Sécurité pour l’entrepôt de données dans Microsoft Fabric
S’applique à :✅ point de terminaison d’analytique SQL et entrepôt dans Microsoft Fabric
Cet article traite des rubriques de sécurité pour la sécurisation du point de terminaison d’analytique SQL du lakehouse et de l’entrepôt dans Microsoft Fabric.
Pour plus d’informations sur la sécurité de Microsoft Fabric, consultez Sécurité dans Microsoft Fabric.
Pour plus d’informations sur la connexion à l’entrepôt et au point de terminaison d’analytique SQL, consultez Connectivité.
Modèle d’accès à l’entrepôt
Les autorisations Microsoft Fabric et les autorisations SQL granulaires fonctionnent ensemble pour régir l’accès à l’entrepôt et les autorisations utilisateur une fois connectés.
- La connectivité de l’entrepôt dépend de l’octroi de l’autorisation lecture Microsoft Fabric, au minimum, pour l’entrepôt.
- Les autorisations d’élément Microsoft Fabric permettent de fournir à un utilisateur des autorisations SQL, sans avoir à accorder ces autorisations dans SQL.
- Les rôles d’espace de travail Microsoft Fabric fournissent des autorisations Microsoft Fabric pour tous les entrepôts au sein d’un espace de travail.
- Les autorisations utilisateur granulaires peuvent être gérées davantage via T-SQL.
Rôles d’espace de travail
Les rôles d’espace de travail sont utilisés pour la collaboration d’équipe de développement au sein d’un espace de travail. L’attribution de rôle détermine les actions disponibles pour l’utilisateur et s’applique à tous les éléments de l’espace de travail.
- Pour obtenir une vue d’ensemble des rôles d’espace de travail Microsoft Fabric, consultez Rôles dans les espaces de travail.
- Pour obtenir des instructions sur l’attribution de rôles d’espace de travail, consultez Accorder l’accès à l’espace de travail.
Pour plus d’informations sur les fonctionnalités d’entrepôt spécifiques fournies par le biais des rôles d’espace de travail, consultez Rôles d’espace de travail dans l’entrepôt de données Fabric.
Autorisations d’élément
Contrairement aux rôles de l'espace de travail, qui s'appliquent à tous les éléments d'un espace de travail, les autorisations sur les éléments peuvent être attribuées directement à des entrepôts individuels. L’utilisateur reçoit l’autorisation affectée sur cet entrepôt unique. L’objectif principal de ces autorisations est d’activer le partage pour la consommation en aval de l’entrepôt.
Pour plus d’informations sur les autorisations spécifiques fournies pour les entrepôts, consultez Partager votre entrepôt et gérer les autorisations.
Sécurité précise
Les rôles d’espace de travail et les autorisations d’élément fournissent un moyen simple d’attribuer des autorisations grossières à un utilisateur pour l’ensemble de l’entrepôt. Toutefois, dans certains cas, des autorisations plus granulaires sont nécessaires pour un utilisateur. Pour ce faire, les constructions T-SQL standard peuvent être utilisées pour fournir des autorisations spécifiques aux utilisateurs.
L'entrepôt de données Microsoft Fabric prend en charge plusieurs technologies de protection des données que les administrateurs peuvent utiliser pour protéger les données sensibles contre tout accès non autorisé. En sécurisant ou en masquant les données des utilisateurs ou rôles non autorisés, ces fonctionnalités de sécurité peuvent assurer la protection des données dans un entrepôt et dans un point de terminaison d’analytique SQL sans avoir à modifier l’application.
- La sécurité au niveau des objets contrôle l'accès à des objets de base de données spécifiques.
- La sécurité au niveau des colonnes empêche l'affichage non autorisé des colonnes dans les tableaux.
- La sécurité au niveau des lignes empêche l'affichage non autorisé des lignes dans les tables, à l'aide de prédicats de filtre de clauses
WHERE
familiers. - Le masquage dynamique des données empêche la visualisation non autorisée de données sensibles en utilisant des masques pour empêcher l'accès à des données complètes, telles que des adresses e-mail ou des numéros.
Sécurité au niveau des objets
La sécurité au niveau de l’objet est un mécanisme de sécurité qui contrôle l’accès à des objets spécifiques de base de données, tels que les tables, les vues ou les procédures, en fonction des privilèges ou des rôles de l’utilisateur. Elle garantit que les utilisateurs ou les rôles ne peuvent interagir et manipuler que les objets pour lesquels des autorisations leur ont été accordées, protégeant ainsi l’intégrité et la confidentialité du schéma de la base de données et de ses ressources associées.
Pour plus d’informations sur la gestion des autorisations granulaires dans SQL, consultez Autorisations granulaires SQL.
Sécurité au niveau des lignes
La sécurité au niveau des lignes est une fonction de sécurité de base de données qui restreint l’accès à des lignes ou à des enregistrements individuels dans une table de base de données sur la base de critères spécifiés, tels que les rôles ou les attributs de l’utilisateur. Elle garantit que les utilisateurs ne peuvent consulter ou manipuler que les données dont l’accès est explicitement autorisé, ce qui renforce la confidentialité et le contrôle des données.
Pour plus d’informations sur la sécurité au niveau des lignes, consultez Sécurité au niveau des lignes dans l’entrepôt de données Fabric.
Sécurité au niveau des colonnes
La sécurité au niveau des colonnes est une mesure de sécurité de base de données qui limite l’accès à des colonnes ou champs spécifiques d’une table de base de données, permettant aux utilisateurs de voir et d’interagir uniquement avec les colonnes autorisées tout en dissimulant les informations sensibles ou restreintes. Elle offre un contrôle fin de l’accès aux données, protégeant ainsi les données confidentielles au sein d’une base de données.
Pour plus de détails sur la sécurité au niveau des colonnes, voir Sécurité au niveau des colonnes dans l’entrepôt de données Fabric.
Masquage dynamique des données
Le masquage dynamique des données permet d'empêcher l'affichage non autorisé des données sensibles en permettant aux administrateurs de spécifier la quantité de données sensibles à révéler, avec un effet minimal sur la couche d'application. Le masquage dynamique des données peut être configuré sur des champs de base de données désignés pour masquer les données sensibles dans les ensembles de résultats des requêtes. Avec le masquage dynamique des données, les données de la base de données ne sont pas modifiées et peuvent donc être utilisées avec des applications existantes puisque les règles de masquage sont appliquées aux résultats des requêtes. De nombreuses applications peuvent masquer des données sensibles sans modifier les requêtes existantes.
Pour plus d’informations sur le masquage des données dynamiques, consultez Le masquage des données dynamiques dans l’entrepôt de données Fabric.
Partager un entrepôt
Le partage est un moyen pratique de fournir aux utilisateurs un accès en lecture à votre entrepôt pour une consommation en aval. Le partage permet aux utilisateurs en aval de votre organisation de consommer un entrepôt à l’aide de SQL, Spark ou Power BI. Vous pouvez personnaliser le niveau d’autorisations accordé au destinataire partagé pour fournir le niveau d’accès approprié.
Pour plus d’informations sur le partage, consultez Comment partager votre entrepôt et gérer les autorisations.
Conseils sur l'accès des utilisateurs
Lorsque vous évaluez les autorisations à attribuer à un utilisateur, tenez compte des conseils suivants :
- Seuls les membres de l’équipe qui collaborent actuellement sur la solution doivent être affectés à des rôles d’espace de travail (Administration, Membre, Contributeur), car cela leur permet d’accéder à tous les éléments de l’espace de travail.
- S’ils nécessitent principalement un accès en lecture seule, attribuez-les au rôle Viewer et accordez l’accès en lecture sur des objets spécifiques via T-SQL. Pour plus d'informations, consultez Gérer les autorisations granulaires SQL.
- S’ils sont des utilisateurs privilégiés plus élevés, attribuez-les aux rôles Administrateur, Membre ou Contributeur. Le rôle approprié dépend des autres actions qu’ils doivent effectuer.
- D’autres utilisateurs, qui n’ont besoin que d’accéder à un entrepôt individuel ou qui ont besoin d’accéder uniquement à des objets SQL spécifiques, doivent bénéficier des autorisations d’élément de structure et de l’accès via SQL aux objets spécifiques.
- Vous pouvez également gérer les autorisations sur les groupes Microsoft Entra ID (anciennement Azure Active Directory), plutôt que d'ajouter chaque membre spécifique. Pour plus d'informations sur l'authentification Microsoft Entra en tant qu’alternative à l'authentification SQL dans Microsoft Fabric.
Journaux d’audit utilisateur
Pour suivre l’activité des utilisateurs dans l’entrepôt et le point de terminaison d’analytique SQL pour répondre aux exigences de conformité réglementaire et de gestion des enregistrements, un ensemble d’activités d’audit est accessible via Microsoft Purview et PowerShell. Vous pouvez utiliser les journaux d’audit utilisateur pour identifier qui effectue quelle action sur vos éléments Fabric.
Pour plus d’informations sur l’accès aux journaux d’audit des utilisateurs, consultez Suivre les activités des utilisateurs dans microsoft Fabric et Operations list.