Sikkerhed i forbindelse med datawarehousing i Microsoft Fabric

  • Artikel

Gælder for: SQL Analytics-slutpunkt og warehouse i Microsoft Fabric

I denne artikel beskrives sikkerhedsemner til sikring af SQL Analytics-slutpunktet for lakehouse og Warehouse i Microsoft Fabric.

Du kan få oplysninger om Microsoft Fabric-sikkerhed under Sikkerhed i Microsoft Fabric.

Du kan finde oplysninger om, hvordan du opretter forbindelse til SQL Analytics-slutpunktet og Warehouse, under Forbind ivity.

Lageradgangsmodel

Microsoft Fabric-tilladelser og detaljerede SQL-tilladelser arbejder sammen for at styre lageradgangen og brugertilladelserne, når de er forbundet.

  • Lagerforbindelsen er afhængig af, at der som minimum tildeles tilladelsen Microsoft Fabric Read til lageret.
  • Microsoft Fabric-elementtilladelser gør det muligt at give en bruger SQL-tilladelser uden at skulle tildele disse tilladelser i SQL.
  • Microsoft Fabric-arbejdsområderoller giver Microsoft Fabric-tilladelser til alle lagre i et arbejdsområde.
  • Detaljerede brugertilladelser kan administreres yderligere via T-SQL.

Arbejdsområderoller

Arbejdsområderoller bruges til samarbejde mellem udviklingsteams i et arbejdsområde. Rolletildeling bestemmer de handlinger, der er tilgængelige for brugeren, og gælder for alle elementer i arbejdsområdet.

  • Du kan få en oversigt over Microsoft Fabric-arbejdsområderoller under Roller i arbejdsområder.
  • Du kan finde oplysninger om tildeling af arbejdsområderoller under Giv adgang til arbejdsområdet.

Du kan finde flere oplysninger om de specifikke lagerfunktioner, der leveres via arbejdsområderoller, under Arbejdsområderoller i Fabric-datawarehousing.

Elementtilladelser

I modsætning til arbejdsområderoller, der gælder for alle elementer i et arbejdsområde, kan elementtilladelser tildeles direkte til individuelle lagre. Brugeren modtager den tildelte tilladelse for det enkelte lager. Det primære formål med disse tilladelser er at aktivere deling for downstreamforbrug af lageret.

Du kan finde oplysninger om de specifikke tilladelser, der er angivet for lagre, under Del dit lager, og administrer tilladelser.

Detaljeret sikkerhed

Arbejdsområderoller og elementtilladelser gør det nemt at tildele grove tilladelser til en bruger for hele lageret. I nogle tilfælde er der dog brug for mere detaljerede tilladelser for en bruger. For at opnå dette kan standard-T-SQL-konstruktioner bruges til at give specifikke tilladelser til brugerne.

Microsoft Fabric-datawarehousing understøtter flere databeskyttelsesteknologier, som administratorer kan bruge til at beskytte følsomme data mod uautoriseret adgang. Ved at beskytte eller sløre data fra uautoriserede brugere eller roller kan disse sikkerhedsfunktioner give databeskyttelse i både et Warehouse- og SQL Analytics-slutpunkt uden programændringer.

  • Sikkerhed på objektniveau styrer adgangen til bestemte databaseobjekter.
  • Sikkerhed på kolonneniveau forhindrer uautoriseret visning af kolonner i tabeller.
  • Sikkerhed på rækkeniveau forhindrer uautoriseret visning af rækker i tabeller ved hjælp af velkendte WHERE prædikater for delsætningsfilter.
  • Dynamisk datamaskering forhindrer uautoriseret visning af følsomme data ved hjælp af masker for at forhindre adgang til fuldførelse, f.eks. mailadresser eller tal.

Sikkerhed på objektniveau

Sikkerhed på objektniveau er en sikkerhedsmekanisme, der styrer adgangen til bestemte databaseobjekter, f.eks. tabeller, visninger eller procedurer, baseret på brugerrettigheder eller roller. Det sikrer, at brugere eller roller kun kan interagere med og manipulere de objekter, de har fået tildelt tilladelser til, og beskytte integriteten og fortroligheden af databaseskemaet og dets tilknyttede ressourcer.

Du kan finde flere oplysninger om administration af detaljerede tilladelser i SQL under SQL-detaljerede tilladelser.

Sikkerhed på rækkeniveau

Sikkerhed på rækkeniveau er en databasesikkerhedsfunktion, der begrænser adgangen til individuelle rækker eller poster i en databasetabel baseret på angivne kriterier, f.eks. brugerroller eller attributter. Det sikrer, at brugerne kun kan få vist eller manipulere data, der udtrykkeligt er godkendt til deres adgang, hvilket forbedrer beskyttelse af personlige oplysninger og kontrol.

Du kan finde flere oplysninger om sikkerhed på rækkeniveau under Sikkerhed på rækkeniveau i Fabric-datawarehousing.

Sikkerhed på kolonneniveau

Sikkerhed på kolonneniveau er en databasesikkerhedsmåling, der begrænser adgangen til bestemte kolonner eller felter i en databasetabel, så brugerne kun kan se og interagere med de godkendte kolonner, samtidig med at følsomme eller begrænsede oplysninger skjules. Det giver detaljeret kontrol over dataadgang og beskytter fortrolige data i en database.

Du kan finde flere oplysninger om sikkerhed på kolonneniveau under Sikkerhed på kolonneniveau i Fabric-datawarehousing.

Dynamic Data Masking

Dynamisk datamaskering hjælper med at forhindre uautoriseret visning af følsomme data ved at gøre det muligt for administratorer at angive, hvor mange følsomme data der skal vises, med minimal effekt på programlaget. Dynamisk datamaskering kan konfigureres på angivne databasefelter for at skjule følsomme data i resultatsæt af forespørgsler. Med dynamisk datamaskering ændres dataene i databasen ikke, så de kan bruges sammen med eksisterende programmer, da der anvendes maskeringsregler for forespørgselsresultater. Mange programmer kan maskere følsomme data uden at ændre eksisterende forespørgsler.

Du kan finde flere oplysninger om dynamisk datamaskering under Dynamisk datamaskering i Fabric-datawarehousing.

Del et lager

Deling er en nem måde at give brugerne læseadgang til dit lager til downstreamforbrug. Deling gør det muligt for downstreambrugere i din organisation at forbruge et lager ved hjælp af SQL, Spark eller Power BI. Du kan tilpasse det tilladelsesniveau, som den delte modtager tildeles for at give det relevante adgangsniveau.

Du kan få flere oplysninger om deling under Sådan deler du dit lager og administrerer tilladelser.

Vejledning til brugeradgang

Når du evaluerer de tilladelser, der skal tildeles til en bruger, skal du overveje følgende vejledning:

  • Det er kun teammedlemmer, der i øjeblikket samarbejder om løsningen, der skal tildeles til arbejdsområderoller (Administration, Medlem, Bidragyder), da det giver dem adgang til alle elementer i arbejdsområdet.
  • Hvis de primært kræver skrivebeskyttet adgang, skal du tildele dem rollen Læser og give læseadgang til bestemte objekter via T-SQL. Du kan finde flere oplysninger under Administrer SQL-detaljerede tilladelser.
  • Hvis de er brugere med højere rettigheder, skal du tildele dem til rollerne Administration, Medlem eller Bidragyder. Den relevante rolle afhænger af de andre handlinger, de skal udføre.
  • Andre brugere, der kun har brug for adgang til et individuelt lager eller kun har brug for adgang til bestemte SQL-objekter, skal have Fabric Item-tilladelser og tildeles adgang via SQL til de specifikke objekter.
  • Du kan også administrere tilladelser til Microsoft Entra ID-grupper (tidligere Azure Active Directory) i stedet for at tilføje hvert enkelt medlem.

Relateret indhold