Κοινή χρήση των δεδομένων σας και διαχείριση δικαιωμάτων

Ισχύει για:✅Warehouse και Mirrored Database στο Microsoft Fabric

Η κοινή χρήση είναι ένας εύχρηστος τρόπος για να παρέχετε στους χρήστες πρόσβαση ανάγνωσης στα δεδομένα σας για κατανάλωση κατάντη. Η κοινή χρήση επιτρέπει στους μεταγενέστερους χρήστες στον οργανισμό σας να χρησιμοποιήσουν μια Αποθήκη χρησιμοποιώντας T-SQL, Spark ή Power BI. Μπορείτε να προσαρμόσετε το επίπεδο δικαιωμάτων που εκχωρείται στον κοινόχρηστο παραλήπτη για την παροχή του κατάλληλου επιπέδου πρόσβασης.

Σημείωση

Πρέπει να είστε διαχειριστής ή μέλος στον χώρο εργασίας σας για να κάνετε κοινή χρήση ενός στοιχείου στο Microsoft Fabric.

Έναρξη

Αφού προσδιορίσετε το στοιχείο Αποθήκη που θα θέλατε να μοιραστείτε με έναν άλλο χρήστη στον χώρο εργασίας σας Fabric, επιλέξτε τη γρήγορη ενέργεια στη γραμμή για Κοινή χρήση.

Τα παρακάτω gif με κίνηση αναθεωρούν τα βήματα για να επιλέξετε μια αποθήκη για κοινή χρήση, επιλέξτε τα δικαιώματα εκχώρησης και, στη συνέχεια , εκχωρήστε τα δικαιώματα σε έναν άλλο χρήστη.

Κοινή χρήση αποθήκης

1. Μπορείτε να κάνετε κοινή χρήση της Αποθήκης σας από το στοιχείο OneLake ή Warehouse, επιλέγοντας Κοινή χρήση από τη γρήγορη ενέργεια, όπως επισημαίνεται στην παρακάτω εικόνα.

2. Θα σας ζητηθούν επιλογές για να επιλέξετε με ποιον θα θέλατε να κοινοποιήσετε την Αποθήκη, τα δικαιώματα εκχώρησης και εάν θα ειδοποιηθούν μέσω ηλεκτρονικού ταχυδρομείου.

3. Συμπληρώστε όλα τα απαιτούμενα πεδία, επιλέξτε Εκχώρηση πρόσβασης.

4. Όταν ο κοινόχρηστος παραλήπτης λάβει το μήνυμα ηλεκτρονικού ταχυδρομείου, μπορεί να επιλέξει Άνοιγμα και να μεταβεί στη σελίδα καταλόγου Warehouse OneLake.

   

5. Ανάλογα με το επίπεδο πρόσβασης στο οποίο έχει εκχωρηθεί ο κοινόχρηστος παραλήπτης, ο κοινόχρηστος παραλήπτης μπορεί πλέον να συνδεθεί στο τελικό σημείο ανάλυσης SQL, να υποβάλλει ερώτημα στην Αποθήκη, να δημιουργεί αναφορές ή να διαβάζει δεδομένα μέσω spark.

Ρόλοι ασφαλείας Fabric

Δείτε περισσότερες λεπτομέρειες σχετικά με κάθε ένα από τα παρεχόμενα δικαιώματα:

• Εάν δεν έχουν επιλεγεί πρόσθετα δικαιώματα - Ο κοινόχρηστος παραλήπτης λαμβάνει από προεπιλογή το δικαίωμα "Ανάγνωση", το οποίο επιτρέπει μόνο στον παραλήπτη να συνδεθεί στο τελικό σημείο ανάλυσης SQL, το ισοδύναμο των δικαιωμάτων CONNECT στον SQL Server. Ο κοινόχρηστος παραλήπτης δεν θα μπορεί να υποβάλει ερώτημα σε οποιονδήποτε πίνακα ή προβολή ή να εκτελέσει οποιαδήποτε συνάρτηση ή αποθηκευμένη διαδικασία, εκτός εάν του δοθεί πρόσβαση σε αντικείμενα εντός της Αποθήκης χρησιμοποιώντας την πρόταση T-SQL GRANT .

Συμβουλή

Τα readData (που χρησιμοποιούνται από την αποθήκη για δικαιώματα T-SQL), ReadAll (που χρησιμοποιούνται από το OneLake και το τελικό σημείο ανάλυσης SQL) και Δόμηση (που χρησιμοποιείται από το Power BI) είναι ξεχωριστά δικαιώματα που δεν επικαλύπτονται.

• Είναι επιλεγμένο το στοιχείο "Ανάγνωση όλων των δεδομένων με χρήση SQL" (δικαιώματα "ReadData")- Ο κοινόχρηστος παραλήπτης μπορεί να διαβάσει όλα τα αντικείμενα εντός της Αποθήκης. Το ReadData είναι το ισοδύναμο του ρόλου db_datareader στον SQL Server. Ο κοινόχρηστος παραλήπτης μπορεί να διαβάσει δεδομένα από όλους τους πίνακες και προβολές εντός της Αποθήκης. Εάν θέλετε να περιορίσετε περαιτέρω και να παρέχετε λεπτομερή πρόσβαση σε ορισμένα αντικείμενα εντός της Αποθήκης, μπορείτε να το κάνετε αυτό χρησιμοποιώντας προτάσεις T-SQLGRANT/REVOKE/DENY.

  • Στο τελικό σημείο ανάλυσης SQL του Lakehouse, η ένδειξη "Ανάγνωση όλων των δεδομένων τελικού σημείου SQL" ισοδυναμεί με "Ανάγνωση όλων των δεδομένων με χρήση SQL".

• Είναι επιλεγμένη η επιλογή "Ανάγνωση όλων των δεδομένων με χρήση του Apache Spark" (δικαιώματα "ReadAll")- Ο κοινόχρηστος παραλήπτης έχει πρόσβαση ανάγνωσης στα υποκείμενα αρχεία parquet στο OneLake, τα οποία μπορούν να χρησιμοποιηθούν με χρήση Spark. Η readAll θα πρέπει να παρέχεται μόνο εάν ο κοινόχρηστος παραλήπτης θέλει πλήρη πρόσβαση στα αρχεία της αποθήκης σας χρησιμοποιώντας τον μηχανισμό Spark.

• Είναι επιλεγμένο το πλαίσιο ελέγχου "Δημιουργία αναφορών στο προεπιλεγμένο σύνολο δεδομένων" (δικαιώματα "Δημιουργίας") - Ο κοινόχρηστος παραλήπτης μπορεί να δημιουργήσει αναφορές πάνω από το προεπιλεγμένο μοντέλο σημασιολογίας που είναι συνδεδεμένο με την Αποθήκη σας. Θα πρέπει να παρέχεται δόμηση εάν ο κοινόχρηστος παραλήπτης θέλει δικαιώματα δόμησης στο προεπιλεγμένο μοντέλο σημασιολογίας, για τη δημιουργία αναφορών Power BI σε αυτά τα δεδομένα. Το πλαίσιο ελέγχου Δόμηση είναι επιλεγμένο από προεπιλογή, αλλά μπορεί να μην επιλεγεί.

Δικαιώματα ReadData

Με τα δικαιώματα ReadData , ο κοινόχρηστος παραλήπτης μπορεί να ανοίξει το πρόγραμμα επεξεργασίας Warehouse σε λειτουργία μόνο για ανάγνωση και να ζητήσει από τους πίνακες και τις προβολές εντός της Αποθήκης. Ο κοινόχρηστος παραλήπτης μπορεί επίσης να επιλέξει να αντιγράψει το τελικό σημείο ανάλυσης SQL που παρέχεται και να συνδεθεί σε ένα εργαλείο προγράμματος-πελάτη για την εκτέλεση αυτών των ερωτημάτων.

Δικαιώματα ReadAll

Ένας κοινόχρηστος παραλήπτης με δικαιώματα ReadAll μπορεί να βρει τη διαδρομή Σύστημα αρχείων blob Azure (ABFS) στο συγκεκριμένο αρχείο στο OneLake από το τμήμα παραθύρου Ιδιότητες στο πρόγραμμα επεξεργασίας Warehouse. Ο κοινόχρηστος παραλήπτης μπορεί τότε να χρησιμοποιήσει αυτήν τη διαδρομή μέσα σε ένα Spark Notebook για να διαβάσει αυτά τα δεδομένα.

Για παράδειγμα, στο παρακάτω στιγμιότυπο οθόνης, ένας χρήστης με δικαιώματα ReadAll μπορεί να ζητήσει τα δεδομένα με FactSale ένα ερώτημα Spark σε ένα νέο σημειωματάριο.

Δικαιώματα δημιουργίας

Με τα δικαιώματα δόμησης , ο κοινόχρηστος παραλήπτης μπορεί να δημιουργεί αναφορές πάνω από το προεπιλεγμένο μοντέλο σημασιολογίας που συνδέεται στην Αποθήκη. Ο κοινόχρηστος παραλήπτης μπορεί να δημιουργήσει αναφορές Power BI από τον κατάλογο OneLake ή να κάνει το ίδιο χρησιμοποιώντας το Power BI Desktop.

Διαχείριση δικαιωμάτων μόνο για εκτέλεση

Η σελίδα Διαχείριση δικαιωμάτων εμφανίζει τη λίστα των χρηστών στους οποίους έχει εκχωρηθεί πρόσβαση είτε με ανάθεση σε ρόλους χώρου εργασίας είτε με δικαιώματα στοιχείου.

Εάν είστε μέλος των ρόλων διαχειριστή ή χώρου εργασίας μέλους , μεταβείτε στον χώρο εργασίας σας και επιλέξτε Περισσότερες επιλογές. Στη συνέχεια, επιλέξτε Διαχείριση δικαιωμάτων.

Για τους χρήστες στους οποίους δόθηκαν ρόλοι χώρου εργασίας, θα δείτε τον αντίστοιχο χρήστη, ρόλο χώρου εργασίας και δικαιώματα. Τα μέλη των ρόλων χώρου εργασίας Διαχειριστής, Μέλος και Συμβάλλων έχουν πρόσβαση ανάγνωσης/εγγραφής σε στοιχεία σε αυτόν τον χώρο εργασίας. Οι θεατές έχουν δικαιώματα ReadData και μπορούν να υποβάλλουν ερωτήματα σε όλους τους πίνακες και τις προβολές εντός της Αποθήκης σε αυτόν τον χώρο εργασίας. Τα δικαιώματα στοιχείου Ανάγνωση, ReadData και ReadAll μπορούν να δοθούν στους χρήστες.

Μπορείτε να επιλέξετε να προσθέσετε ή να καταργήσετε δικαιώματα χρησιμοποιώντας τη Διαχείριση δικαιωμάτων:

• Η επιλογή Κατάργηση πρόσβασης καταργεί όλα τα δικαιώματα στοιχείου.
• Η συνάρτηση Remove ReadData καταργεί τα δικαιώματα ReadData .
• Η συνάρτηση Remove ReadAll καταργεί τα δικαιώματα ReadAll .
• Η κατάργηση δόμησης καταργεί τα δικαιώματα δόμησης στο αντίστοιχο προεπιλεγμένο μοντέλο σημασιολογίας.

Δυνατότητες προστασίας δεδομένων

Η αποθήκη δεδομένων Microsoft Fabric υποστηρίζει διάφορες τεχνολογίες που μπορούν να χρησιμοποιήσουν οι διαχειριστές για την προστασία ευαίσθητων δεδομένων από μη εξουσιοδοτημένη προβολή. Με την ασφάλεια ή τη συσκότιση δεδομένων από μη εξουσιοδοτημένους χρήστες ή ρόλους, αυτές οι δυνατότητες ασφαλείας μπορούν να παρέχουν προστασία δεδομένων σε ένα τελικό σημείο ανάλυσης Αποθήκης και SQL χωρίς αλλαγές στην εφαρμογή.

• Η ασφάλεια σε επίπεδο στηλών αποτρέπει τη μη εξουσιοδοτημένη προβολή στηλών σε πίνακες.
• Η ασφάλεια σε επίπεδο γραμμών αποτρέπει τη μη εξουσιοδοτημένη προβολή των γραμμών σε πίνακες, χρησιμοποιώντας οικεία WHERE κατηγορήματα φίλτρου ρητρών.
• Η δυναμική απόκρυψη δεδομένων αποτρέπει τη μη εξουσιοδοτημένη προβολή ευαίσθητων δεδομένων, χρησιμοποιώντας μάσκες για την αποτροπή ολοκλήρωσης της πρόσβασης, όπως διευθύνσεις ηλεκτρονικού ταχυδρομείου ή αριθμούς.

Περιορισμοί

• Εάν παρέχετε δικαιώματα στοιχείου ή καταργήσετε χρήστες που είχαν προηγουμένως δικαιώματα, η μετάδοση δικαιωμάτων μπορεί να διαρκέσει έως και δύο ώρες. Τα νέα δικαιώματα είναι ορατά αμέσως στην ενότητα Διαχείριση δικαιωμάτων . Εισέλθετε ξανά για να βεβαιωθείτε ότι τα δικαιώματα αντικατοπτρίζονται στο τελικό σημείο ανάλυσης SQL.
• Οι κοινόχρηστοι παραλήπτες μπορούν να έχουν πρόσβαση στην Αποθήκη χρησιμοποιώντας την ταυτότητα του κατόχου (λειτουργία ανάθεσης). Βεβαιωθείτε ότι ο κάτοχος της Αποθήκης δεν έχει καταργηθεί από τον χώρο εργασίας.
• Οι κοινόχρηστοι παραλήπτες έχουν πρόσβαση μόνο στην Αποθήκη που λαμβάνουν και όχι σε οποιαδήποτε άλλα στοιχεία εντός του ίδιου χώρου εργασίας με την Αποθήκη. Εάν θέλετε να εκχωρήσετε δικαιώματα σε άλλους χρήστες της ομάδας σας για συνεργασία στην Αποθήκη (πρόσβαση ανάγνωσης και εγγραφής), προσθέστε τους ως ρόλους χώρου εργασίας όπως Μέλος ή Συμβάλλων.
• Προς το παρόν, όταν κάνετε κοινή χρήση μιας Αποθήκης και επιλέγετε Ανάγνωση όλων των δεδομένων χρησιμοποιώντας SQL, ο κοινόχρηστος παραλήπτης μπορεί να έχει πρόσβαση στο πρόγραμμα επεξεργασίας Αποθήκης σε λειτουργία μόνο για ανάγνωση. Αυτοί οι κοινόχρηστοι παραλήπτες μπορούν να δημιουργήσουν ερωτήματα, αλλά δεν μπορούν προς το παρόν να αποθηκεύσουν τα ερωτήματά τους.
• Προς το παρόν, η κοινή χρήση μιας Αποθήκης είναι διαθέσιμη μόνο μέσω της εμπειρίας χρήστη.
• Εάν θέλετε να παρέχετε λεπτομερή πρόσβαση σε συγκεκριμένα αντικείμενα εντός της Αποθήκης, θέστε σε κοινή χρήση την Αποθήκη χωρίς πρόσθετα δικαιώματα και, στη συνέχεια, παρέχετε λεπτομερή πρόσβαση σε συγκεκριμένα αντικείμενα χρησιμοποιώντας την πρόταση T-SQL GRANT. Για περισσότερες πληροφορίες, ανατρέξτε στο θέμα Σύνταξη T-SQL για GRANT, REVOKE και DENY.
• Εάν δείτε ότι τα δικαιώματα ReadAll και τα δικαιώματα ReadData είναι απενεργοποιημένα στο παράθυρο διαλόγου κοινής χρήσης, ανανεώστε τη σελίδα.
• Οι κοινόχρηστοι παραλήπτες δεν έχουν δικαίωμα εκ νέου κοινής χρήσης μιας Αποθήκης.
• Εάν μια αναφορά που έχει δημιουργηθεί με βάση την Αποθήκη έχει τεθεί σε κοινή χρήση με έναν άλλο παραλήπτη, ο κοινόχρηστος παραλήπτης χρειάζεται περισσότερα δικαιώματα για πρόσβαση στην αναφορά. Αυτό εξαρτάται από τη λειτουργία πρόσβασης στο μοντέλο σημασιολογίας από το Power BI:
  • Εάν η πρόσβαση γίνεται μέσω της λειτουργίας Direct Query, πρέπει να εκχωρηθούν δικαιώματα ReadData (ή λεπτομερή δικαιώματα SQL σε συγκεκριμένους πίνακες/προβολές) στην Αποθήκη.
  • Εάν η πρόσβαση γίνεται μέσω της λειτουργίας Direct Lake, τότε πρέπει να εκχωρηθούν δικαιώματα ReadData (ή λεπτομερή δικαιώματα σε συγκεκριμένους πίνακες/προβολές) στην Αποθήκη. Η λειτουργία Direct Lake είναι ο προεπιλεγμένος τύπος σύνδεσης για σημασιολογικά μοντέλα που χρησιμοποιούν ένα τελικό σημείο ανάλυσης Warehouse ή SQL ως προέλευση δεδομένων. Για περισσότερες πληροφορίες, ανατρέξτε στο θέμα Λειτουργία Direct Lake.
  • Εάν η πρόσβαση γίνεται μέσω της λειτουργίας εισαγωγής , δεν απαιτούνται πρόσθετα δικαιώματα.
  • Προς το παρόν, δεν υποστηρίζεται κοινή χρήση μιας αποθήκης απευθείας με ένα SPN.

Σχετικό περιεχόμενο

• Υποβολή ερωτήματος στο τελικό σημείο ανάλυσης SQL ή στην Αποθήκη στο Microsoft Fabric
• Τρόπος χρήσης σημειωματάριων Microsoft Fabric
• Συντομεύσεις OneLake Access Fabric σε ένα σημειωματάριο Apache Spark
• Περιήγηση στην εξερεύνηση του Fabric Lakehouse
• GRANT (Transact-SQL)