Del dit lager, og administrer tilladelser
Gælder for:✅Warehouse og Mirrored Database i Microsoft Fabric
Deling er en nem måde at give brugerne læseadgang til dit lager til downstreamforbrug. Deling gør det muligt for downstreambrugere i din organisation at forbruge et lager ved hjælp af SQL, Spark eller Power BI. Du kan tilpasse det tilladelsesniveau, som den delte modtager tildeles for at give det relevante adgangsniveau.
Bemærk
Du skal være administrator eller medlem af dit arbejdsområde for at dele et lager i Microsoft Fabric.
Kom i gang
Når du har identificeret det lager, du vil dele med en anden bruger i dit Fabric-arbejdsområde, skal du vælge den hurtige handling i rækken for at dele et lager.
I følgende animerede gif gennemgås trinnene for at vælge et lager, der skal deles, de tilladelser, der skal tildeles, og til sidst Tildel tilladelserne til en anden bruger.
Du kan dele dit lager fra OneLake-datahubben eller lagerelementet ved at vælge Del fra hurtig handling som fremhævet på følgende billede.
Del et lager
Du bliver bedt om at vælge, hvem du vil dele lageret med, hvilke tilladelser der skal tildeles dem, og om de får besked via mail. Når du har udfyldt alle de påkrævede felter, skal du vælge Giv adgang.
Her er flere oplysninger om hver af de angivne tilladelser:
- Hvis der ikke er valgt flere tilladelser – Den delte modtager modtager modtager som standard tilladelsen "Læs", som kun giver modtageren mulighed for at oprette forbindelse til SQL Analytics-slutpunktet, hvilket svarer til CONNECT-tilladelser i SQL Server. Den delte modtager kan ikke forespørge om en tabel eller visning eller udføre nogen funktion eller lagret procedure, medmindre de får adgang til objekter i lageret ved hjælp af T-SQL GRANT-sætningen .
Bemærk
ReadData, ReadAll og Build er separate tilladelser, der ikke overlapper hinanden.
"Læs alle data ved hjælp af SQL" er valgt ("ReadData"-tilladelser)- Den delte modtager kan læse alle databaseobjekterne i lageret. ReadData svarer til db_datareader rolle i SQL Server. Den delte modtager kan læse data fra alle tabeller og visninger i lageret. Hvis du vil begrænse og give detaljeret adgang til nogle objekter i lageret, kan du gøre dette ved hjælp af T-SQL GRANT/REVOKE/DENY-sætninger.
- I SQL Analytics-slutpunktet for Lakehouse svarer "Læs alle SQL-slutpunktsdata" til "Læs alle data ved hjælp af SQL".
"Læs alle data ved hjælp af Apache Spark" er valgt ("ReadAll"-tilladelser)- Den delte modtager har læseadgang til de underliggende parquetfiler i OneLake, som kan bruges ved hjælp af Spark. ReadAll skal kun angives, hvis den delte modtager ønsker fuld adgang til lagerets filer ved hjælp af Spark-programmet.
Afkrydsningsfeltet "Opret rapporter på standarddatasættet" er markeret ("Build"-tilladelser)- Den delte modtager kan oprette rapporter oven på den semantiske standardmodel, der er forbundet til dit lager. Build skal angives, hvis den delte modtager ønsker buildtilladelser til den semantiske standardmodel for at oprette Power BI-rapporter for disse data. Afkrydsningsfeltet Opret er markeret som standard, men markeringen kan fjernes.
Når den delte modtager modtager mailen, kan vedkommende vælge Åbn og navigere til siden Warehouse Data Hub.
Afhængigt af det adgangsniveau, som den delte modtager har fået tildelt, kan den delte modtager nu oprette forbindelse til SQL Analytics-slutpunktet, sende forespørgsler til Lageret, oprette rapporter eller læse data via Spark.
ReadData-tilladelser
Med Læsedata-tilladelser kan den delte modtager åbne lagereditoren i skrivebeskyttet tilstand og forespørge tabellerne og visningerne i lageret. Den delte modtager kan også vælge at kopiere det angivne SQL Analytics-slutpunkt og oprette forbindelse til et klientværktøj for at køre disse forespørgsler.
På følgende skærmbillede kan en bruger med læsedata-tilladelser f.eks. forespørge lageret.
ReadAll-tilladelser
En delt modtager med tilladelsen ReadAll kan finde stien til Azure Blob File System (ABFS) til den specifikke fil i OneLake fra ruden Egenskaber i Warehouse-editoren. Den delte modtager kan derefter bruge denne sti i en Spark-notesbog til at læse disse data.
På følgende skærmbillede kan en bruger med tilladelsen LæsAlle f.eks. forespørge dataene i FactSale
med en Spark-forespørgsel i en ny notesbog.
Opret tilladelser
Med tilladelsen Opret kan den delte modtager oprette rapporter oven på den semantiske standardmodel, der er forbundet til lageret. Den delte modtager kan oprette Power BI-rapporter fra Data Hub eller også gøre det samme ved hjælp af Power BI Desktop.
På følgende skærmbillede kan en bruger med tilladelsen Opret f.eks. begynde at oprette en Power BI-rapport automatisk baseret på det delte lager.
Administrer tilladelser
På siden Administrer tilladelser vises listen over brugere, der har fået adgang ved enten at tildele til arbejdsområderoller eller elementtilladelser.
Hvis du er administrator eller medlem, skal du gå til dit arbejdsområde og vælge Flere indstillinger. Vælg derefter Administrer tilladelser.
For brugere, der har fået tildelt arbejdsområderoller, vises den tilsvarende bruger, arbejdsområderolle og tilladelser. Administratorer, medlemmer og bidragydere har læse-/skriveadgang til elementer i dette arbejdsområde. Seere har LæseData-tilladelser og kan forespørge alle tabeller og visninger i lageret i det pågældende arbejdsområde. Elementtilladelserne Læs, ReadData og ReadAll kan gives til brugerne.
Du kan vælge at tilføje eller fjerne tilladelser ved hjælp af Administrer tilladelser:
- Fjern adgang fjerner alle elementtilladelser.
- Remove ReadData fjerner ReadData-tilladelserne .
- Remove ReadAll fjerner Tilladelsen ReadAll .
- Fjern build fjerner tilladelsen Opret for den tilsvarende semantiske standardmodel.
Begrænsninger
- Hvis du angiver elementtilladelser eller fjerner brugere, der tidligere har haft tilladelser, kan det tage op til to timer at overføre tilladelser. De nye tilladelser afspejles straks i "Administrer tilladelser". Log på igen for at sikre, at tilladelserne afspejles i SQL Analytics-slutpunktet.
- Delte modtagere kan få adgang til lageret ved hjælp af ejerens identitet (delegeret tilstand). Sørg for, at ejeren af lageret ikke er fjernet fra arbejdsområdet.
- Delte modtagere har kun adgang til det lager, de modtager, og ikke andre elementer i det samme arbejdsområde som lageret. Hvis du vil give andre brugere i teamet tilladelse til at samarbejde om lageret (læse- og skriveadgang), skal du tilføje dem som arbejdsområderoller som f.eks. "Medlem" eller "Bidragyder".
- Når du i øjeblikket deler et lager og vælger Læs alle data ved hjælp af SQL, kan den delte modtager få adgang til Warehouse-editoren i skrivebeskyttet tilstand. Disse delte modtagere kan oprette forespørgsler, men de kan ikke gemme deres forespørgsler i øjeblikket.
- Deling af et lager er i øjeblikket kun tilgængelig via brugeroplevelsen.
- Hvis du vil give detaljeret adgang til bestemte objekter i lageret, skal du dele lageret uden yderligere tilladelser og derefter give detaljeret adgang til bestemte objekter ved hjælp af T-SQL GRANT-sætningen. Du kan få flere oplysninger i T-SQL-syntaksen for GRANT, REVOKE og DENY.
- Hvis du kan se, at tilladelserne ReadAll og ReadData er deaktiveret i dialogboksen til deling, skal du opdatere siden.
- Delte modtagere har ikke tilladelse til at dele et lager igen.
- Hvis en rapport, der er bygget oven på lageret, deles med en anden modtager, skal den delte modtager have flere tilladelser for at få adgang til rapporten. Dette afhænger af den semantiske models adgangstilstand af Power BI:
- Hvis du tilgås via direct-forespørgselstilstand, skal ReadData-tilladelser (eller detaljerede SQL-tilladelser til bestemte tabeller/visninger) leveres til lageret.
- Hvis du får adgang via Direct Lake-tilstand, skal ReadData-tilladelser (eller detaljerede tilladelser til bestemte tabeller/visninger) gives til lageret. Direct Lake-tilstand er standardforbindelsestypen for semantiske modeller, der bruger et lager- eller SQL-analyseslutpunkt som datakilde. Du kan få flere oplysninger under Direct Lake-tilstand.
- Hvis du får adgang via importtilstand , er der ikke behov for yderligere tilladelser.
- I øjeblikket understøttes deling af et lager direkte med et SPN ikke.
Funktioner til databeskyttelse
Microsoft Fabric-datawarehousing understøtter flere teknologier, som administratorer kan bruge til at beskytte følsomme data mod uautoriseret visning. Ved at beskytte eller sløre data fra uautoriserede brugere eller roller kan disse sikkerhedsfunktioner give databeskyttelse i både et Warehouse- og SQL Analytics-slutpunkt uden programændringer.
- Sikkerhed på kolonneniveau forhindrer uautoriseret visning af kolonner i tabeller.
- Sikkerhed på rækkeniveau forhindrer uautoriseret visning af rækker i tabeller ved hjælp af velkendte
WHERE
prædikater for delsætningsfilter. - Dynamisk datamaskering forhindrer uautoriseret visning af følsomme data ved hjælp af masker for at forhindre adgang til fuldførelse, f.eks. mailadresser eller tal.