Del dit lager, og administrer tilladelser

  • Artikel

Gælder for:Warehouse og Mirrored Database i Microsoft Fabric

Deling er en nem måde at give brugerne læseadgang til dit lager til downstreamforbrug. Deling gør det muligt for downstreambrugere i din organisation at forbruge et lager ved hjælp af SQL, Spark eller Power BI. Du kan tilpasse det tilladelsesniveau, som den delte modtager tildeles for at give det relevante adgangsniveau.

Bemærk

Du skal være administrator eller medlem af dit arbejdsområde for at dele et lager i Microsoft Fabric.

Kom i gang

Når du har identificeret det lager, du vil dele med en anden bruger i dit Fabric-arbejdsområde, skal du vælge den hurtige handling i rækken for at dele et lager.

I følgende animerede gif gennemgås trinnene for at vælge et lager, der skal deles, de tilladelser, der skal tildeles, og til sidst Tildel tilladelserne til en anden bruger.

En animeret gif, der viser interaktion med Fabric-portalen, hvor en bruger deler et lager i Microsoft Fabric med en anden bruger.

Du kan dele dit lager fra OneLake-datahubben eller lagerelementet ved at vælge Del fra hurtig handling som fremhævet på følgende billede.

Skærmbillede, der viser, hvordan du deler et lager på siden med OneLake-datahubben.

Del et lager

Du bliver bedt om at vælge, hvem du vil dele lageret med, hvilke tilladelser der skal tildeles dem, og om de får besked via mail. Når du har udfyldt alle de påkrævede felter, skal du vælge Giv adgang.

Her er flere oplysninger om hver af de angivne tilladelser:

  • Hvis der ikke er valgt flere tilladelser – Den delte modtager modtager modtager som standard tilladelsen "Læs", som kun giver modtageren mulighed for at oprette forbindelse til SQL Analytics-slutpunktet, hvilket svarer til CONNECT-tilladelser i SQL Server. Den delte modtager kan ikke forespørge om en tabel eller visning eller udføre nogen funktion eller lagret procedure, medmindre de får adgang til objekter i lageret ved hjælp af T-SQL GRANT-sætningen .

Bemærk

ReadData, ReadAll og Build er separate tilladelser, der ikke overlapper hinanden.

  • "Læs alle data ved hjælp af SQL" er valgt ("ReadData"-tilladelser)- Den delte modtager kan læse alle databaseobjekterne i lageret. ReadData svarer til db_datareader rolle i SQL Server. Den delte modtager kan læse data fra alle tabeller og visninger i lageret. Hvis du vil begrænse og give detaljeret adgang til nogle objekter i lageret, kan du gøre dette ved hjælp af T-SQL GRANT/REVOKE/DENY-sætninger.

    • I SQL Analytics-slutpunktet for Lakehouse svarer "Læs alle SQL-slutpunktsdata" til "Læs alle data ved hjælp af SQL".

  • "Læs alle data ved hjælp af Apache Spark" er valgt ("ReadAll"-tilladelser)- Den delte modtager har læseadgang til de underliggende parquetfiler i OneLake, som kan bruges ved hjælp af Spark. ReadAll skal kun angives, hvis den delte modtager ønsker fuld adgang til lagerets filer ved hjælp af Spark-programmet.

  • Afkrydsningsfeltet "Opret rapporter på standarddatasættet" er markeret ("Build"-tilladelser)- Den delte modtager kan oprette rapporter oven på den semantiske standardmodel, der er forbundet til dit lager. Build skal angives, hvis den delte modtager ønsker buildtilladelser til den semantiske standardmodel for at oprette Power BI-rapporter for disse data. Afkrydsningsfeltet Opret er markeret som standard, men markeringen kan fjernes.

Når den delte modtager modtager mailen, kan vedkommende vælge Åbn og navigere til siden Warehouse Data Hub.

Skærmbillede, der viser den delte brugers mailmeddelelse om et delt lager.

Afhængigt af det adgangsniveau, som den delte modtager har fået tildelt, kan den delte modtager nu oprette forbindelse til SQL Analytics-slutpunktet, sende forespørgsler til Lageret, oprette rapporter eller læse data via Spark.

Skærmbillede fra Fabric-portalen, der viser siden 'Se, hvad der allerede findes' for det delte lager.

ReadData-tilladelser

Med Læsedata-tilladelser kan den delte modtager åbne lagereditoren i skrivebeskyttet tilstand og forespørge tabellerne og visningerne i lageret. Den delte modtager kan også vælge at kopiere det angivne SQL Analytics-slutpunkt og oprette forbindelse til et klientværktøj for at køre disse forespørgsler.

På følgende skærmbillede kan en bruger med læsedata-tilladelser f.eks. forespørge lageret.

Skærmbillede fra Fabric-portalen, der viser, at en bruger kan forespørge et delt lager.

ReadAll-tilladelser

En delt modtager med tilladelsen ReadAll kan finde stien til Azure Blob File System (ABFS) til den specifikke fil i OneLake fra ruden Egenskaber i Warehouse-editoren. Den delte modtager kan derefter bruge denne sti i en Spark-notesbog til at læse disse data.

På følgende skærmbillede kan en bruger med tilladelsen LæsAlle f.eks. forespørge dataene i FactSale med en Spark-forespørgsel i en ny notesbog.

Skærmbillede fra Fabric-portalen, hvor en bruger åbner en Spark-notesbog for at forespørge om genvejen Warehouse.

Opret tilladelser

Med tilladelsen Opret kan den delte modtager oprette rapporter oven på den semantiske standardmodel, der er forbundet til lageret. Den delte modtager kan oprette Power BI-rapporter fra Data Hub eller også gøre det samme ved hjælp af Power BI Desktop.

På følgende skærmbillede kan en bruger med tilladelsen Opret f.eks. begynde at oprette en Power BI-rapport automatisk baseret på det delte lager.

Et skærmbillede, der viser interaktion med Fabric-portalen, hvor en bruger automatisk kan oprette en rapport på det delte lager.

Administrer tilladelser

siden Administrer tilladelser vises listen over brugere, der har fået adgang ved enten at tildele til arbejdsområderoller eller elementtilladelser.

Hvis du er Administration eller Medlem, skal du gå til dit arbejdsområde og vælge Flere indstillinger. Vælg derefter Administrer tilladelser.

Skærmbillede, der viser en bruger, der vælger Administrer tilladelser i genvejsmenuen for lageret.

For brugere, der har fået tildelt arbejdsområderoller, vises den tilsvarende bruger, arbejdsområderolle og tilladelser. Administration har medlemmer og bidragydere læse-/skriveadgang til elementer i dette arbejdsområde. Seere har LæseData-tilladelser og kan forespørge alle tabeller og visninger i lageret i det pågældende arbejdsområde. Elementtilladelserne Læs, ReadData og ReadAll kan gives til brugerne.

Skærmbillede, der viser siden Administrer tilladelser på lageret på Fabric-portalen.

Du kan vælge at tilføje eller fjerne tilladelser ved hjælp af Administrer tilladelser:

  • Fjern adgang fjerner alle elementtilladelser.
  • Remove ReadData fjerner ReadData-tilladelserne .
  • Remove ReadAll fjerner Tilladelsen ReadAll .
  • Fjern build fjerner tilladelsen Opret for den tilsvarende semantiske standardmodel.

Skærmbillede, der viser en bruger, der fjerner tilladelsen ReadAll for en delt modtager.

Begrænsninger

  • Hvis du angiver elementtilladelser eller fjerner brugere, der tidligere har haft tilladelser, kan det tage op til to timer at overføre tilladelser. De nye tilladelser afspejles straks i "Administrer tilladelser". Log på igen for at sikre, at tilladelserne afspejles i SQL Analytics-slutpunktet.
  • Delte modtagere kan få adgang til lageret ved hjælp af ejerens identitet (delegeret tilstand). Sørg for, at ejeren af lageret ikke er fjernet fra arbejdsområdet.
  • Delte modtagere har kun adgang til det lager, de modtager, og ikke andre elementer i det samme arbejdsområde som lageret. Hvis du vil give andre brugere i teamet tilladelse til at samarbejde om lageret (læse- og skriveadgang), skal du tilføje dem som arbejdsområderoller som f.eks. "Medlem" eller "Bidragyder".
  • Når du i øjeblikket deler et lager og vælger Læs alle data ved hjælp af SQL, kan den delte modtager få adgang til Warehouse-editoren i skrivebeskyttet tilstand. Disse delte modtagere kan oprette forespørgsler, men de kan ikke gemme deres forespørgsler i øjeblikket.
  • Deling af et lager er i øjeblikket kun tilgængelig via brugeroplevelsen.
  • Hvis du vil give detaljeret adgang til bestemte objekter i lageret, skal du dele lageret uden yderligere tilladelser og derefter give detaljeret adgang til bestemte objekter ved hjælp af T-SQL GRANT-sætningen. Du kan få flere oplysninger i T-SQL-syntaksen for GRANT, REVOKE og DENY.
  • Hvis du kan se, at tilladelserne ReadAll og ReadData er deaktiveret i dialogboksen til deling, skal du opdatere siden.
  • Delte modtagere har ikke tilladelse til at dele et lager igen.
  • Hvis en rapport, der er bygget oven på lageret, deles med en anden modtager, skal den delte modtager have flere tilladelser for at få adgang til rapporten. Dette afhænger af den semantiske models adgangstilstand af Power BI:

Funktioner til databeskyttelse

Microsoft Fabric-datawarehousing understøtter flere teknologier, som administratorer kan bruge til at beskytte følsomme data mod uautoriseret visning. Ved at beskytte eller sløre data fra uautoriserede brugere eller roller kan disse sikkerhedsfunktioner give databeskyttelse i både et Warehouse- og SQL Analytics-slutpunkt uden programændringer.

  • Sikkerhed på kolonneniveau forhindrer uautoriseret visning af kolonner i tabeller.
  • Sikkerhed på rækkeniveau forhindrer uautoriseret visning af rækker i tabeller ved hjælp af velkendte WHERE prædikater for delsætningsfilter.
  • Dynamisk datamaskering forhindrer uautoriseret visning af følsomme data ved hjælp af masker for at forhindre adgang til fuldførelse, f.eks. mailadresser eller tal.

Relateret indhold