Bemærk
Adgang til denne side kræver godkendelse. Du kan prøve at logge på eller ændre mapper.
Adgang til denne side kræver godkendelse. Du kan prøve at ændre mapper.
Gælder for:✅ Lager i Microsoft Fabric
Fabric Data Warehouse leverer en datalagerløsning til virksomheder, der administreres fuldstændigt og er fuldt integreret i Microsoft Fabric. Når du opbevarer følsomme og forretningskritiske data, skal du dog tage skridt til at maksimere sikkerheden på dine lagre og de data, der er gemt i dem.
Denne artikel indeholder en vejledning i, hvordan du bedst sikrer dit lager i Microsoft Fabric.
Lageradgangsmodel
Microsoft Fabric-tilladelser og detaljerede SQL-tilladelser arbejder sammen om at styre lageradgang og brugertilladelserne, når de er tilsluttet.
- Lagerforbindelsen er afhængig af, at der som minimum tildeles tilladelsen Microsoft Fabric Read til lageret.
- Microsoft Fabric-elementtilladelser gør det muligt at give en bruger SQL-tilladelser uden at skulle tildele disse tilladelser i SQL.
- Microsoft Fabric-arbejdsområderoller giver Microsoft Fabric-tilladelser til alle lagre i et arbejdsområde.
- Detaljerede brugertilladelser kan administreres yderligere via T-SQL.
Arbejdsområderoller
Arbejdsområderoller bruges til samarbejde mellem udviklingsteams i et arbejdsområde. Rolletildeling bestemmer de handlinger, der er tilgængelige for brugeren, og gælder for alle elementer i arbejdsområdet.
- Du kan finde en oversigt over Microsoft Fabric-arbejdsområderoller under Roller i arbejdsområder i Microsoft Fabric.
- Du kan finde instruktioner til tildeling af arbejdsområderoller under Giv brugere adgang til arbejdsområder.
Du kan finde flere oplysninger om de specifikke lagerstedsfunktioner, der leveres via arbejdsområderoller, under Arbejdsområderoller i Fabric Data Warehouse.
Elementtilladelser
I modsætning til arbejdsområderoller, der gælder for alle varer i et arbejdsområde, kan varetilladelser tildeles direkte til individuelle lagersteder.
Følg altid princippet om mindste privilegium, når du tildeler tilladelser og rollemedlemskaber. Når du evaluerer de tilladelser, der skal tildeles til en bruger, skal du overveje følgende vejledning:
- Hvis de primært kræver skrivebeskyttet adgang, skal du tildele dem rollen Læser og give læseadgang til bestemte objekter via T-SQL. Du kan finde flere oplysninger under Administrer SQL-detaljerede tilladelser.
- Det er kun teammedlemmer, der i øjeblikket samarbejder om løsningen, der skal tildeles arbejdsområderollerne Administrator, Medlem og Bidragyder, da de giver adgang til alle elementer i arbejdsområdet.
- Hvis de er brugere med højere rettigheder, skal du tildele dem rollerne Administrator, Medlem eller Bidragyder. Den relevante rolle er afhængig af de andre handlinger, de skal udføre.
- Andre brugere, der kun har brug for adgang til et individuelt lager eller kun har brug for adgang til bestemte SQL-objekter, skal have Fabric Item-tilladelser og tildeles adgang via SQL til de specifikke objekter.
- Du kan også administrere tilladelser til Microsoft Entra ID-grupper i stedet for at tilføje hvert enkelt medlem. Du kan få flere oplysninger under Microsoft Entra-godkendelse som et alternativ til SQL-godkendelse i Microsoft Fabric.
- Overvåg brugeraktivitet på lagerstedet med brugerovervågningslogge.
Du kan få flere oplysninger om deling under Del dine data og administrer tilladelser.
Detaljeret sikkerhed
Arbejdsområderoller og elementtilladelser gør det nemt at tildele grove tilladelser til en bruger for hele lageret. I nogle tilfælde er der dog brug for mere detaljerede tilladelser for en bruger. For at opnå dette kan standard-T-SQL-konstruktioner bruges til at give specifikke tilladelser til brugerne.
Microsoft Fabric-datawarehousing understøtter flere databeskyttelsesteknologier, som administratorer kan bruge til at beskytte følsomme data mod uautoriseret adgang. Ved at beskytte eller sløre data fra uautoriserede brugere eller roller kan disse sikkerhedsfunktioner give databeskyttelse i både et Warehouse- og SQL Analytics-slutpunkt uden programændringer.
- Sikkerhed på objektniveau styrer adgangen til bestemte databaseobjekter.
- Sikkerhed på kolonneniveau forhindrer uautoriseret visning af kolonner i tabeller.
-
Sikkerhed på rækkeniveau forhindrer uautoriseret visning af rækker i tabeller ved hjælp af velkendte
WHEREprædikater for delsætningsfilter. - Dynamisk datamaskering forhindrer uautoriseret visning af følsomme data ved hjælp af masker for at forhindre adgang til fuldførelse, f.eks. mailadresser eller tal.
Sikkerhed på objektniveau
Sikkerhed på objektniveau er en sikkerhedsmekanisme, der styrer adgangen til bestemte databaseobjekter, f.eks. tabeller, visninger eller procedurer, baseret på brugerrettigheder eller roller. Det sikrer, at brugere eller roller kun kan interagere med og manipulere de objekter, de har fået tildelt tilladelser til, og beskytte integriteten og fortroligheden af databaseskemaet og dets tilknyttede ressourcer.
Du kan finde flere oplysninger om administration af detaljerede tilladelser i SQL under Detaljerede SQL-tilladelser i Microsoft Fabric.
Sikkerhed på rækkeniveau
Sikkerhed på rækkeniveau er en databasesikkerhedsfunktion, der begrænser adgangen til individuelle rækker eller poster i en databasetabel baseret på angivne kriterier, f.eks. brugerroller eller attributter. Det sikrer, at brugerne kun kan få vist eller manipulere data, der udtrykkeligt er godkendt til deres adgang, hvilket forbedrer beskyttelse af personlige oplysninger og kontrol.
Du kan finde flere oplysninger om sikkerhed på rækkeniveau under Sikkerhed på rækkeniveau i Fabric-datawarehousing.
Sikkerhed på kolonneniveau
Sikkerhed på kolonneniveau er en databasesikkerhedsmåling, der begrænser adgangen til bestemte kolonner eller felter i en databasetabel, så brugerne kun kan se og interagere med de godkendte kolonner, samtidig med at følsomme eller begrænsede oplysninger skjules. Det giver detaljeret kontrol over dataadgang og beskytter fortrolige data i en database.
Du kan finde flere oplysninger om sikkerhed på kolonneniveau under Sikkerhed på kolonneniveau i Fabric-datawarehousing.
Dynamic Data Masking
Dynamisk datamaskering hjælper med at forhindre uautoriseret visning af følsomme data ved at gøre det muligt for administratorer at angive, hvor mange følsomme data der skal vises, med minimal effekt på programlaget. Dynamisk datamaskering kan konfigureres på angivne databasefelter for at skjule følsomme data i resultatsæt af forespørgsler. Med dynamisk datamaskering ændres dataene i databasen ikke, så de kan bruges sammen med eksisterende programmer, da der anvendes maskeringsregler for forespørgselsresultater. Mange programmer kan maskere følsomme data uden at ændre eksisterende forespørgsler.
Du kan finde flere oplysninger om dynamisk datamaskering under Dynamisk datamaskering i Fabric-datawarehousing.
Brugerovervågningslogge
Hvis du vil spore brugeraktivitet i lager- og SQL Analytics-slutpunktet for overholdelse af lovmæssige standarder og krav til datastyring, er der adgang til et sæt overvågningsaktiviteter via Microsoft Purview og PowerShell.
- Du kan bruge brugerovervågningslogge til at identificere, hvem der udfører hvilken handling på dine Fabric-elementer.
- For at komme i gang skal du få mere at vide om, hvordan du konfigurerer SQL-overvågningslogge i Fabric Data Warehouse (prøveversion).
- Du kan spore brugeraktiviteter på tværs af Microsoft Fabric. Du kan finde flere oplysninger på listen Handling.
Sikkerhed for SQL-analyseslutpunkter
Du kan få mere at vide om sikkerhed i SQL-analyseslutpunktet under OneLake-sikkerhed til SQL-analyseslutpunkter.
Kryptering af kundeadministrerede nøgler (CMK)
Du kan forbedre din sikkerhedstilstand ved hjælp af kundeadministrerede nøgler (CMK), hvilket giver dig direkte kontrol over de krypteringsnøgler, der beskytter dine data og metadata. Når du aktiverer CMK for et arbejdsområde, der indeholder et Fabric Data Warehouse, beskyttes både OneLake-data og lagermetadata ved hjælp af dine Azure Key Vault-hostede krypteringsnøgler. Du kan finde flere oplysninger i Datakryptering i Fabric Data Warehouse.