A raktár megosztása és az engedélyek kezelése

A következőre vonatkozik: Raktár éstükrözött adatbázis a Microsoft Fabricben

A megosztás kényelmes módja annak, hogy a felhasználók olvasási hozzáférést biztosítsanak a raktárhoz az alsóbb rétegbeli felhasználáshoz. A megosztás lehetővé teszi, hogy a vállalat alsóbb rétegbeli felhasználói SQL, Spark vagy Power BI használatával használják a raktárat. Testre szabhatja a megosztott címzett által megadott engedélyek szintjét a megfelelő hozzáférési szint biztosításához.

Feljegyzés

A Munkaterületen rendszergazdának vagy tagnak kell lennie ahhoz, hogy megoszthassa a Raktárt a Microsoft Fabricben.

Első lépések

Miután azonosította a Háló munkaterületen egy másik felhasználóval megosztani kívánt raktárat, válassza ki a sor gyorsműveletét a Raktár megosztása gombra.

Az alábbi animált gif áttekinti a megosztani kívánt raktár kiválasztásának lépéseit, kiválasztja a hozzárendelni kívánt engedélyeket, majd végül megadja az engedélyeket egy másik felhasználónak.

A OneLake-adatközpontból vagy a Warehouse-elemből megoszthatja a Raktárt a Gyorsművelet Megosztás elemének kiválasztásával, ahogyan az az alábbi képen is látható.

Raktár megosztása

A rendszer arra kéri, hogy adja meg, kivel szeretné megosztani a Raktárt, milyen engedély(ek)et adjon meg nekik, és hogy e-mailben értesítést kapnak-e róluk. Ha kitöltötte az összes kötelező mezőt, válassza a Hozzáférés megadása lehetőséget.

Az alábbiakban további részleteket talál a megadott engedélyekről:

• Ha nincs további engedély kijelölve – A megosztott címzett alapértelmezés szerint "Olvasás" engedélyt kap, amely csak az SQL Analytics-végponthoz való csatlakozást teszi lehetővé, amely az SQL Server CONNECT-engedélyeinek megfelelő. A megosztott címzett nem kérdezhet le semmilyen táblát, nem tekinthet meg és nem hajthat végre függvényeket vagy tárolt eljárásokat, kivéve, ha t-SQL GRANT utasítással hozzáférést kapnak a Warehouse objektumaihoz.

Feljegyzés

A ReadData, a ReadAll és a Build különálló engedélyek, amelyek nem fedik egymást.

• "Az összes adat beolvasása SQL használatával" lehetőség van kiválasztva ("ReadData" engedélyek) – A megosztott címzett beolvassa az összes adatbázis-objektumot a Warehouse-on belül. A ReadData az SQL Server db_datareader szerepkörének megfelelője. A megosztott címzett az összes táblából és nézetből beolvashatja az adatokat a Warehouse-on belül. Ha tovább szeretné korlátozni és részletes hozzáférést biztosítani a raktáron belüli egyes objektumokhoz, ezt T-SQL GRANT/REVOKE/DENY utasításokkal teheti meg.

  • A Lakehouse SQL Analytics-végpontjában az "Összes SQL-végpont adatainak beolvasása" egyenértékű a "Minden adat beolvasása AZ SQL használatával" értékkel.

• "Az összes adat olvasása Apache Spark használatával" lehetőség van kiválasztva ("ReadAll" engedélyek) – A megosztott címzett olvasási hozzáféréssel rendelkezik a OneLake mögöttes parquet fájljaihoz, amelyeket a Spark használatával használhat fel. A ReadAll csak akkor adható meg, ha a megosztott címzett teljes hozzáférést szeretne kapni a raktár fájljaihoz a Spark-motor használatával.

• A "Jelentések készítése az alapértelmezett adatkészleten" jelölőnégyzet be van jelölve ("Build" engedélyek) – A megosztott címzett jelentéseket készíthet a Raktárhoz csatlakoztatott alapértelmezett szemantikai modellre. A buildelést akkor kell megadni, ha a megosztott címzett buildengedélyeket szeretne létrehozni az alapértelmezett szemantikai modellhez, hogy Power BI-jelentéseket hozzon létre ezen adatokon. A Build jelölőnégyzet alapértelmezés szerint be van jelölve, de nem jelölhető be.

Amikor a megosztott címzett megkapja az e-mailt, kiválaszthatja a Megnyitás lehetőséget , és navigálhat a Warehouse Data Hub lapra.

A megosztott címzett hozzáférésének szintjétől függően a megosztott címzett mostantól csatlakozhat az SQL Analytics-végponthoz, lekérdezheti a Warehouse-t, jelentéseket készíthet vagy adatokat olvashat a Sparkon keresztül.

ReadData-engedélyek

ReadData-engedélyekkel a megosztott címzett írásvédett módban nyithatja meg a Warehouse-szerkesztőt, és lekérdezheti a Raktárban lévő táblákat és nézeteket. A megosztott címzett a megadott SQL Analytics-végpontot is kimásolhatja, és csatlakozhat egy ügyféleszközhöz a lekérdezések futtatásához.

Az alábbi képernyőképen például egy ReadData-engedélyekkel rendelkező felhasználó lekérdezheti a raktárat.

ReadAll engedélyek

A ReadAll engedélyekkel rendelkező megosztott címzettek az Azure Blob Fájlrendszer (ABFS) útvonalát a OneLake-ben található adott fájlhoz a Warehouse szerkesztő Tulajdonságok paneljén találhatják meg. A megosztott címzett ezután ezt az elérési utat használhatja a Spark Notebookban az adatok olvasásához.

Az alábbi képernyőképen például egy ReadAll engedélyekkel rendelkező felhasználó lekérdezheti az adatokat FactSale egy Új jegyzetfüzetben lévő Spark-lekérdezéssel.

Összeállítási engedélyek

Buildelési engedélyekkel a megosztott címzett jelentéseket hozhat létre a Warehouse-hoz csatlakoztatott alapértelmezett szemantikai modell tetején. A megosztott címzett power BI-jelentéseket hozhat létre a Data Hubról, vagy ugyanezt megteheti a Power BI Desktop használatával is.

Az alábbi képernyőképen például a buildelési engedélyekkel rendelkező felhasználók elkezdhetik automatikusan létrehozni a Power BI-jelentést a megosztott raktár alapján.

Engedélyek kezelése

Az Engedélyek kezelése lapon a munkaterületi szerepkörökhöz vagy elemengedélyekhez rendelt felhasználók listája látható.

Ha Ön Rendszergazda vagy tag, lépjen a munkaterületre, és válassza a További beállítások lehetőséget. Ezután válassza az Engedélyek kezelése lehetőséget.

A munkaterületi szerepköröket kapó felhasználók esetében a megfelelő felhasználót, munkaterületi szerepkört és engedélyeket jeleníti meg. Rendszergazda, a tagok és a közreműködők olvasási/írási hozzáféréssel rendelkeznek a munkaterület elemeihez. A megtekintők ReadData-engedélyekkel rendelkeznek, és lekérdezhetik az adott munkaterület raktárában lévő összes táblát és nézetet. A felhasználók számára megadható az elemengedélyek olvasása, a ReadData és a ReadAll .

Engedélyeket adhat hozzá vagy távolíthat el a Kezelés engedélyekkel:

• A hozzáférés eltávolítása az összes elemengedélyt eltávolítja.
• A ReadData eltávolítása eltávolítja a ReadData-engedélyeket .
• A ReadAll eltávolítása eltávolítja a ReadAll-engedélyeket .
• A build eltávolítása eltávolítjaa buildelési engedélyeket a megfelelő alapértelmezett szemantikai modellen.

Korlátozások

• Ha megadja az elemengedélyeket, vagy eltávolítja a korábban engedélyekkel rendelkező felhasználókat, az engedélyek propagálása akár két órát is igénybe vehet. Az új engedélyek azonnal megjelennek az "Engedélyek kezelése" részben. Jelentkezzen be újra, hogy az engedélyek megjelenjenek az SQL Analytics-végponton.
• A megosztott címzettek a tulajdonos identitásával (delegált mód) férhetnek hozzá a Raktárhoz. Győződjön meg arról, hogy a Raktár tulajdonosa nincs eltávolítva a munkaterületről.
• A megosztott címzettek csak az általuk kapott raktárhoz férhetnek hozzá, a raktárral azonos munkaterületen lévő többi elemhez nem. Ha engedélyt szeretne adni a csapat többi felhasználójának a Warehouse-on való együttműködésre (olvasási és írási hozzáférés), vegye fel őket munkaterületi szerepkörökként, például "Tag" vagy "Közreműködő" szerepkörként.
• Jelenleg, ha megoszt egy Raktárt, és az Összes adat beolvasása SQL használatával lehetőséget választja, a megosztott címzett írásvédett módban érheti el a Warehouse szerkesztőt. Ezek a megosztott címzettek létrehozhatnak lekérdezéseket, de jelenleg nem tudják menteni a lekérdezéseiket.
• A Raktár megosztása jelenleg csak a felhasználói felületen érhető el.
• Ha részletes hozzáférést szeretne biztosítani bizonyos objektumokhoz a Raktáron belül, ossza meg a Raktárt további engedélyekkel, majd adjon részletes hozzáférést adott objektumokhoz a T-SQL GRANT utasítás használatával. További információ: T-SQL szintaxis a GRANT, a REVOKE és a DENY függvényhez.
• Ha azt látja, hogy a ReadAll engedélyek és a ReadData engedélyek le vannak tiltva a megosztási párbeszédpanelen, frissítse a lapot.
• A megosztott címzettek nem rendelkeznek engedéllyel a raktár újbóli megosztására.
• Ha egy, a Raktárra épülő jelentés meg van osztva egy másik címzettel, a megosztott címzettnek több engedélyre van szüksége a jelentés eléréséhez. Ez attól függ, hogy a Power BI milyen módon fér hozzá a szemantikai modellhez:
  • Ha közvetlen lekérdezési módban érhető el, akkor a ReadData-engedélyeket (vagy adott táblákhoz/nézetekhez tartozó részletes SQL-engedélyeket) meg kell adni a Raktárnak.
  • Ha Direct lake módban érhető el, akkor a ReadData-engedélyeket (vagy adott táblákhoz/nézetekhez tartozó részletes engedélyeket) meg kell adni a Raktárnak. A Direct Lake mód az alapértelmezett kapcsolattípus azokhoz a szemantikai modellekhez, amelyek adattárház- vagy SQL Analytics-végpontot használnak adatforrásként. További információ: Direct Lake mód.
  • Ha importálási módban érhető el, nincs szükség további engedélyekre.
  • Jelenleg a raktár közvetlen megosztása egyszerű szolgáltatásnévvel nem támogatott.

Adatvédelmi funkciók

A Microsoft Fabric adattárház számos technológiát támogat, amelyekkel a rendszergazdák megvédhetik a bizalmas adatokat a jogosulatlan megtekintéstől. A jogosulatlan felhasználók vagy szerepkörök adatainak biztonságossá tételével vagy elrejtésével ezek a biztonsági funkciók alkalmazásmódosítások nélkül is védelmet biztosíthatnak a Warehouse- és SQL Analytics-végpontokon.

• Az oszlopszintű biztonság megakadályozza a táblák oszlopainak jogosulatlan megtekintését.
• A sorszintű biztonság megakadályozza a sorok jogosulatlan megtekintését a táblákban ismerős WHERE záradékszűrő-predikátumok használatával.
• A dinamikus adatmaszkolás megakadályozza a bizalmas adatok jogosulatlan megtekintését maszkok használatával, hogy megakadályozza a hozzáférés befejezését, például e-mail-címeket vagy számokat.

Kapcsolódó tartalom

• A raktár lekérdezése
• Microsoft Fabric-jegyzetfüzetek használata
• Billentyűparancsok elérése
• Navigálás a Fabric Lakehouse explorerben
• GRANT (Transact-SQL)