Sdílet prostřednictvím

Sdílení dat a správa oprávnění

Platí pro:Warehouse a Zrcadlené databáze v Microsoft Fabric

Sdílení je pohodlný způsob, jak uživatelům poskytnout přístup k prohlížení vašich dat pro jejich další využití. Sdílení umožňuje podřízeným uživatelům ve vaší organizaci využívat sklad pomocí T-SQL, Sparku nebo Power BI. Můžete přizpůsobit úroveň oprávnění, která je sdílenému příjemci udělena, a poskytnout tak odpovídající úroveň přístupu.

Poznámka:

Abyste mohli sdílet položku v Microsoft Fabric, musíte být ve svém pracovním prostoru správcem nebo členem.

Začínáme

Po identifikaci položky Sklad, kterou chcete sdílet s jiným uživatelem ve vašem pracovním prostoru Prostředky infrastruktury, vyberte na řádku možnost rychlé akce sdílet.

Následující animovaný gif zkontroluje kroky k výběru skladu, který chcete sdílet, vyberte oprávnění k přiřazení a nakonec udělte oprávnění jinému uživateli.

Sdílení skladu

  1. Svá datová úložiště můžete sdílet z položky OneLake nebo Warehouse tak, že zvolíte Sdílet z rychlé akce, jak ukazuje následující obrázek.

  2. Zobrazí se výzva s možnostmi, jak vybrat, s kým chcete sdílet sklad, jaká oprávnění jim udělit a jestli budou upozorněni e-mailem.

  3. Vyplňte všechna povinná pole a vyberte Udělit přístup.

  4. Když sdílený příjemce obdrží e-mail, může vybrat Otevřít a přejít na stránku katalogu Warehouse OneLake.

    Snímek obrazovky zobrazující e-mailové oznámení sdíleného uživatele sdíleného skladu

  5. V závislosti na úrovni přístupu sdíleného příjemce se teď může sdílený příjemce připojit ke koncovému bodu analýzy SQL, dotazovat se na sklad nebo číst data přes Spark.

Role zabezpečení prostředí sítě

Tady je další podrobnosti o jednotlivých zadaných oprávněních:

  • Pokud nejsou vybrána žádná další oprávnění – Sdílený příjemce ve výchozím nastavení obdrží oprávnění Číst, což příjemci umožňuje připojit se pouze ke koncovému bodu analýzy SQL, což je ekvivalent oprávnění CONNECT na SQL Serveru. Sdílený příjemce nebude moct zadávat dotazy na žádnou tabulku ani zobrazit ani spustit žádnou funkci nebo uloženou proceduru, pokud jim není poskytnut přístup k objektům v rámci skladu pomocí příkazu T-SQL GRANT .

    Tip

    ReadData (používaný skladem pro oprávnění T-SQL) a ReadAll (používaný OneLakem a koncovým bodem analýzy SQL) jsou samostatná oprávnění, která se nepřekrývají.

  • Je vybrána možnost Číst všechna data pomocí SQL (oprávnění ReadData) – Sdílený příjemce může číst všechny tabulky a pohledy ve Warehouse v režimu jen pro čtení. Sdílený příjemce se také může rozhodnout zkopírovat zadaný koncový bod analýzy SQL a připojit se ke klientskému nástroji pro spuštění těchto dotazů. ReadData je ekvivalentem role db_datareader v SQL Serveru. Pokud chcete dále omezit a poskytnout podrobný přístup k některým objektům v rámci skladu, můžete to provést pomocí příkazů T-SQLGRANT/REVOKE/DENY.

    • V koncovém bodu analýzy SQL ve službě Lakehouse je "Čtení všech dat koncového bodu SQL" ekvivalentní hodnotě Čtení všech dat pomocí SQL.

  • "Číst všechna data pomocí Apache Spark" je vybráno (oprávnění ReadAll) – Sdílenému příjemci by mělo být poskytnuto pouze ReadAll, pokud chce úplný přístup k souborům vašeho skladu pomocí modulu Spark. Sdílený příjemce s oprávněními ReadAll může najít cestu systému souborů Azure Blob (ABFS) ke konkrétnímu souboru v OneLake z podokna Vlastnosti v editoru skladu. Sdílený příjemce pak může tuto cestu použít v poznámkovém bloku Sparku ke čtení těchto dat. Příjemce se může také přihlásit k odběru událostí OneLake, které jsou pro datový sklad generovány v centru Real Time Hub.

    • Přihlášení k odběru událostí (oprávnění SubscribeOneLakeEvents) – Sdílený příjemce s tímto oprávněním se může přihlásit k odběru událostí OneLake vygenerovaných pro sklad ve službě Fabric Real-Time Hub.

    Uživatel s oprávněním ReadAll může například dotazovat data v FactSale dotazu Spark v novém poznámkovém bloku.

  • Monitor – Uživatelé s oprávněním Monitor můžou dotazovat zobrazení dynamické správy (DMV), jako je text dotazu, systémová připojení, relace a zobrazení Přehledy. Toto oprávnění se obvykle vyžaduje pro provozní monitorování, řešení potíží a analýzu výkonu.

  • Audit – Uživatelé s oprávněním Audit můžou povolit, konfigurovat a dotazovat protokoly auditu. S tímto oprávněním můžou uživatelé přistupovat k datům auditování a kontrolovat historii aktivit, monitorovat dodržování předpisů a podporovat šetření zabezpečení.

Spravovat oprávnění

Na stránce Spravovat oprávnění se zobrazí seznam uživatelů, kterým byl udělen přístup, buď přiřazením k rolím pracovního prostoru, nebo oprávněním k položce.

Pokud jste členem rolí správce nebo člena pracovního prostoru, přejděte do svého pracovního prostoru a vyberte Další možnosti. Pak vyberte Spravovat oprávnění.

Snímek obrazovky s výběrem možnosti Spravovat oprávnění v místní nabídce skladu

U uživatelů, kteří měli k dispozici role pracovního prostoru, uvidíte odpovídajícího uživatele, roli pracovního prostoru a oprávnění.

Snímek obrazovky se stránkou Spravovat oprávnění skladu na portálu Fabric

Následující tabulka uvádí, která oprávnění má každá role ve výchozím nastavení a jestli je oprávnění sdílená.

Povolení Je ve výchozím nastavení přiřazeno Sdíletelný
Číst Administrátor, Člen, Přispěvatel, Divák Ano
ReadData Administrátor, Člen, Přispěvatel, Divák Ano
Číst vše Správce, člen, přispěvatel Ano
Pište Správce, člen, přispěvatel Ne
Obrazovka Správce, člen, přispěvatel Není k dispozici – nedá se udělit samostatně
Audit Administrátor Není k dispozici – nedá se udělit samostatně
Sdílet znovu Správce, člen Není k dispozici – nedá se udělit samostatně
Obnovit Administrátor Ne

Oprávnění můžete přidat nebo odebrat pomocí možnosti Spravovat oprávnění:

  • Odebrání přístupu odebere všechna oprávnění k položce.
  • Odebrat ReadData odebere oprávnění ReadData.
  • Odstranění ReadAll odstraní oprávnění ReadAll.

Snímek obrazovky znázorňující uživatele, který odebírá oprávnění ReadAll sdíleného příjemce

Funkce ochrany dat

Datové sklady Microsoft Fabric podporují několik technologií, které můžou správci použít k ochraně citlivých dat před neoprávněným prohlížením. Zabezpečením nebo obfuzením dat před neoprávněnými uživateli nebo rolemi můžou tyto funkce zabezpečení poskytovat ochranu dat v koncovém bodu služby Warehouse i SQL Analytics bez změn aplikací.

  • Zabezpečení na úrovni sloupců zabraňuje neoprávněnému zobrazení sloupců v tabulkách.
  • Zabezpečení na úrovni řádků brání neoprávněnému zobrazení řádků v tabulkách pomocí známých WHERE predikátů filtru klauzulí.
  • Dynamické maskování dat zabraňuje neoprávněnému zobrazení citlivých údajů tím, že skryje klíčové informace, jako jsou e-mailové adresy nebo čísla.

Omezení

  • Pokud zadáte oprávnění k položce nebo odeberete uživatele, kteří už oprávnění měli, může šíření oprávnění trvat až dvě hodiny. Nová oprávnění jsou okamžitě viditelná v Spravovat oprávnění. Znovu se přihlaste, abyste měli jistotu, že se oprávnění projeví v koncovém bodu analýzy SQL.
  • Sdílené příjemce mají přístup k skladu pomocí identity vlastníka (delegovaný režim). Ujistěte se, že vlastníka skladu neodstraníte z pracovního prostoru.
  • Sdílení příjemci mají přístup pouze ke skladu, který obdrží, a ne k žádným dalším položkám ve stejném pracovním prostoru jako sklad. Pokud chcete ostatním uživatelům ve svém týmu poskytnout oprávnění ke spolupráci na skladu (přístup pro čtení a zápis), přidejte je jako role v pracovním prostoru, jako Člen nebo Přispěvatel.
  • Když v současné době sdílíte sklad a zvolíte Možnost Číst všechna data pomocí SQL, bude mít sdílený příjemce přístup k editoru skladu v režimu jen pro čtení. Tito sdílení příjemci mohou vytvářet dotazy, ale v současné době nemůžou ukládat své dotazy.
  • Sdílení skladu je v současné době dostupné jenom prostřednictvím uživatelského prostředí.
  • Pokud chcete poskytnout podrobný přístup ke konkrétním objektům v rámci skladu, sdílejte sklad bez dalších oprávnění a pak pomocí příkazu T-SQL GRANT poskytněte podrobný přístup ke konkrétním objektům. Další informace naleznete v tématu Syntaxe T-SQL pro GRANT, REVOKE a DENY.
  • Je-li v dialogovém okně sdílení zakázáno oprávnění ReadAll a oprávnění ReadData, aktualizujte stránku.
  • Sdílené příjemce nemají oprávnění k opětovnému sdílení skladu.
  • Pokud se sestava založená na datovém skladu sdílí s jiným příjemcem, příjemce, se kterým se sdílí, potřebuje pro přístup k sestavě více oprávnění. To závisí na režimu přístupu k sémantickému modelu pomocí Power BI:
    • Pokud se k němu přistupuje prostřednictvím režimu přímého dotazu, musí se službě Warehouse poskytnout oprávnění ReadData (nebo podrobná oprávnění SQL ke konkrétním tabulkám a zobrazením).
    • Pokud se k němu přistupuje prostřednictvím režimu Direct Lake, je potřeba poskytnout oprávnění ReadData (nebo podrobná oprávnění ke konkrétním tabulkám či zobrazením) do datového skladu. Režim Direct Lake je výchozím typem připojení pro sémantické modely, které jako zdroj dat používají koncový bod služby Warehouse nebo SQL Analytics. Další informace najdete v režimu Direct Lake.
    • Pokud se k němu přistupuje prostřednictvím režimu importu, nepotřebujete žádná další oprávnění.
    • V současné době není podporováno sdílení skladu přímo s identifikátorem SPN (hlavní název služby).
  • Dialogové okno sdílení pro sklady poskytuje možnost přihlásit se k odběru událostí OneLake. V současné době se oprávnění k odběru událostí OneLake uděluje spolu s oprávněním ke čtení všech dat v Apache Spark.

Související obsah

  • Last updated on