Varaston jakaminen ja käyttöoikeuksien hallinta
Koskee seuraavia:Microsoft Fabricn varastotietokantaa ja peilattua tietokantaa
Jakaminen on kätevä tapa tarjota käyttäjille lukuoikeus varastoosi jatkokäyttöä varten. Jakamisen avulla organisaatiosi loppukäyttäjät voivat käyttää varastoa SQL:n, Sparkin tai Power BI:n avulla. Voit mukauttaa jaetun vastaanottajan käyttöoikeustasoa ja tarjota asianmukaisen käyttöoikeustason.
Muistiinpano
Sinun on oltava järjestelmänvalvoja tai työtilasi jäsen, jotta voit jakaa varaston Microsoft Fabricissa.
Aloittaminen
Kun olet tunnistanut Varaston, jonka haluat jakaa toisen käyttäjän kanssa Fabric-työtilassa, valitse pikatoiminto riviltä Jaa varasto - kohtaan.
Seuraava animoitu GIF tarkistaa vaiheet, joilla voit valita jaettavan varaston, valita määritettävät käyttöoikeudet ja lopuksi myöntää käyttöoikeudet toiselle käyttäjälle.
Voit jakaa varastosi OneLake-tietokeskuksesta tai Varasto-kohteesta valitsemalla Jaa pikatoiminnosta seuraavassa kuvassa korostetun mukaisesti.
Jaa varasto
Näyttöön tulee kehote, jossa voit valita, kenelle haluat jakaa varaston, mitä oikeuksia sinulla on niiden myöntämiseen ja ilmoitetaanko niistä sähköpostitse. Kun olet täyttänyt kaikki pakolliset kentät, valitse Myönnä käyttöoikeus.
Tässä on lisätietoja annetuista käyttöoikeuksista:
- Jos muita käyttöoikeuksia ei ole valittuna – Jaettu vastaanottaja saa oletusarvoisesti "lukuoikeuden", joka sallii vastaanottajan muodostaa yhteyden vain SQL-analytiikan päätepisteeseen, joka vastaa CONNECT-käyttöoikeuksia SQL Serverissä. Jaettu vastaanottaja ei voi tehdä kyselyjä mistään taulukosta, tarkastella eikä suorittaa mitään funktioita tai tallennettuja toimintosarjoja, ellei heille ole annettu käyttöoikeutta varaston objekteihin T-SQL GRANT -lausekkeen avulla.
Muistiinpano
ReadData, ReadAll ja Muodosta ovat erillisiä käyttöoikeuksia, joita ei ole päällekkäin.
"Lue kaikki tiedot SQL:n avulla" on valittuna ("ReadData"-käyttöoikeudet)- Jaettu vastaanottaja voi lukea kaikki Warehousen tietokantaobjektit. ReadData vastaa db_datareader roolia SQL Serverissä. Jaettu vastaanottaja voi lukea tietoja kaikista Warehousen taulukoista ja näkymistä. Jos haluat rajoittaa ja antaa vaiheittaista pääsyä joihinkin Warehousen objekteihin, voit tehdä sen käyttämällä T-SQL GRANT/REVOKE/DENY-lausekkeita.
- Lakehousen SQL-analytiikan päätepisteessä "Read all SQL Endpoint data" vastaa "Read all data using SQL".
"Lue kaikki tiedot käyttämällä Apache Sparkiä" on valittuna ("ReadAll"-käyttöoikeudet)- Jaetulla vastaanottajalla on lukuoikeus OneLakessa pohjana oleviin parquet-tiedostoihin, joita voidaan käyttää Sparkin avulla. ReadAll-funktio tulee antaa vain, jos jaettu vastaanottaja haluaa täydet käyttöoikeudet varastosi tiedostoihin Spark-moduulin avulla.
Koosta raportteja oletustietojoukolle -valintaruutu on valittuna (muodostamisoikeudet). Jaettu vastaanottaja voi luoda raportteja varastoon yhdistetyn oletusarvoisen semanttisen mallin päälle. Koontiversio tulee antaa, jos jaettu vastaanottaja haluaa koontiversio-oikeudet oletusarvoiseen semanttiseen malliin, jotta näitä tietoja koskevat Power BI -raportit voidaan luoda. Koontiversio-valintaruutu on oletusarvoisesti valittuna, mutta sitä ei voi valita.
Kun jaettu vastaanottaja saa sähköpostiviestin, hän voi valita Avaa ja siirtyä Varaston tietokeskus -sivulle.
Jaetun vastaanottajan käyttöoikeustasosta riippuen jaettu vastaanottaja voi nyt muodostaa yhteyden SQL-analytiikan päätepisteeseen, tehdä kyselyn varastoon, luoda raportteja tai lukea tietoja Sparkin kautta.
ReadData-käyttöoikeudet
ReadData-oikeuksilla jaettu vastaanottaja voi avata Varasto-editorin Vain luku -tilassa ja tehdä kyselyn varaston taulukoista ja näkymistä. Jaettu vastaanottaja voi myös kopioida annetun SQL-analytiikan päätepisteen ja muodostaa yhteyden asiakastyökaluun tällaisten kyselyiden suorittamiseksi.
Esimerkiksi seuraavassa näyttökuvassa käyttäjä, jolla on ReadData-käyttöoikeudet , voi tehdä kyselyn varastoon.
ReadAll-käyttöoikeudet
Jaettu vastaanottaja, jolla on ReadAll-käyttöoikeudet , voi löytää Azure Blob File System (ABFS) -polun tiettyyn tiedostoon OneLakessa Varastoeditorin Ominaisuudet-ruudusta. Jaettu vastaanottaja voi tämän polun avulla lukea nämä tiedot Spark-muistikirjassa.
Esimerkiksi seuraavassa näyttökuvassa käyttäjä, jolla on ReadAll-käyttöoikeudet , voi kysellä tietoja FactSale
Spark-kyselyllä uudessa muistikirjassa.
Muodostamisoikeudet
Muodostamisoikeuksilla jaettu vastaanottaja voi luoda raportteja oletussmanttisen mallin lisäksi, joka on yhdistetty varastoon. Jaettu vastaanottaja voi luoda Power BI -raportteja tietokeskuksesta tai tehdä saman käyttämällä Power BI Desktopia.
Esimerkiksi seuraavassa näyttökuvassa käyttäjä, jolla on muodostamisoikeudet , voi aloittaa Power BI -raportin automaattisen luomisen jaetun varaston perusteella.
Käyttöoikeuksien hallinta
Käyttöoikeuksien hallinta -sivulla näkyy luettelo käyttäjistä, joille on myönnetty käyttöoikeus joko määrittämällä työtilan rooleihin tai kohteen käyttöoikeuksiin.
Jos olet Hallinta tai jäsen, siirry työtilaasi ja valitse Lisää vaihtoehtoja. Valitse sitten Käyttöoikeuksien hallinta.
Käyttäjille, joille annettiin työtilarooleja, näet vastaavan käyttäjän, työtilan roolin ja käyttöoikeudet. Hallinta jäsenillä ja osallistujilla on luku- ja kirjoitusoikeus tämän työtilan kohteisiin. Katselijilla on ReadData-käyttöoikeudet ja he voivat tehdä kyselyjä kaikista kyseisen työtilan Varastossa kuuluvista taulukoista ja näkymistä. Kohteen käyttöoikeudet Read, ReadData ja ReadAll voidaan antaa käyttäjille.
Voit lisätä tai poistaa käyttöoikeuksia käyttämällä käyttöoikeuksien hallintaa:
- Poista käyttö poistaa kaikki kohteen käyttöoikeudet.
- Poista ReadData poistaa ReadData-käyttöoikeudet.
- Poista ReadAll poistaa ReadAll-käyttöoikeudet .
- Poista koontiversio poistaa muodostamisoikeudet vastaavaan oletusarvoiseen semanttiseen malliin.
Rajoitukset
- Jos annat kohteen käyttöoikeudet tai poistat käyttäjiä, joilla on aiemmin ollut käyttöoikeudet, käyttöoikeuksien levitys voi kestää enintään kaksi tuntia. Uudet käyttöoikeudet näkyvät heti Käyttöoikeuksien hallinta -kohdassa. Kirjaudu sisään uudelleen ja varmista, että oikeudet näkyvät SQL-analytiikan päätepisteessä.
- Jaetut vastaanottajat voivat käyttää varastoa omistajan käyttäjätiedoilla (delegoitu tila). Varmista, että Varaston omistajaa ei poissteta työtilasta.
- Jaetut vastaanottajat voivat käyttää ainoastaan vastaanottamaansa varastoa, eivät muita kohteita, jotka ovat samassa työtilassa kuin Varasto. Jos haluat antaa ryhmän muille käyttäjille oikeudet tehdä yhteistyötä Varastossa (luku- ja kirjoitusoikeudet), lisää heidät työtilan rooleiksi, kuten "Jäsen" tai "Osallistuja".
- Tällä hetkellä, kun jaat Varaston ja valitset Lue kaikki tiedot SQL:n avulla, jaettu vastaanottaja voi käyttää Warehouse-editoria vain luku -tilassa. Nämä jaetut vastaanottajat voivat luoda kyselyitä, mutta he eivät voi nykyisin tallentaa kyselyjään.
- Tällä hetkellä varaston jakaminen on käytettävissä vain käyttökokemuksen kautta.
- Jos haluat antaa vaiheittaisen käyttöoikeuden tiettyihin objekteihin Warehousessa, jaa Varasto ilman lisäkäyttöoikeuksia ja anna sitten vaiheittainen käyttöoikeus tiettyihin objekteihin T-SQL GRANT -lausekkeen avulla. Lisätietoja on artikkelissa T-SQL-syntaksi parametrille GRANT, REVOKE ja DENY.
- Jos näet, että ReadAll-käyttöoikeudet ja ReadData-käyttöoikeudet on poistettu käytöstä jakamisvalintaikkunassa, päivitä sivu.
- Jaetuilla vastaanottajilla ei ole oikeutta jakaa varastoa uudelleen.
- Jos varaston päälle luotu raportti jaetaan toisen vastaanottajan kanssa, jaettu vastaanottaja tarvitsee enemmän oikeuksia raportin käyttämiseen. Tämä riippuu power BI:n semanttisen mallin käyttötilasta:
- Jos sitä käsitellään suoran kyselytilan kautta, warehouseen on annettava Lukudata-käyttöoikeudet (tai eriytetyt SQL-käyttöoikeudet tiettyihin taulukoihin tai näkymiin).
- Jos sitä käsitellään Direct Lake -tilan kautta, warehouseen on annettava ReadData-käyttöoikeudet (tai tiettyjen taulukoiden tai näkymien eriytetyt käyttöoikeudet). Direct Lake -tila on oletusyhteystyyppi semanttisille malleille, jotka käyttävät tietolähteenä Warehouse- tai SQL-analytiikan päätepistettä. Lisätietoja on kohdassa Direct Lake -tila.
- Jos sitä käytetään tuontitilan kautta, lisäoikeuksia ei tarvita.
- Tällä hetkellä varaston jakamista suoraan palvelun päänimen kanssa ei tueta.
Tietosuojaominaisuudet
Microsoft Fabric -tietovarasto tukee useita tekniikoita, joiden avulla järjestelmänvalvojat voivat suojata arkaluonteisia tietoja luvattomalta tarkastelemiselta. Suojaamalla tai poistamalla tietoja valtuuttamattomilta käyttäjiltä tai rooleilta nämä suojausominaisuudet voivat tarjota tietojen suojaamisen sekä Warehouse- että SQL-analytiikan päätepisteessä ilman sovelluksen muutoksia.
- Saraketason suojaus estää sarakkeiden luvattoman tarkastelemisen taulukoissa.
- Rivitason suojaus estää rivien luvattoman tarkastelemisen taulukoissa käyttämällä tuttuja
WHERE
lausesuodatinpredikaatteja. - Dynaaminen tietojen peittäminen estää luottamuksellisten tietojen luvattoman tarkastelemisen käyttämällä rajoitteita, jotka estävät pääsyn täydentämiseen, kuten sähköpostiosoitteet tai numerot.
Liittyvä sisältö
Palaute
https://aka.ms/ContentUserFeedback.
Tulossa pian: Vuoden 2024 aikana poistamme asteittain GitHub Issuesin käytöstä sisällön palautemekanismina ja korvaamme sen uudella palautejärjestelmällä. Lisätietoja on täällä:Lähetä ja näytä palaute kohteelle