Sécurité pour l’entrepôt de données dans Microsoft Fabric

  • Article

S’applique à : point de terminaison d’analytique SQL et entrepôt dans Microsoft Fabric

Cet article traite des rubriques de sécurité pour la sécurisation du point de terminaison d’analytique SQL du lakehouse et de l’entrepôt dans Microsoft Fabric.

Pour plus d’informations sur la sécurité de Microsoft Fabric, consultez Sécurité dans Microsoft Fabric.

Pour plus d’informations sur la connexion à l’entrepôt et au point de terminaison d’analytique SQL, consultez Connectivité.

Modèle d’accès à l’entrepôt

Les autorisations Microsoft Fabric et les autorisations SQL granulaires fonctionnent ensemble pour régir l’accès à l’entrepôt et les autorisations utilisateur une fois connectés.

  • La connectivité de l’entrepôt dépend de l’octroi de l’autorisation lecture Microsoft Fabric, au minimum, pour l’entrepôt.
  • Les autorisations d’élément Microsoft Fabric permettent de fournir à un utilisateur des autorisations SQL, sans avoir à accorder ces autorisations dans SQL.
  • Les rôles d’espace de travail Microsoft Fabric fournissent des autorisations Microsoft Fabric pour tous les entrepôts au sein d’un espace de travail.
  • Les autorisations utilisateur granulaires peuvent être gérées davantage via T-SQL.

Rôles d’espace de travail

Les rôles d’espace de travail sont utilisés pour la collaboration d’équipe de développement au sein d’un espace de travail. L’attribution de rôle détermine les actions disponibles pour l’utilisateur et s’applique à tous les éléments de l’espace de travail.

Pour plus d’informations sur les fonctionnalités d’entrepôt spécifiques fournies par le biais des rôles d’espace de travail, consultez Rôles d’espace de travail dans l’entrepôt de données Fabric.

Autorisations d’élément

Contrairement aux rôles de l'espace de travail, qui s'appliquent à tous les éléments d'un espace de travail, les autorisations sur les éléments peuvent être attribuées directement à des entrepôts individuels. L’utilisateur recevra l’autorisation affectée sur cet entrepôt unique. L’objectif principal de ces autorisations est d’activer le partage pour la consommation en aval de l’entrepôt.

Pour plus d’informations sur les autorisations spécifiques fournies pour les entrepôts, consultez Partager votre entrepôt et gérer les autorisations.

Sécurité précise

Les rôles d’espace de travail et les autorisations d’élément fournissent un moyen simple d’attribuer des autorisations grossières à un utilisateur pour l’ensemble de l’entrepôt. Toutefois, dans certains cas, des autorisations plus granulaires sont nécessaires pour un utilisateur. Pour ce faire, les constructions T-SQL standard peuvent être utilisées pour fournir des autorisations spécifiques aux utilisateurs.

L'entrepôt de données Microsoft Fabric prend en charge plusieurs technologies de protection des données que les administrateurs peuvent utiliser pour protéger les données sensibles contre tout accès non autorisé. En sécurisant ou en masquant les données des utilisateurs ou rôles non autorisés, ces fonctionnalités de sécurité peuvent assurer la protection des données dans un entrepôt et dans un point de terminaison d’analytique SQL sans avoir à modifier l’application.

Sécurité au niveau des objets

La sécurité au niveau de l’objet est un mécanisme de sécurité qui contrôle l’accès à des objets spécifiques de base de données, tels que les tables, les vues ou les procédures, en fonction des privilèges ou des rôles de l’utilisateur. Elle garantit que les utilisateurs ou les rôles ne peuvent interagir et manipuler que les objets pour lesquels des autorisations leur ont été accordées, protégeant ainsi l’intégrité et la confidentialité du schéma de la base de données et de ses ressources associées.

Pour plus d’informations sur la gestion des autorisations granulaires dans SQL, consultez Autorisations granulaires SQL.

Sécurité au niveau des lignes

La sécurité au niveau des lignes est une fonction de sécurité de base de données qui restreint l’accès à des lignes ou à des enregistrements individuels dans une table de base de données sur la base de critères spécifiés, tels que les rôles ou les attributs de l’utilisateur. Elle garantit que les utilisateurs ne peuvent consulter ou manipuler que les données dont l’accès est explicitement autorisé, ce qui renforce la confidentialité et le contrôle des données.

Pour plus d’informations sur la sécurité au niveau des lignes, consultez Sécurité au niveau des lignes dans l’entrepôt de données Fabric.

Sécurité au niveau des colonnes

La sécurité au niveau des colonnes est une mesure de sécurité de base de données qui limite l’accès à des colonnes ou champs spécifiques d’une table de base de données, permettant aux utilisateurs de voir et d’interagir uniquement avec les colonnes autorisées tout en dissimulant les informations sensibles ou restreintes. Elle offre un contrôle fin de l’accès aux données, protégeant ainsi les données confidentielles au sein d’une base de données.

Pour plus de détails sur la sécurité au niveau des colonnes, voir Sécurité au niveau des colonnes dans l’entrepôt de données Fabric.

Masquage dynamique des données

Le masquage dynamique des données permet d'empêcher l'affichage non autorisé des données sensibles en permettant aux administrateurs de spécifier la quantité de données sensibles à révéler, avec un effet minimal sur la couche d'application. Le masquage dynamique des données peut être configuré sur des champs de base de données désignés pour masquer les données sensibles dans les ensembles de résultats des requêtes. Avec le masquage dynamique des données, les données de la base de données ne sont pas modifiées et peuvent donc être utilisées avec des applications existantes puisque les règles de masquage sont appliquées aux résultats des requêtes. De nombreuses applications peuvent masquer des données sensibles sans modifier les requêtes existantes.

Pour plus d’informations sur le masquage des données dynamiques, consultez Le masquage des données dynamiques dans l’entrepôt de données Fabric.

Partager un entrepôt

Le partage est un moyen pratique de fournir aux utilisateurs un accès en lecture à votre entrepôt pour une consommation en aval. Le partage permet aux utilisateurs en aval de votre organisation de consommer un entrepôt à l’aide de SQL, Spark ou Power BI. Vous pouvez personnaliser le niveau d’autorisations accordé au destinataire partagé pour fournir le niveau d’accès approprié.

Pour plus d’informations sur le partage, consultez Comment partager votre entrepôt et gérer les autorisations.

Conseils sur l'accès des utilisateurs

Lorsque vous évaluez les autorisations à attribuer à un utilisateur, tenez compte des conseils suivants :

  • Seuls les membres de l’équipe qui collaborent actuellement sur la solution doivent être affectés à des rôles d’espace de travail (Administration, Membre, Contributeur), car cela leur permet d’accéder à tous les éléments de l’espace de travail.
  • S’ils nécessitent principalement un accès en lecture seule, attribuez-les au rôle Viewer et accordez l’accès en lecture sur des objets spécifiques via T-SQL. Pour plus d'informations, consultez Gérer les autorisations granulaires SQL.
  • S’il s’agit d’utilisateurs à privilèges plus élevés, affectez-les à des rôles Administration, Membre ou Contributeur. Le rôle approprié dépend des autres actions qu’ils devront effectuer.
  • D’autres utilisateurs, qui n’ont besoin que d’accéder à un entrepôt individuel ou qui ont besoin d’accéder uniquement à des objets SQL spécifiques, doivent bénéficier des autorisations d’élément de structure et de l’accès via SQL aux objets spécifiques.
  • Vous pouvez également gérer les autorisations sur les groupes Microsoft Entra ID (anciennement Azure Active Directory), plutôt que d'ajouter chaque membre spécifique.

Contenu connexe