Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
S’applique à :✅ Entrepôt dans Microsoft Fabric
Fabric Data Warehouse fournit une solution d’entreposage de données d’entreprise, gérée entièrement et entièrement intégrée à Microsoft Fabric. Lorsque vous stockez des données sensibles et critiques pour l’entreprise, vous devez toutefois prendre des mesures pour optimiser la sécurité de vos entrepôts et les données stockées dans ces derniers.
Cet article fournit des conseils sur la meilleure sécurisation de votre entrepôt dans Microsoft Fabric.
Modèle d’accès à l’entrepôt
Les autorisations Microsoft Fabric et les autorisations SQL granulaires fonctionnent ensemble pour régir l’accès à l’entrepôt et les autorisations utilisateur une fois connectés.
- La connectivité de l’entrepôt dépend de l’octroi de l’autorisation lecture Microsoft Fabric, au minimum, pour l’entrepôt.
- Les autorisations d’élément Microsoft Fabric permettent de fournir à un utilisateur des autorisations SQL, sans avoir à accorder ces autorisations dans SQL.
- Les rôles d’espace de travail Microsoft Fabric fournissent des autorisations Microsoft Fabric pour tous les entrepôts au sein d’un espace de travail.
- Les autorisations utilisateur granulaires peuvent être gérées davantage via T-SQL.
Rôles d’espace de travail
Les rôles d’espace de travail sont utilisés pour la collaboration d’équipe de développement au sein d’un espace de travail. L’attribution de rôle détermine les actions disponibles pour l’utilisateur et s’applique à tous les éléments de l’espace de travail.
- Pour obtenir une vue d’ensemble des rôles d’espace de travail Microsoft Fabric, consultez Rôles dans les espaces de travail dans Microsoft Fabric.
- Pour obtenir des instructions sur l’attribution de rôles d’espace de travail, consultez Donner aux utilisateurs l’accès aux espaces de travail.
Pour plus d’informations sur les fonctionnalités d’entrepôt spécifiques fournies via les rôles d’espace de travail, consultez Rôles d’espace de travail dans Fabric Data Warehouse.
Autorisations d’élément
Contrairement aux rôles d’espace de travail, qui s’appliquent à tous les éléments d’un espace de travail, les autorisations d’élément peuvent être affectées directement à des entrepôts individuels.
Suivez toujours le principal du privilège minimum lors de l’octroi d’autorisations et d’appartenances à des rôles. Lorsque vous évaluez les autorisations à attribuer à un utilisateur, tenez compte des conseils suivants :
- S’ils nécessitent principalement un accès en lecture seule, attribuez-les au rôle Viewer et accordez l’accès en lecture sur des objets spécifiques via T-SQL. Pour plus d'informations, consultez Gérer les autorisations granulaires SQL.
- Seuls les membres de l’équipe qui collaborent actuellement sur la solution doivent être affectés aux rôles d’espace de travail Admin, Member et Contributeur, car ils fournissent l’accès à tous les éléments de l’espace de travail.
- S’il s’agit d’utilisateurs à privilèges plus élevés, affectez-les à des rôles Administration, Membre ou Contributeur. Le rôle approprié dépend des autres actions qu’ils doivent effectuer.
- D’autres utilisateurs, qui n’ont besoin que d’accéder à un entrepôt individuel ou qui ont besoin d’accéder uniquement à des objets SQL spécifiques, doivent bénéficier des autorisations d’élément de structure et de l’accès via SQL aux objets spécifiques.
- Vous pouvez également gérer les autorisations sur les groupes d’ID Microsoft Entra, plutôt que d’ajouter chaque membre spécifique. Pour plus d'informations sur l'authentification Microsoft Entra en tant qu’alternative à l'authentification SQL dans Microsoft Fabric.
- Auditez l’activité utilisateur dans votre entrepôt avec les journaux d’audit utilisateur.
Pour plus d’informations sur le partage, consultez Partager vos données et gérer les autorisations.
Sécurité précise
Les rôles d’espace de travail et les autorisations d’élément fournissent un moyen simple d’attribuer des autorisations grossières à un utilisateur pour l’ensemble de l’entrepôt. Toutefois, dans certains cas, des autorisations plus granulaires sont nécessaires pour un utilisateur. Pour ce faire, les constructions T-SQL standard peuvent être utilisées pour fournir des autorisations spécifiques aux utilisateurs.
L'entrepôt de données Microsoft Fabric prend en charge plusieurs technologies de protection des données que les administrateurs peuvent utiliser pour protéger les données sensibles contre tout accès non autorisé. En sécurisant ou en masquant les données des utilisateurs ou rôles non autorisés, ces fonctionnalités de sécurité peuvent assurer la protection des données dans un entrepôt et dans un point de terminaison d’analytique SQL sans avoir à modifier l’application.
- La sécurité au niveau des objets contrôle l'accès à des objets de base de données spécifiques.
- La sécurité au niveau des colonnes empêche l'affichage non autorisé des colonnes dans les tableaux.
- La sécurité au niveau des lignes empêche l'affichage non autorisé des lignes dans les tables, à l'aide de prédicats de filtre de clauses
WHEREfamiliers. - Le masquage dynamique des données empêche la visualisation non autorisée de données sensibles en utilisant des masques pour empêcher l'accès à des données complètes, telles que des adresses e-mail ou des numéros.
Sécurité au niveau des objets
La sécurité au niveau de l’objet est un mécanisme de sécurité qui contrôle l’accès à des objets spécifiques de base de données, tels que les tables, les vues ou les procédures, en fonction des privilèges ou des rôles de l’utilisateur. Elle garantit que les utilisateurs ou les rôles ne peuvent interagir et manipuler que les objets pour lesquels des autorisations leur ont été accordées, protégeant ainsi l’intégrité et la confidentialité du schéma de la base de données et de ses ressources associées.
Pour plus d’informations sur la gestion des autorisations granulaires dans SQL, consultez les autorisations granulaires SQL dans Microsoft Fabric.
Sécurité au niveau des lignes
La sécurité au niveau des lignes est une fonction de sécurité de base de données qui restreint l’accès à des lignes ou à des enregistrements individuels dans une table de base de données sur la base de critères spécifiés, tels que les rôles ou les attributs de l’utilisateur. Elle garantit que les utilisateurs ne peuvent consulter ou manipuler que les données dont l’accès est explicitement autorisé, ce qui renforce la confidentialité et le contrôle des données.
Pour plus d’informations sur la sécurité au niveau des lignes, consultez Sécurité au niveau des lignes dans l’entrepôt de données Fabric.
Sécurité au niveau des colonnes
La sécurité au niveau des colonnes est une mesure de sécurité de base de données qui limite l’accès à des colonnes ou champs spécifiques d’une table de base de données, permettant aux utilisateurs de voir et d’interagir uniquement avec les colonnes autorisées tout en dissimulant les informations sensibles ou restreintes. Elle offre un contrôle fin de l’accès aux données, protégeant ainsi les données confidentielles au sein d’une base de données.
Pour plus de détails sur la sécurité au niveau des colonnes, voir Sécurité au niveau des colonnes dans l’entrepôt de données Fabric.
Masquage dynamique des données
Le masquage dynamique des données permet d'empêcher l'affichage non autorisé des données sensibles en permettant aux administrateurs de spécifier la quantité de données sensibles à révéler, avec un effet minimal sur la couche d'application. Le masquage dynamique des données peut être configuré sur des champs de base de données désignés pour masquer les données sensibles dans les ensembles de résultats des requêtes. Avec le masquage dynamique des données, les données de la base de données ne sont pas modifiées et peuvent donc être utilisées avec des applications existantes puisque les règles de masquage sont appliquées aux résultats des requêtes. De nombreuses applications peuvent masquer des données sensibles sans modifier les requêtes existantes.
Pour plus d’informations sur le masquage des données dynamiques, consultez Le masquage des données dynamiques dans l’entrepôt de données Fabric.
Journaux d’audit utilisateur
Pour suivre l’activité des utilisateurs dans l’entrepôt et le point de terminaison d’analytique SQL pour répondre aux exigences de conformité réglementaire et de gestion des enregistrements, un ensemble d’activités d’audit est accessible via Microsoft Purview et PowerShell.
- Vous pouvez utiliser les journaux d’audit utilisateur pour identifier qui effectue quelle action sur vos éléments Fabric.
- Pour commencer, découvrez comment configurer les journaux d’audit SQL dans Fabric Data Warehouse (préversion).
- Vous pouvez suivre les activités des utilisateurs dans Microsoft Fabric. Pour plus d’informations, consultez la liste des opérations.
Sécurité des terminaux SQL Analytics
Pour plus d’informations sur la sécurité dans le point de terminaison d’analytique SQL, consultez La sécurité OneLake pour les points de terminaison d’analytique SQL.
Chiffrement de clé gérée par le client (CMK)
Vous pouvez améliorer votre posture de sécurité à l’aide de clés gérées par le client (CMK), ce qui vous permet de contrôler directement les clés de chiffrement qui protègent vos données et métadonnées. Lorsque vous activez CMK pour un espace de travail qui contient un entrepôt de données Fabric, les métadonnées de données OneLake et d’entrepôt sont protégées à l’aide de vos clés de chiffrement hébergées par Azure Key Vault. Pour plus d’informations, consultez Data Encryption dans Fabric Data Warehouse.