Σημείωση
Η πρόσβαση σε αυτή τη σελίδα απαιτεί εξουσιοδότηση. Μπορείτε να δοκιμάσετε να συνδεθείτε ή να αλλάξετε καταλόγους.
Η πρόσβαση σε αυτή τη σελίδα απαιτεί εξουσιοδότηση. Μπορείτε να δοκιμάσετε να αλλάξετε καταλόγους.
Ισχύει για:✅ Αποθήκη στο Microsoft Fabric
Το Fabric Data Warehouse παρέχει μια λύση αποθήκευσης εταιρικών δεδομένων, η διαχείριση της οποίας γίνεται πλήρως και πλήρως ενσωματωμένη στο Microsoft Fabric. Ωστόσο, κατά την αποθήκευση ευαίσθητων και κρίσιμων για την επιχείρηση δεδομένων, πρέπει να λάβετε μέτρα για να μεγιστοποιήσετε την ασφάλεια των αποθηκών σας και των δεδομένων που είναι αποθηκευμένα σε αυτές.
Αυτό το άρθρο παρέχει οδηγίες σχετικά με τον καλύτερο τρόπο προστασίας της αποθήκης σας στο Microsoft Fabric.
Μοντέλο πρόσβασης αποθήκης
Τα δικαιώματα Microsoft Fabric και τα λεπτομερή δικαιώματα SQL συνεργάζονται για να διέπουν την πρόσβαση στην αποθήκη και τα δικαιώματα χρήστη μόλις συνδεθούν.
- Η συνδεσιμότητα αποθήκης εξαρτάται της εκχώρησης του δικαιώματος Ανάγνωσης Microsoft Fabric, τουλάχιστον, για την Αποθήκη.
- Τα δικαιώματα στοιχείων Microsoft Fabric επιτρέπουν τη δυνατότητα να παρέχετε σε έναν χρήστη δικαιώματα SQL, χωρίς να χρειάζεται να εκχωρήσετε αυτά τα δικαιώματα στην SQL.
- Οι ρόλοι χώρου εργασίας Microsoft Fabric παρέχουν δικαιώματα Microsoft Fabric για όλες τις αποθήκες εντός ενός χώρου εργασίας.
- Μπορείτε να διαχειριστείτε περαιτέρω τα λεπτομερή δικαιώματα χρήστη μέσω T-SQL.
Ρόλοι χώρου εργασίας
Οι ρόλοι χώρου εργασίας χρησιμοποιούνται για συνεργασία ομάδας ανάπτυξης εντός ενός χώρου εργασίας. Η ανάθεση ρόλου καθορίζει τις ενέργειες που είναι διαθέσιμες στον χρήστη και ισχύουν για όλα τα στοιχεία εντός του χώρου εργασίας.
- Για μια επισκόπηση των ρόλων χώρου εργασίας Microsoft Fabric, ανατρέξτε στο θέμα Ρόλοι σε χώρους εργασίας στο Microsoft Fabric.
- Για οδηγίες σχετικά με την ανάθεση ρόλων χώρου εργασίας, ανατρέξτε στο θέμα Παραχώρηση πρόσβασης στους χρήστες σε χώρους εργασίας.
Για λεπτομέρειες σχετικά με τις συγκεκριμένες δυνατότητες του Warehouse που παρέχονται μέσω ρόλων χώρου εργασίας, ανατρέξτε στο θέμα Ρόλοι χώρου εργασίας στο Fabric Data Warehouse.
Δικαιώματα στοιχείου
Σε αντίθεση με τους ρόλους χώρου εργασίας, οι οποίοι ισχύουν για όλα τα στοιχεία ενός χώρου εργασίας, τα δικαιώματα στοιχείων μπορούν να εκχωρηθούν απευθείας σε μεμονωμένες αποθήκες.
Ακολουθείτε πάντα την αρχή των ελάχιστων προνομίων κατά την εκχώρηση δικαιωμάτων και συμμετοχών ρόλων. Κατά την αξιολόγηση των δικαιωμάτων εκχώρησης σε έναν χρήστη, λάβετε υπόψη τις παρακάτω οδηγίες:
- Εάν απαιτούν κυρίως πρόσβαση μόνο για ανάγνωση, εκχωρήστε τους τον ρόλο "Θεατής" και εκχωρήστε πρόσβαση ανάγνωσης σε συγκεκριμένα αντικείμενα μέσω T-SQL. Για περισσότερες πληροφορίες, ανατρέξτε στο θέμα Διαχείριση αναλυτικών δικαιωμάτων SQL.
- Μόνο στα μέλη της ομάδας που συνεργάζονται αυτήν τη στιγμή στη λύση θα πρέπει να ανατεθούν οι ρόλοι χώρου εργασίας Διαχειριστής, Μέλος και Συνεργάτης, καθώς παρέχουν πρόσβαση σε όλα τα στοιχεία εντός του χώρου εργασίας.
- Εάν είναι χρήστες με υψηλότερα δικαιώματα, εκχωρήστε τους ρόλους Διαχειριστής, Μέλος ή Συμβάλλων. Ο κατάλληλος ρόλος εξαρτάται από τις άλλες ενέργειες που πρέπει να εκτελέσουν.
- Σε άλλους χρήστες, οι οποίοι χρειάζονται πρόσβαση μόνο σε μια μεμονωμένη αποθήκη ή χρειάζονται πρόσβαση μόνο σε συγκεκριμένα αντικείμενα SQL, πρέπει να εκχωρηθούν δικαιώματα Στοιχείου Fabric και να τους εκχωρηθεί πρόσβαση μέσω SQL στα συγκεκριμένα αντικείμενα.
- Μπορείτε επίσης να διαχειριστείτε δικαιώματα σε ομάδες Microsoft Entra ID, αντί να προσθέσετε κάθε συγκεκριμένο μέλος. Για περισσότερες πληροφορίες, ανατρέξτε στο θέμα Έλεγχος ταυτότητας Microsoft Entra ως εναλλακτική λύση στον έλεγχο ταυτότητας SQL στο Microsoft Fabric.
- Ελέγξτε τη δραστηριότητα των χρηστών στην αποθήκη σας με τα αρχεία καταγραφής ελέγχου χρήστη.
Για περισσότερες πληροφορίες σχετικά με την κοινή χρήση, ανατρέξτε στο θέμα Κοινή χρήση των δεδομένων σας και διαχείριση δικαιωμάτων.
Λεπτομερής ασφάλεια
Οι ρόλοι χώρου εργασίας και τα δικαιώματα στοιχείων παρέχουν έναν εύκολο τρόπο για να εκχωρήσετε χοντρά δικαιώματα σε έναν χρήστη για ολόκληρη την αποθήκη. Ωστόσο, σε ορισμένες περιπτώσεις, απαιτούνται πιο λεπτομερή δικαιώματα για έναν χρήστη. Για να επιτευχθεί αυτό, μπορούν να χρησιμοποιηθούν τυπικές κατασκευές T-SQL για την παροχή συγκεκριμένων δικαιωμάτων στους χρήστες.
Η αποθήκη δεδομένων Microsoft Fabric υποστηρίζει διάφορες τεχνολογίες προστασίας δεδομένων που μπορούν να χρησιμοποιήσουν οι διαχειριστές για την προστασία ευαίσθητων δεδομένων από μη εξουσιοδοτημένη πρόσβαση. Με την ασφάλεια ή τη συσκότιση δεδομένων από μη εξουσιοδοτημένους χρήστες ή ρόλους, αυτές οι δυνατότητες ασφαλείας μπορούν να παρέχουν προστασία δεδομένων σε ένα τελικό σημείο ανάλυσης Αποθήκης και SQL χωρίς αλλαγές στην εφαρμογή.
- Η ασφάλεια σε επίπεδο αντικειμένου ελέγχει την πρόσβαση σε συγκεκριμένα αντικείμενα βάσης δεδομένων.
- Η ασφάλεια σε επίπεδο στηλών αποτρέπει τη μη εξουσιοδοτημένη προβολή στηλών σε πίνακες.
-
Η ασφάλεια σε επίπεδο γραμμών αποτρέπει τη μη εξουσιοδοτημένη προβολή των γραμμών σε πίνακες, χρησιμοποιώντας οικεία
WHEREκατηγορήματα φίλτρου ρητρών. - Η δυναμική απόκρυψη δεδομένων αποτρέπει τη μη εξουσιοδοτημένη προβολή ευαίσθητων δεδομένων, χρησιμοποιώντας μάσκες για την αποτροπή ολοκλήρωσης της πρόσβασης, όπως διευθύνσεις ηλεκτρονικού ταχυδρομείου ή αριθμούς.
Ασφάλεια σε επίπεδο αντικειμένου
Η ασφάλεια σε επίπεδο αντικειμένου είναι ένας μηχανισμός ασφαλείας που ελέγχει την πρόσβαση σε συγκεκριμένα αντικείμενα βάσης δεδομένων, όπως πίνακες, προβολές ή διαδικασίες, με βάση τα δικαιώματα ή τους ρόλους χρήστη. Εξασφαλίζει ότι οι χρήστες ή οι ρόλοι μπορούν μόνο να αλληλεπιδρούν και να χειρίζονται τα αντικείμενα για τα οποία τους έχουν εκχωρηθεί δικαιώματα, προστατεύοντας την ακεραιότητα και την εμπιστευτικότητα του σχήματος βάσης δεδομένων και των συσχετισμένων πόρων.
Για λεπτομέρειες σχετικά με τη διαχείριση αναλυτικών δικαιωμάτων στην SQL, ανατρέξτε στο θέμα Αναλυτικά δικαιώματα SQL στο Microsoft Fabric.
Ασφάλεια σε επίπεδο γραμμών
Η ασφάλεια σε επίπεδο γραμμών είναι μια δυνατότητα ασφαλείας βάσης δεδομένων που περιορίζει την πρόσβαση σε μεμονωμένες γραμμές ή εγγραφές σε έναν πίνακα βάσης δεδομένων βάσει καθορισμένων κριτηρίων, όπως ρόλοι χρήστη ή χαρακτηριστικά. Εξασφαλίζει ότι οι χρήστες μπορούν μόνο να προβάλλουν ή να χειρίζονται δεδομένα που είναι ρητά εξουσιοδοτημένα για την πρόσβασή τους, βελτιώνοντας την προστασία των προσωπικών δεδομένων και τον έλεγχο.
Για λεπτομέρειες σχετικά με την ασφάλεια σε επίπεδο γραμμών, ανατρέξτε στο θέμα Ασφάλεια σε επίπεδο γραμμών στην αποθήκη δεδομένων Fabric.
Ασφάλεια επιπέδου στήλης
Η ασφάλεια σε επίπεδο στηλών είναι μια μέτρηση ασφαλείας βάσης δεδομένων που περιορίζει την πρόσβαση σε συγκεκριμένες στήλες ή πεδία σε έναν πίνακα βάσης δεδομένων, επιτρέποντας στους χρήστες να βλέπουν και να αλληλεπιδρούν μόνο με τις εξουσιοδοτημένες στήλες, αποκρύπτοντας ευαίσθητες ή περιορισμένες πληροφορίες. Προσφέρει λεπτομερή έλεγχο της πρόσβασης στα δεδομένα, διασφαλίζοντας εμπιστευτικά δεδομένα σε μια βάση δεδομένων.
Για λεπτομέρειες σχετικά με την ασφάλεια σε επίπεδο στηλών, ανατρέξτε στο θέμα Ασφάλεια σε επίπεδο στήλης στην αποθήκη δεδομένων Fabric.
Δυναμική απόκρυψη δεδομένων
Η δυναμική απόκρυψη δεδομένων βοηθά στην αποτροπή μη εξουσιοδοτημένης προβολής ευαίσθητων δεδομένων, επιτρέποντας στους διαχειριστές να καθορίσουν πόσα ευαίσθητα δεδομένα θα αποκαλυφθούν, με ελάχιστη επίδραση στο επίπεδο εφαρμογής. Η δυναμική απόκρυψη δεδομένων μπορεί να ρυθμιστεί σε καθορισμένα πεδία βάσης δεδομένων για την απόκρυψη ευαίσθητων δεδομένων στα σύνολα ερωτημάτων που προκύπτουν. Με τη δυναμική απόκρυψη δεδομένων, τα δεδομένα στη βάση δεδομένων δεν αλλάζουν, επομένως μπορούν να χρησιμοποιηθούν με υπάρχουσες εφαρμογές, καθώς εφαρμόζονται κανόνες απόκρυψης στα αποτελέσματα ερωτημάτων. Πολλές εφαρμογές μπορούν να αποκρύπτουν ευαίσθητα δεδομένα χωρίς να τροποποιούν υπάρχοντα ερωτήματα.
Για λεπτομέρειες σχετικά με τη δυναμική απόκρυψη δεδομένων, ανατρέξτε στο θέμα Δυναμική απόκρυψη δεδομένων στην αποθήκη δεδομένων Fabric.
Αρχεία καταγραφής ελέγχου χρήστη
Για την παρακολούθηση της δραστηριότητας χρηστών στην αποθήκη και το τελικό σημείο ανάλυσης SQL για την ικανοποίηση των απαιτήσεων διαχείρισης κανονιστικής συμμόρφωσης και εγγραφών, ένα σύνολο δραστηριοτήτων ελέγχου είναι προσβάσιμο μέσω του Microsoft Purview και του PowerShell.
- Μπορείτε να χρησιμοποιήσετε τα αρχεία καταγραφής ελέγχου χρήστη για να προσδιορίσετε ποιος εκτελεί ποια ενέργεια στα στοιχεία Fabric σας.
- Για να ξεκινήσετε, μάθετε πώς μπορείτε να ρυθμίσετε τις παραμέτρους των αρχείων καταγραφής ελέγχου SQL στο Fabric Data Warehouse (Preview).
- Μπορείτε να παρακολουθείτε τις δραστηριότητες των χρηστών στο Microsoft Fabric. Για περισσότερες πληροφορίες, ανατρέξτε στη λίστα Λειτουργία.
Ασφάλεια τελικού σημείου ανάλυσης SQL
Για περισσότερες πληροφορίες σχετικά με την ασφάλεια στο τελικό σημείο ανάλυσης SQL, ανατρέξτε στο θέμα Ασφάλεια OneLake για τελικά σημεία ανάλυσης SQL.
Κρυπτογράφηση κλειδιού διαχειριζόμενου από τον πελάτη (CMK)
Μπορείτε να βελτιώσετε την κατάσταση ασφαλείας σας χρησιμοποιώντας κλειδιά διαχειριζόμενα από τον πελάτη (CMK), δίνοντάς σας άμεσο έλεγχο των κλειδιών κρυπτογράφησης που προστατεύουν τα δεδομένα και τα μεταδεδομένα σας. Όταν ενεργοποιείτε το CMK για έναν χώρο εργασίας που περιέχει μια αποθήκη δεδομένων Fabric, τόσο τα δεδομένα OneLake όσο και τα μετα-δεδομένα αποθήκης προστατεύονται χρησιμοποιώντας τα κλειδιά κρυπτογράφησης που φιλοξενούνται στο Azure Key Vault. Για περισσότερες πληροφορίες, ανατρέξτε στο θέμα Κρυπτογράφηση δεδομένων στην Αποθήκη δεδομένων Fabric.