Podrobná oprávnění SQL v Microsoft Fabric

Platí pro: Koncový bod sql Analytics a sklad v Microsoft Fabric

Pokud výchozí oprávnění poskytnutá přiřazením k rolím pracovního prostoru nebo uděleným prostřednictvím oprávnění položek nejsou dostatečná, jsou standardní konstrukty SQL k dispozici pro podrobnější řízení.

Pro koncový bod sql Analytics a službu Warehouse:

• Zabezpečení na úrovni objektů je možné spravovat pomocí syntaxe GRANT, REVOKE a DENY T-SQL.
• Uživatelům je možné přiřadit role SQL, a to jak vlastní, tak předdefinované databázové role.

Podrobná oprávnění uživatele

• Aby se uživatel mohl připojit k databázi, musí být uživatel přiřazen k roli pracovního prostoru nebo musí mít přiřazené oprávnění ke čtení položky. Bez oprávnění ke čtení minimálně se připojení nezdaří.
• Pokud chcete nastavit podrobná oprávnění uživatele, než mu povolíte připojení ke skladu, můžete nejprve nastavit oprávnění v rámci SQL. Pak je můžete udělit tak, že je přiřadíte k roli pracovního prostoru nebo udělíte oprávnění k položce.

Omezení

• CREATE USER nelze v současné době explicitně spustit. Při spuštění příkazu GRANT nebo DENY se uživatel vytvoří automaticky. Uživatel se nebude moct připojit, dokud nebudou udělena dostatečná práva na úrovni pracovního prostoru.

Zobrazení mých oprávnění

Když se uživatel připojí k připojovací řetězec SQL, může zobrazit oprávnění, která má k dispozici, pomocí funkce sys.fn_my_permissions.

Oprávnění v oboru databáze uživatele:

SELECT *
FROM sys.fn_my_permissions(NULL, 'Database');

Oprávnění s vymezeným schématem uživatele:

SELECT *
FROM sys.fn_my_permissions('<schema-name>', 'Schema');

Oprávnění uživatele s oborem objektu:

SELECT *
FROM sys.fn_my_permissions('<schema-name>.<object-name>', 'Object');

Zobrazení oprávnění udělených explicitně uživatelům

Při připojení prostřednictvím připojovací řetězec SQL může uživatel se zvýšenými oprávněními dotazovat udělená oprávnění pomocí systémových zobrazení. Nezobrazuje se uživatelům ani uživatelským oprávněním uděleným uživatelům přiřazením k rolím pracovního prostoru nebo přiřazeným oprávněním k položce.

SELECT DISTINCT pr.principal_id, pr.name, pr.type_desc, 
 pr.authentication_type_desc, pe.state_desc, pe.permission_name
FROM sys.database_principals AS pr
INNER JOIN sys.database_permissions AS pe
 ON pe.grantee_principal_id = pr.principal_id;

Funkce ochrany dat

Filtry sloupců a filtry řádků založené na predikátech můžete zabezpečit u tabulek ve skladu nebo koncovém bodu analýzy SQL pro role a uživatele v Microsoft Fabric. Citlivá data můžete také maskovat od jiných správců pomocí dynamického maskování dat.

• Zabezpečení na úrovni řádků v datových skladech Fabric
• Zabezpečení na úrovni sloupců v datových skladech Fabric
• Dynamické maskování dat v datových skladech prostředků infrastruktury

Související obsah

• Zabezpečení datových skladů v Microsoft Fabric
• GRANT, REVOKE a DENY
• Sdílení skladu a správa oprávnění