Olvasás angol nyelven

Megosztás a következőn keresztül:


Adatraktározás biztonsága a Microsoft Fabricben

A következőkre vonatkozik:✅ SQL Analytics-végpont és Warehouse a Microsoft Fabricben

Ez a cikk a lakehouse és a Microsoft Fabric-adattárház SQL Analytics-végpontjának biztonságossá tételével kapcsolatos biztonsági témaköröket ismerteti.

A Microsoft Fabric biztonságáról további információt a Microsoft Fabric biztonságában talál.

Az SQL Analytics-végponthoz és a Warehouse-hoz való csatlakozással kapcsolatos információkért lásd : Kapcsolat.

Raktári hozzáférési modell

A Microsoft Fabric-engedélyek és részletes SQL-engedélyek együttesen szabályozzák a Warehouse-hozzáférést és a felhasználói engedélyeket a csatlakozás után.

  • A raktárkapcsolat attól függ, hogy legalább a Raktárhoz microsoft fabric olvasási engedélyt kap-e.
  • A Microsoft Fabric-elemengedélyek lehetővé teszik, hogy a felhasználónak SQL-engedélyeket biztosítson anélkül, hogy ezeket az engedélyeket az SQL-ben kellene megadnia.
  • A Microsoft Fabric-munkaterületi szerepkörök Microsoft Fabric-engedélyeket biztosítanak a munkaterületen belüli összes raktárhoz.
  • A részletes felhasználói engedélyek a T-SQL-en keresztül további kezelhetők.

Munkaterületi szerepkörök

A munkaterületi szerepkörök a fejlesztői csapat munkaterületen belüli együttműködésére szolgálnak. A szerepkör-hozzárendelés meghatározza a felhasználó számára elérhető műveleteket, és a munkaterületen belüli összes elemre vonatkozik.

  • A Microsoft Fabric-munkaterületi szerepkörök áttekintését a munkaterületeken lévő szerepkörök című témakörben tekintheti meg.
  • A munkaterületi szerepkörök hozzárendelésével kapcsolatos utasításokért lásd: Munkaterület-hozzáférés biztosítása.

A munkaterületi szerepkörökön keresztül biztosított konkrét Warehouse-funkciókkal kapcsolatos részletekért lásd : Munkaterületi szerepkörök a Fabric-adattárházakban.

Elemengedélyek

A munkaterületi szerepkörökhöz képest, amelyek a munkaterület összes elemére vonatkoznak, az elemengedélyek közvetlenül hozzárendelhetők az egyes raktárakhoz. A felhasználó megkapja a hozzárendelt engedélyt az adott egyetlen raktárban. Ezeknek az engedélyeknek az elsődleges célja a raktár alsóbb rétegbeli felhasználásának engedélyezése.

A raktárakhoz megadott engedélyek részleteiért lásd : Adatok megosztása és engedélyek kezelése.

Részletes biztonság

A munkaterületi szerepkörök és az elemengedélyek segítségével egyszerűen rendelhet durva engedélyeket egy felhasználóhoz a teljes raktárhoz. Bizonyos esetekben azonban részletesebb engedélyekre van szükség a felhasználó számára. Ennek eléréséhez szabványos T-SQL-szerkezetek használhatók a felhasználók számára adott engedélyek megadására.

A Microsoft Fabric adattárházak számos olyan adatvédelmi technológiát támogatnak, amelyekkel a rendszergazdák megvédhetik a bizalmas adatokat a jogosulatlan hozzáféréstől. A jogosulatlan felhasználók vagy szerepkörök adatainak biztonságossá tételével vagy elrejtésével ezek a biztonsági funkciók alkalmazásmódosítások nélkül is védelmet biztosíthatnak a Warehouse- és SQL Analytics-végpontokon.

  • Az objektumszintű biztonság bizonyos adatbázis-objektumokhoz való hozzáférést szabályozza.
  • Az oszlopszintű biztonság megakadályozza a táblák oszlopainak jogosulatlan megtekintését.
  • A sorszintű biztonság megakadályozza a sorok jogosulatlan megtekintését a táblákban ismerős WHERE záradékszűrő-predikátumok használatával.
  • A dinamikus adatmaszkolás megakadályozza a bizalmas adatok jogosulatlan megtekintését maszkok használatával, hogy megakadályozza a hozzáférés befejezését, például e-mail-címeket vagy számokat.

Objektumszintű biztonság

Az objektumszintű biztonság egy olyan biztonsági mechanizmus, amely felhasználói jogosultságok vagy szerepkörök alapján szabályozza bizonyos adatbázis-objektumokhoz, például táblákhoz, nézetekhez vagy eljárásokhoz való hozzáférést. Biztosítja, hogy a felhasználók vagy szerepkörök csak azokkal az objektumokkal kommunikálhatnak és kezelhetik azokat, amelyekhez engedélyt kaptak, megvédve az adatbázisséma és a hozzá tartozó erőforrások integritását és bizalmasságát.

Az SQL részletes engedélyeinek kezelésével kapcsolatos részletekért lásd az SQL részletes engedélyeit.

Sorszintű biztonság

A sorszintű biztonság egy adatbázisbiztonsági funkció, amely meghatározott feltételek, például felhasználói szerepkörök vagy attribútumok alapján korlátozza az adatbázistábla egyes soraihoz vagy rekordjaihoz való hozzáférést. Ez biztosítja, hogy a felhasználók csak olyan adatokat tekinthessenek meg vagy kezelhessenek, amelyek kifejezetten engedélyezettek a hozzáférésükhöz, így javítva az adatok védelmét és ellenőrzését.

A sorszintű biztonságról további információt a Sorszintű biztonság a Fabric-adattárházakban című témakörben talál.

Oszlopszintű biztonság

Az oszlopszintű biztonság egy olyan adatbázisbiztonsági mérték, amely korlátozza az adatbázistábla adott oszlopaihoz vagy mezőihez való hozzáférést, lehetővé téve a felhasználók számára, hogy csak az engedélyezett oszlopokat lássák és használják, miközben bizalmas vagy korlátozott információkat rejtenek el. Részletes vezérlést biztosít az adatokhoz való hozzáférés felett, biztosítva a bizalmas adatok védelmét az adatbázisban.

Az oszlopszintű biztonságról további információt az Oszlopszintű biztonság a Fabric-adattárházakban című témakörben talál.

Dinamikus adatmaszkolás

A dinamikus adatmaszkolás segít megelőzni a bizalmas adatok jogosulatlan megtekintését azáltal, hogy lehetővé teszi a rendszergazdák számára, hogy megadják, mennyi bizalmas adatot fedjenek fel, minimális hatással az alkalmazásrétegre. A dinamikus adatmaszkolás konfigurálható a kijelölt adatbázismezőkben, hogy bizalmas adatokat rejtsen el az eredményhalmazokban. Dinamikus adatmaszkolás esetén az adatbázis adatai nem változnak, így meglévő alkalmazásokkal is használhatók, mivel maszkolási szabályok vonatkoznak a lekérdezési eredményekre. Számos alkalmazás elfedheti a bizalmas adatokat a meglévő lekérdezések módosítása nélkül.

A dinamikus adatmaszkolással kapcsolatos részletekért lásd : Dinamikus adatmaszkolás a Fabric-adattárházakban.

Raktár megosztása

A megosztás kényelmes módja annak, hogy a felhasználók olvasási hozzáférést biztosítsanak a raktárhoz az alsóbb rétegbeli felhasználáshoz. A megosztás lehetővé teszi, hogy a vállalat alsóbb rétegbeli felhasználói SQL, Spark vagy Power BI használatával használják a raktárat. Testre szabhatja a megosztott címzett által megadott engedélyek szintjét a megfelelő hozzáférési szint biztosításához.

A megosztásról további információt az adatok megosztása és az engedélyek kezelése című témakörben talál.

Útmutató a felhasználói hozzáféréshez

A felhasználóhoz való hozzárendeléshez szükséges engedélyek kiértékelésekor vegye figyelembe az alábbi útmutatást:

  • A munkaterületi szerepkörökhöz (rendszergazda, tag, közreműködő) csak a megoldáson jelenleg együttműködő csapattagokat szabad hozzárendelni, mivel ez hozzáférést biztosít számukra a munkaterület összes eleméhez.
  • Ha elsősorban csak olvasási hozzáférést igényelnek, rendelje hozzá őket a Megtekintő szerepkörhöz, és adjon olvasási hozzáférést adott objektumokhoz a T-SQL-en keresztül. További információt az SQL részletes engedélyeinek kezelése című témakörben talál.
  • Ha magasabb szintű jogosultsággal rendelkező felhasználók, rendelje hozzá őket rendszergazdai, tagi vagy közreműködői szerepkörökhöz. A megfelelő szerepkör az általuk végrehajtandó egyéb műveletektől függ.
  • A többi felhasználónak, akiknek csak egy adott raktárhoz kell hozzáférnie, vagy csak bizonyos SQL-objektumokhoz van szükségük hozzáférésre, fabricelem-engedélyeket kell kapniuk, és hozzáférést kell adni az SQL-en keresztül az adott objektumokhoz.
  • Az egyes tagok hozzáadása helyett a Microsoft Entra ID -csoportok (korábbi nevén Azure Active Directory) engedélyeit is kezelheti. További információ: Microsoft Entra-hitelesítés az SQL-hitelesítés alternatívaként a Microsoft Fabricben.

Felhasználói naplózási naplók

Ha nyomon szeretné követni a felhasználói tevékenységeket a raktár- és SQL Analytics-végponton a jogszabályi megfelelőségre és a rekordkezelésre vonatkozó követelmények teljesítéséhez, a microsoft Purview és a PowerShell használatával elérhető naplózási tevékenységek készlete érhető el. A felhasználói naplózási naplók segítségével megállapíthatja, hogy ki hajtja végre a hálóelemeken végrehajtandó műveletet.

A felhasználói naplók eléréséről további információt a Felhasználói tevékenységek nyomon követése a Microsoft Fabric és a Műveletek listában című témakörben talál.