik citlivých dat se má odhalit, s minimálním účinkem na aplikační vrstvu. Dynamické maskování dat lze nakonfigurovat u určených databázových polí, aby se v sadách výsledků dotazů skryla citlivá data. Při dynamickém maskování dat se data v databázi nezmění, takže je můžete použít s existujícími aplikacemi, protože se na výsledky dotazu použijí pravidla maskování. Mnoho aplikací může maskovat citlivá data beze změny existujících dotazů.
Podrobnosti o dynamickém maskování dat najdete v tématu Dynamické maskování dat v datových skladech Prostředků infrastruktury.
Protokoly auditu uživatelů
Ke sledování aktivity uživatelů ve skladu a koncovém bodu analýzy SQL pro splnění požadavků na dodržování právních předpisů a správy záznamů je sada aktivit auditu přístupná prostřednictvím Microsoft Purview a PowerShellu.
- Protokoly auditu uživatelů můžete použít k identifikaci toho, kdo provádí akci s položkami infrastruktury.
- Začněte tím, že zjistíte, jak nakonfigurovat protokoly auditu SQL ve službě Fabric Data Warehouse (Preview).
- Aktivity uživatelů v Microsoft Fabricu můžete sledovat. Další informace najdete v seznamu operací.
Zabezpečení koncových bodů analytiky SQL
Další informace o zabezpečení v koncovém bodu analýzy SQL najdete v tématu Zabezpečení OneLake pro koncové body analýzy SQL.
Šifrování klíče spravovaného zákazníkem (CMK)
Stav zabezpečení můžete vylepšit pomocí klíčů spravovaných zákazníkem (CMK), abyste měli přímou kontrolu nad šifrovacími klíči, které chrání vaše data a metadata. Když povolíte CMK pro pracovní prostor, který obsahuje datový sklad Fabric, jsou chráněna data OneLake i metadata skladu pomocí šifrovacích klíčů hostovaných ve službě Azure Key Vault. Další informace najdete v tématu Šifrování dat ve Fabric Data Warehouse.