Jaa

Rivitason suojauksen käyttöönotto Microsoft Fabric -tietovarastossa

  • Artikkeli

Koskee:✅ SQL-analytiikan päätepiste ja Microsoft Fabric -varasto

Fabric Warehousen ja SQL-analytiikan päätepisteen rivitason suojauksen (RLS) avulla voit hallita tietokantataulukon rivien käyttöä käyttäjäroolien ja predikaattien perusteella. Lisätietoja on artikkelissa Rivitason suojaus Fabric-tietovarastoinnissa.

Tässä oppaassa käydään läpi vaiheet, joiden avulla voit ottaa käyttöön rivitason suojauksen Microsoft Fabric Warehousessa tai SQL-analytiikan päätepisteessä.

Edellytykset

Ennen kuin aloitat, varmista, että sinulla on seuraavat:

  1. Fabric-työtila, jolla on aktiivinen kapasiteetti tai kokeilukapasiteetti.
  2. Fabric Warehouse- tai SQL-analytiikan päätepiste Lakehousessa.
  3. Joko työtilan järjestelmänvalvojan, jäsenen tai osallistujan oikeudet tai laajennetut käyttöoikeudet Warehouse- tai SQL-analytiikan päätepisteessä.

1. Yhdistä

  1. Kirjaudu sisään käyttämällä tiliä, jolla on laajennettu käyttöoikeus Warehouse- tai SQL-analytiikan päätepisteeseen. (Joko järjestelmänvalvojan, jäsenen tai osallistujan rooli työtilassa tai Ohjausobjektin käyttöoikeudet Varasto- tai SQL-analytiikan päätepisteessä).
  2. Avaa Fabric-työtila ja siirry Warehouse- tai SQL-analytiikan päätepisteeseen, johon haluat käyttää rivitason suojausta.

2. Suojauskäytäntöjen määrittäminen

  1. Määritä roolit ja predikaatit, joita haluat käyttää tietojen käytön hallintaan. Roolit määrittävät, ketkä voivat käyttää tietoja, ja predikaatit määrittävät käytön ehdot.

  2. Luo suojauspredikaatteja. Suojauspredikaatit ovat ehtoja, jotka määrittävät, mitä rivejä käyttäjä voi käyttää. Voit luoda suojauspredikaatteja tekstiin sidottuina taulukkoarvoisena funktiona. Tässä yksinkertaisessa harjoituksessa oletetaan, että tietotaulukossa on sarake, UserName_columnjoka sisältää asianmukaisen käyttäjänimen, jonka järjestelmäfunktio täyttää USER_NAME().

    -- Creating schema for Security
CREATE SCHEMA Security;
GO

-- Creating a function for the SalesRep evaluation
CREATE FUNCTION Security.tvf_securitypredicate(@UserName AS varchar(50))
    RETURNS TABLE
WITH SCHEMABINDING
AS
    RETURN SELECT 1 AS tvf_securitypredicate_result
WHERE @UserName = USER_NAME();
GO

-- Using the function to create a Security Policy
CREATE SECURITY POLICY YourSecurityPolicy
ADD FILTER PREDICATE Security.tvf_securitypredicate(UserName_column)
ON sampleschema.sampletable
WITH (STATE = ON);
GO

  3. Korvaa YourSecurityPolicy käytäntönimellä tvf_securitypredicate predikaattifunktion sampleschema nimellä rakenteen nimellä ja sampletable kohdetaulukon nimellä.

  4. Korvaa UserName_column käyttäjänimiä sisältävällä sarakkeella taulukossa.

  5. Korvaa WHERE @UserName = USER_NAME(); lausekkeella WHERE , joka vastaa haluttua predikaattipohjaista suojaussuodatinta. Esimerkiksi tämä suodattaa tiedot, joissa UserName parametriin yhdistetty @UserName sarake vastaa järjestelmäfunktion USER_NAME()-funktion tulosta.

  6. Voit tarvittaessa luoda suojauskäytäntöjä muille taulukoille toistamalla nämä vaiheet.

3. Rivitason suojauksen testaaminen

  1. Kirjaudu Sisään Fabriciin käyttäjänä, joka on roolin jäsen liittyvässä suojauskäytännössä. Seuraavan kyselyn avulla voit vahvistaa arvon, jonka pitäisi vastata taulukossa.

    SELECT USER_NAME()

  2. Kysely tietokantataulukoista sen varmistamiseksi, että rivitason suojaus toimii odotetulla tavalla. Käyttäjien tulisi nähdä vain tiedot, jotka täyttävät roolissaan määritetyn suojauspredikaatin. Esimerkkejä:

    SELECT * FROM sampleschema.sampletable

  3. Käyttäjän samanlaiset suodatetut tulokset suodatetaan muiden sovellusten kanssa, jotka käyttävät Microsoft Entra -todennusta tietokannan käyttöä varten. Jos haluat lisätietoja, katso Microsoft Entra -todentaminen vaihtoehtona SQL-todennukselle Microsoft Fabricissa.

4. Seuraa ja ylläpidä rivitason suojausta

Seuraa ja päivitä rivitason suojauskäytäntöjä säännöllisesti suojausvaatimusten kehittyessä. Seuraa roolimäärityksiä ja varmista, että käyttäjillä on asianmukaiset käyttöoikeudet.

Liittyvä sisältö