Κοινή χρήση της αποθήκης σας και διαχείριση δικαιωμάτων
Ισχύει για:Warehouse και Mirrored Database στο Microsoft Fabric
Η κοινή χρήση είναι ένας εύχρηστος τρόπος για να παρέχετε στους χρήστες πρόσβαση ανάγνωσης στην Αποθήκη σας για κατανάλωση κατάντη. Η κοινή χρήση επιτρέπει στους μεταγενέστερους χρήστες στον οργανισμό σας να χρησιμοποιήσουν μια Αποθήκη χρησιμοποιώντας SQL, Spark ή Power BI. Μπορείτε να προσαρμόσετε το επίπεδο δικαιωμάτων που εκχωρείται στον κοινόχρηστο παραλήπτη για την παροχή του κατάλληλου επιπέδου πρόσβασης.
Σημείωμα
Πρέπει να είστε διαχειριστής ή μέλος στον χώρο εργασίας σας για να κάνετε κοινή χρήση μιας Αποθήκης στο Microsoft Fabric.
Έναρξη
Αφού προσδιορίσετε την Αποθήκη που θέλετε να μοιραστείτε με έναν άλλο χρήστη στον χώρο εργασίας σας Fabric, επιλέξτε τη γρήγορη ενέργεια στη γραμμή για Κοινή χρήση μιας Αποθήκης.
Τα παρακάτω gif με κίνηση αναθεωρούν τα βήματα για να επιλέξετε μια αποθήκη για κοινή χρήση, επιλέξτε τα δικαιώματα εκχώρησης και, στη συνέχεια , εκχωρήστε τα δικαιώματα σε έναν άλλο χρήστη.
Μπορείτε να κάνετε κοινή χρήση της Αποθήκης σας από το κέντρο δεδομένων OneLake ή το στοιχείο Αποθήκη, επιλέγοντας Κοινή χρήση από τη γρήγορη ενέργεια, όπως επισημαίνεται στην παρακάτω εικόνα.
Κοινή χρήση αποθήκης
Θα σας ζητηθούν επιλογές για να επιλέξετε με ποιον θα θέλατε να κοινοποιήσετε την Αποθήκη, τα δικαιώματα που θα τους εκχωρήσετε και εάν θα ειδοποιηθούν μέσω ηλεκτρονικού ταχυδρομείου. Όταν συμπληρώσετε όλα τα απαιτούμενα πεδία, επιλέξτε Εκχώρηση πρόσβασης.
Δείτε περισσότερες λεπτομέρειες σχετικά με κάθε ένα από τα παρεχόμενα δικαιώματα:
- Εάν δεν έχουν επιλεγεί πρόσθετα δικαιώματα - Ο κοινόχρηστος παραλήπτης λαμβάνει από προεπιλογή το δικαίωμα "Ανάγνωση", το οποίο επιτρέπει μόνο στον παραλήπτη να συνδεθεί στο τελικό σημείο ανάλυσης SQL, το ισοδύναμο των δικαιωμάτων CONNECT στον SQL Server. Ο κοινόχρηστος παραλήπτης δεν θα μπορεί να υποβάλει ερώτημα σε οποιονδήποτε πίνακα ή να προβάλει ή να εκτελέσει οποιαδήποτε συνάρτηση ή αποθηκευμένη διαδικασία, εκτός εάν του δοθεί πρόσβαση σε αντικείμενα εντός της Αποθήκης χρησιμοποιώντας την πρόταση T-SQL GRANT .
Σημείωμα
Τα δικαιώματα ReadData, ReadAll και Build είναι ξεχωριστά δικαιώματα που δεν επικαλύπτονται.
Είναι επιλεγμένη η επιλογή "Ανάγνωση όλων των δεδομένων με χρήση SQL" (δικαιώματα "ReadData") - Ο κοινόχρηστος παραλήπτης μπορεί να διαβάσει όλα τα αντικείμενα βάσης δεδομένων εντός της Αποθήκης. Το ReadData είναι το ισοδύναμο του ρόλου db_datareader στον SQL Server. Ο κοινόχρηστος παραλήπτης μπορεί να διαβάσει δεδομένα από όλους τους πίνακες και προβολές εντός της Αποθήκης. Εάν θέλετε να περιορίσετε περαιτέρω και να παρέχετε λεπτομερή πρόσβαση σε ορισμένα αντικείμενα εντός της Αποθήκης, μπορείτε να το κάνετε αυτό χρησιμοποιώντας προτάσεις GRANT/REVOKE/DENY της T-SQL.
- Στο τελικό σημείο ανάλυσης SQL του Lakehouse, η ένδειξη "Ανάγνωση όλων των δεδομένων τελικού σημείου SQL" ισοδυναμεί με "Ανάγνωση όλων των δεδομένων με χρήση SQL".
Είναι επιλεγμένη η επιλογή "Ανάγνωση όλων των δεδομένων με χρήση του Apache Spark" (δικαιώματα "ReadAll")- Ο κοινόχρηστος παραλήπτης έχει πρόσβαση ανάγνωσης στα υποκείμενα αρχεία parquet στο OneLake, τα οποία μπορούν να χρησιμοποιηθούν με χρήση Spark. Η readAll θα πρέπει να παρέχεται μόνο εάν ο κοινόχρηστος παραλήπτης θέλει πλήρη πρόσβαση στα αρχεία της αποθήκης σας χρησιμοποιώντας τον μηχανισμό Spark.
Είναι επιλεγμένο το πλαίσιο ελέγχου "Δημιουργία αναφορών στο προεπιλεγμένο σύνολο δεδομένων" (δικαιώματα "Δημιουργίας") - Ο κοινόχρηστος παραλήπτης μπορεί να δημιουργήσει αναφορές πάνω από το προεπιλεγμένο μοντέλο σημασιολογίας που είναι συνδεδεμένο με την Αποθήκη σας. Θα πρέπει να παρέχεται δόμηση εάν ο κοινόχρηστος παραλήπτης θέλει δικαιώματα δόμησης στο προεπιλεγμένο μοντέλο σημασιολογίας, για τη δημιουργία αναφορών Power BI σε αυτά τα δεδομένα. Το πλαίσιο ελέγχου Δόμηση είναι επιλεγμένο από προεπιλογή, αλλά μπορεί να μην επιλεγεί.
Όταν ο κοινόχρηστος παραλήπτης λάβει το μήνυμα ηλεκτρονικού ταχυδρομείου, μπορεί να επιλέξει Άνοιγμα και να μεταβεί στη σελίδα Κέντρο δεδομένων αποθήκης.
Ανάλογα με το επίπεδο πρόσβασης στο οποίο έχει εκχωρηθεί ο κοινόχρηστος παραλήπτης, ο κοινόχρηστος παραλήπτης μπορεί πλέον να συνδεθεί στο τελικό σημείο ανάλυσης SQL, να υποβάλλει ερώτημα στην Αποθήκη, να δημιουργεί αναφορές ή να διαβάζει δεδομένα μέσω spark.
Δικαιώματα ReadData
Με τα δικαιώματα ReadData , ο κοινόχρηστος παραλήπτης μπορεί να ανοίξει το πρόγραμμα επεξεργασίας Warehouse σε λειτουργία μόνο για ανάγνωση και να ζητήσει από τους πίνακες και τις προβολές εντός της Αποθήκης. Ο κοινόχρηστος παραλήπτης μπορεί επίσης να επιλέξει να αντιγράψει το τελικό σημείο ανάλυσης SQL που παρέχεται και να συνδεθεί σε ένα εργαλείο προγράμματος-πελάτη για την εκτέλεση αυτών των ερωτημάτων.
Για παράδειγμα, στο παρακάτω στιγμιότυπο οθόνης, ένας χρήστης με δικαιώματα ReadData μπορεί να ζητήσει την αποθήκη.
Δικαιώματα ReadAll
Ένας κοινόχρηστος παραλήπτης με δικαιώματα ReadAll μπορεί να βρει τη διαδρομή Σύστημα αρχείων blob Azure (ABFS) στο συγκεκριμένο αρχείο στο OneLake από το τμήμα παραθύρου Ιδιότητες στο πρόγραμμα επεξεργασίας Warehouse. Ο κοινόχρηστος παραλήπτης μπορεί τότε να χρησιμοποιήσει αυτήν τη διαδρομή μέσα σε ένα Spark Notebook για να διαβάσει αυτά τα δεδομένα.
Για παράδειγμα, στο παρακάτω στιγμιότυπο οθόνης, ένας χρήστης με δικαιώματα ReadAll μπορεί να ζητήσει τα δεδομένα με FactSale
ένα ερώτημα Spark σε ένα νέο σημειωματάριο.
Δικαιώματα δημιουργίας
Με τα δικαιώματα δόμησης , ο κοινόχρηστος παραλήπτης μπορεί να δημιουργεί αναφορές πάνω από το προεπιλεγμένο μοντέλο σημασιολογίας που συνδέεται στην Αποθήκη. Ο κοινόχρηστος παραλήπτης μπορεί να δημιουργήσει αναφορές Power BI από το Κέντρο δεδομένων ή να κάνει το ίδιο χρησιμοποιώντας το Power BI Desktop.
Για παράδειγμα, στο παρακάτω στιγμιότυπο οθόνης ένας χρήστης με δικαιώματα δημιουργίας μπορεί να ξεκινήσει την αυτόματη δημιουργία μιας αναφοράς Power BI που βασίζεται στην κοινόχρηστη αποθήκη.
Διαχείριση δικαιωμάτων μόνο για εκτέλεση
Η σελίδα Διαχείριση δικαιωμάτων εμφανίζει τη λίστα των χρηστών στους οποίους έχει εκχωρηθεί πρόσβαση είτε με ανάθεση σε ρόλους χώρου εργασίας είτε με δικαιώματα στοιχείου.
Εάν είστε Διαχείριση ή Μέλος, μεταβείτε στον χώρο εργασίας σας και επιλέξτε Περισσότερες επιλογές. Στη συνέχεια, επιλέξτε Διαχείριση δικαιωμάτων.
Για τους χρήστες στους οποίους δόθηκαν ρόλοι χώρου εργασίας, εμφανίζεται ο αντίστοιχος χρήστης, ο ρόλος χώρου εργασίας και τα δικαιώματα. Διαχείριση, μέλη και συμβάλλοντες έχουν πρόσβαση ανάγνωσης/εγγραφής σε στοιχεία σε αυτόν τον χώρο εργασίας. Οι θεατές έχουν δικαιώματα ReadData και μπορούν να υποβάλλουν ερωτήματα σε όλους τους πίνακες και τις προβολές εντός της Αποθήκης σε αυτόν τον χώρο εργασίας. Τα δικαιώματα στοιχείου Ανάγνωση, ReadData και ReadAll μπορούν να δοθούν στους χρήστες.
Μπορείτε να επιλέξετε να προσθέσετε ή να καταργήσετε δικαιώματα χρησιμοποιώντας τη Διαχείριση δικαιωμάτων:
- Η επιλογή Κατάργηση πρόσβασης καταργεί όλα τα δικαιώματα στοιχείου.
- Η συνάρτηση Remove ReadData καταργεί τα δικαιώματα ReadData .
- Η συνάρτηση Remove ReadAll καταργεί τα δικαιώματα ReadAll .
- Η κατάργηση δόμησης καταργεί τα δικαιώματα δόμησης στο αντίστοιχο προεπιλεγμένο μοντέλο σημασιολογίας.
Περιορισμοί
- Εάν παρέχετε δικαιώματα στοιχείου ή καταργήσετε χρήστες που είχαν προηγουμένως δικαιώματα, η μετάδοση δικαιωμάτων μπορεί να διαρκέσει έως και δύο ώρες. Τα νέα δικαιώματα θα αντικατοπτριστούν αμέσως στην ενότητα "Διαχείριση δικαιωμάτων". Εισέλθετε ξανά για να βεβαιωθείτε ότι τα δικαιώματα αντικατοπτρίζονται στο τελικό σημείο ανάλυσης SQL.
- Οι κοινόχρηστοι παραλήπτες μπορούν να έχουν πρόσβαση στην Αποθήκη χρησιμοποιώντας την ταυτότητα του κατόχου (λειτουργία ανάθεσης). Βεβαιωθείτε ότι ο κάτοχος της Αποθήκης δεν έχει καταργηθεί από τον χώρο εργασίας.
- Οι κοινόχρηστοι παραλήπτες έχουν πρόσβαση μόνο στην Αποθήκη που λαμβάνουν και όχι σε οποιαδήποτε άλλα στοιχεία εντός του ίδιου χώρου εργασίας με την Αποθήκη. Εάν θέλετε να εκχωρήσετε δικαιώματα σε άλλους χρήστες της ομάδας σας για συνεργασία στην Αποθήκη (πρόσβαση ανάγνωσης και εγγραφής), προσθέστε τους ως ρόλους χώρου εργασίας όπως "Μέλος" ή "Συμβάλλων".
- Προς το παρόν, όταν κάνετε κοινή χρήση μιας Αποθήκης και επιλέγετε Ανάγνωση όλων των δεδομένων χρησιμοποιώντας SQL, ο κοινόχρηστος παραλήπτης μπορεί να έχει πρόσβαση στο πρόγραμμα επεξεργασίας Αποθήκης σε λειτουργία μόνο για ανάγνωση. Αυτοί οι κοινόχρηστοι παραλήπτες μπορούν να δημιουργήσουν ερωτήματα, αλλά δεν μπορούν προς το παρόν να αποθηκεύσουν τα ερωτήματά τους.
- Προς το παρόν, η κοινή χρήση μιας Αποθήκης είναι διαθέσιμη μόνο μέσω της εμπειρίας χρήστη.
- Εάν θέλετε να παρέχετε λεπτομερή πρόσβαση σε συγκεκριμένα αντικείμενα εντός της Αποθήκης, θέστε σε κοινή χρήση την Αποθήκη χωρίς πρόσθετα δικαιώματα και, στη συνέχεια, παρέχετε λεπτομερή πρόσβαση σε συγκεκριμένα αντικείμενα χρησιμοποιώντας την πρόταση T-SQL GRANT. Για περισσότερες πληροφορίες, ανατρέξτε στο θέμα Σύνταξη T-SQL για GRANT, REVOKE και DENY.
- Εάν δείτε ότι τα δικαιώματα ReadAll και τα δικαιώματα ReadData είναι απενεργοποιημένα στο παράθυρο διαλόγου κοινής χρήσης, ανανεώστε τη σελίδα.
- Οι κοινόχρηστοι παραλήπτες δεν έχουν δικαίωμα εκ νέου κοινής χρήσης μιας Αποθήκης.
- Εάν μια αναφορά που έχει δημιουργηθεί με βάση την Αποθήκη έχει τεθεί σε κοινή χρήση με έναν άλλο παραλήπτη, ο κοινόχρηστος παραλήπτης χρειάζεται περισσότερα δικαιώματα για πρόσβαση στην αναφορά. Αυτό εξαρτάται από τη λειτουργία πρόσβασης στο μοντέλο σημασιολογίας από το Power BI:
- Εάν η πρόσβαση γίνεται μέσω της λειτουργίας Direct Query, πρέπει να εκχωρηθούν δικαιώματα ReadData (ή λεπτομερή δικαιώματα SQL σε συγκεκριμένους πίνακες/προβολές) στην Αποθήκη.
- Εάν η πρόσβαση γίνεται μέσω της λειτουργίας Direct Lake, τότε πρέπει να εκχωρηθούν δικαιώματα ReadData (ή λεπτομερή δικαιώματα σε συγκεκριμένους πίνακες/προβολές) στην Αποθήκη. Η λειτουργία Direct Lake είναι ο προεπιλεγμένος τύπος σύνδεσης για σημασιολογικά μοντέλα που χρησιμοποιούν ένα τελικό σημείο ανάλυσης Warehouse ή SQL ως προέλευση δεδομένων. Για περισσότερες πληροφορίες, ανατρέξτε στο θέμα Λειτουργία Direct Lake.
- Εάν η πρόσβαση γίνεται μέσω της λειτουργίας εισαγωγής , δεν απαιτούνται πρόσθετα δικαιώματα.
- Προς το παρόν, δεν υποστηρίζεται κοινή χρήση μιας αποθήκης απευθείας με ένα SPN.
Δυνατότητες προστασίας δεδομένων
Η αποθήκη δεδομένων Microsoft Fabric υποστηρίζει διάφορες τεχνολογίες που μπορούν να χρησιμοποιήσουν οι διαχειριστές για την προστασία ευαίσθητων δεδομένων από μη εξουσιοδοτημένη προβολή. Με την ασφάλεια ή τη συσκότιση δεδομένων από μη εξουσιοδοτημένους χρήστες ή ρόλους, αυτές οι δυνατότητες ασφαλείας μπορούν να παρέχουν προστασία δεδομένων σε ένα τελικό σημείο ανάλυσης Αποθήκης και SQL χωρίς αλλαγές στην εφαρμογή.
- Η ασφάλεια σε επίπεδο στηλών αποτρέπει τη μη εξουσιοδοτημένη προβολή στηλών σε πίνακες.
- Η ασφάλεια σε επίπεδο γραμμών αποτρέπει τη μη εξουσιοδοτημένη προβολή των γραμμών σε πίνακες, χρησιμοποιώντας οικεία
WHERE
κατηγορήματα φίλτρου ρητρών. - Η δυναμική απόκρυψη δεδομένων αποτρέπει τη μη εξουσιοδοτημένη προβολή ευαίσθητων δεδομένων, χρησιμοποιώντας μάσκες για την αποτροπή ολοκλήρωσης της πρόσβασης, όπως διευθύνσεις ηλεκτρονικού ταχυδρομείου ή αριθμούς.
Σχετικό περιεχόμενο
Σχόλια
https://aka.ms/ContentUserFeedback.
Σύντομα διαθέσιμα: Καθ' όλη τη διάρκεια του 2024 θα καταργήσουμε σταδιακά τα ζητήματα GitHub ως μηχανισμό ανάδρασης για το περιεχόμενο και θα το αντικαταστήσουμε με ένα νέο σύστημα ανάδρασης. Για περισσότερες πληροφορίες, ανατρέξτε στο θέμα:Υποβολή και προβολή σχολίων για