Adatraktározás biztonsága a Microsoft Fabricben
A következőkre vonatkozik:✅ SQL Analytics-végpont és Warehouse a Microsoft Fabricben
Ez a cikk a lakehouse és a Microsoft Fabric-adattárház SQL Analytics-végpontjának biztonságossá tételével kapcsolatos biztonsági témaköröket ismerteti.
A Microsoft Fabric biztonságáról további információt a Microsoft Fabric biztonságában talál.
Az SQL Analytics-végponthoz és a Warehouse-hoz való csatlakozással kapcsolatos információkért lásd : Kapcsolat.
A Microsoft Fabric-engedélyek és részletes SQL-engedélyek együttesen szabályozzák a Warehouse-hozzáférést és a felhasználói engedélyeket a csatlakozás után.
- A raktárkapcsolat attól függ, hogy legalább a Raktárhoz microsoft fabric olvasási engedélyt kap-e.
- A Microsoft Fabric-elemengedélyek lehetővé teszik, hogy a felhasználónak SQL-engedélyeket biztosítson anélkül, hogy ezeket az engedélyeket az SQL-ben kellene megadnia.
- A Microsoft Fabric-munkaterületi szerepkörök Microsoft Fabric-engedélyeket biztosítanak a munkaterületen belüli összes raktárhoz.
- A részletes felhasználói engedélyek a T-SQL-en keresztül további kezelhetők.
A munkaterületi szerepkörök a fejlesztői csapat munkaterületen belüli együttműködésére szolgálnak. A szerepkör-hozzárendelés meghatározza a felhasználó számára elérhető műveleteket, és a munkaterületen belüli összes elemre vonatkozik.
- A Microsoft Fabric-munkaterületi szerepkörök áttekintését a munkaterületeken lévő szerepkörök című témakörben tekintheti meg.
- A munkaterületi szerepkörök hozzárendelésével kapcsolatos utasításokért lásd: Munkaterület-hozzáférés biztosítása.
A munkaterületi szerepkörökön keresztül biztosított konkrét Warehouse-funkciókkal kapcsolatos részletekért lásd : Munkaterületi szerepkörök a Fabric-adattárházakban.
A munkaterületi szerepkörökhöz képest, amelyek a munkaterület összes elemére vonatkoznak, az elemengedélyek közvetlenül hozzárendelhetők az egyes raktárakhoz. A felhasználó megkapja a hozzárendelt engedélyt az adott egyetlen raktárban. Ezeknek az engedélyeknek az elsődleges célja a raktár alsóbb rétegbeli felhasználásának engedélyezése.
A raktárakhoz megadott engedélyek részleteiért lásd : Adatok megosztása és engedélyek kezelése.
A munkaterületi szerepkörök és az elemengedélyek segítségével egyszerűen rendelhet durva engedélyeket egy felhasználóhoz a teljes raktárhoz. Bizonyos esetekben azonban részletesebb engedélyekre van szükség a felhasználó számára. Ennek eléréséhez szabványos T-SQL-szerkezetek használhatók a felhasználók számára adott engedélyek megadására.
A Microsoft Fabric adattárházak számos olyan adatvédelmi technológiát támogatnak, amelyekkel a rendszergazdák megvédhetik a bizalmas adatokat a jogosulatlan hozzáféréstől. A jogosulatlan felhasználók vagy szerepkörök adatainak biztonságossá tételével vagy elrejtésével ezek a biztonsági funkciók alkalmazásmódosítások nélkül is védelmet biztosíthatnak a Warehouse- és SQL Analytics-végpontokon.
- Az objektumszintű biztonság bizonyos adatbázis-objektumokhoz való hozzáférést szabályozza.
- Az oszlopszintű biztonság megakadályozza a táblák oszlopainak jogosulatlan megtekintését.
- A sorszintű biztonság megakadályozza a sorok jogosulatlan megtekintését a táblákban ismerős
WHERE
záradékszűrő-predikátumok használatával. - A dinamikus adatmaszkolás megakadályozza a bizalmas adatok jogosulatlan megtekintését maszkok használatával, hogy megakadályozza a hozzáférés befejezését, például e-mail-címeket vagy számokat.
Az objektumszintű biztonság egy olyan biztonsági mechanizmus, amely felhasználói jogosultságok vagy szerepkörök alapján szabályozza bizonyos adatbázis-objektumokhoz, például táblákhoz, nézetekhez vagy eljárásokhoz való hozzáférést. Biztosítja, hogy a felhasználók vagy szerepkörök csak azokkal az objektumokkal kommunikálhatnak és kezelhetik azokat, amelyekhez engedélyt kaptak, megvédve az adatbázisséma és a hozzá tartozó erőforrások integritását és bizalmasságát.
Az SQL részletes engedélyeinek kezelésével kapcsolatos részletekért lásd az SQL részletes engedélyeit.
A sorszintű biztonság egy adatbázisbiztonsági funkció, amely meghatározott feltételek, például felhasználói szerepkörök vagy attribútumok alapján korlátozza az adatbázistábla egyes soraihoz vagy rekordjaihoz való hozzáférést. Ez biztosítja, hogy a felhasználók csak olyan adatokat tekinthessenek meg vagy kezelhessenek, amelyek kifejezetten engedélyezettek a hozzáférésükhöz, így javítva az adatok védelmét és ellenőrzését.
A sorszintű biztonságról további információt a Sorszintű biztonság a Fabric-adattárházakban című témakörben talál.
Az oszlopszintű biztonság egy olyan adatbázisbiztonsági mérték, amely korlátozza az adatbázistábla adott oszlopaihoz vagy mezőihez való hozzáférést, lehetővé téve a felhasználók számára, hogy csak az engedélyezett oszlopokat lássák és használják, miközben bizalmas vagy korlátozott információkat rejtenek el. Részletes vezérlést biztosít az adatokhoz való hozzáférés felett, biztosítva a bizalmas adatok védelmét az adatbázisban.
Az oszlopszintű biztonságról további információt az Oszlopszintű biztonság a Fabric-adattárházakban című témakörben talál.
A dinamikus adatmaszkolás segít megelőzni a bizalmas adatok jogosulatlan megtekintését azáltal, hogy lehetővé teszi a rendszergazdák számára, hogy megadják, mennyi bizalmas adatot fedjenek fel, minimális hatással az alkalmazásrétegre. A dinamikus adatmaszkolás konfigurálható a kijelölt adatbázismezőkben, hogy bizalmas adatokat rejtsen el az eredményhalmazokban. Dinamikus adatmaszkolás esetén az adatbázis adatai nem változnak, így meglévő alkalmazásokkal is használhatók, mivel maszkolási szabályok vonatkoznak a lekérdezési eredményekre. Számos alkalmazás elfedheti a bizalmas adatokat a meglévő lekérdezések módosítása nélkül.
A dinamikus adatmaszkolással kapcsolatos részletekért lásd : Dinamikus adatmaszkolás a Fabric-adattárházakban.
A megosztás kényelmes módja annak, hogy a felhasználók olvasási hozzáférést biztosítsanak a raktárhoz az alsóbb rétegbeli felhasználáshoz. A megosztás lehetővé teszi, hogy a vállalat alsóbb rétegbeli felhasználói SQL, Spark vagy Power BI használatával használják a raktárat. Testre szabhatja a megosztott címzett által megadott engedélyek szintjét a megfelelő hozzáférési szint biztosításához.
A megosztásról további információt az adatok megosztása és az engedélyek kezelése című témakörben talál.
A felhasználóhoz való hozzárendeléshez szükséges engedélyek kiértékelésekor vegye figyelembe az alábbi útmutatást:
- A munkaterületi szerepkörökhöz (rendszergazda, tag, közreműködő) csak a megoldáson jelenleg együttműködő csapattagokat szabad hozzárendelni, mivel ez hozzáférést biztosít számukra a munkaterület összes eleméhez.
- Ha elsősorban csak olvasási hozzáférést igényelnek, rendelje hozzá őket a Megtekintő szerepkörhöz, és adjon olvasási hozzáférést adott objektumokhoz a T-SQL-en keresztül. További információt az SQL részletes engedélyeinek kezelése című témakörben talál.
- Ha magasabb szintű jogosultsággal rendelkező felhasználók, rendelje hozzá őket rendszergazdai, tagi vagy közreműködői szerepkörökhöz. A megfelelő szerepkör az általuk végrehajtandó egyéb műveletektől függ.
- A többi felhasználónak, akiknek csak egy adott raktárhoz kell hozzáférnie, vagy csak bizonyos SQL-objektumokhoz van szükségük hozzáférésre, fabricelem-engedélyeket kell kapniuk, és hozzáférést kell adni az SQL-en keresztül az adott objektumokhoz.
- Az egyes tagok hozzáadása helyett a Microsoft Entra ID -csoportok (korábbi nevén Azure Active Directory) engedélyeit is kezelheti. További információ: Microsoft Entra-hitelesítés az SQL-hitelesítés alternatívaként a Microsoft Fabricben.
Ha nyomon szeretné követni a felhasználói tevékenységeket a raktár- és SQL Analytics-végponton a jogszabályi megfelelőségre és a rekordkezelésre vonatkozó követelmények teljesítéséhez, a microsoft Purview és a PowerShell használatával elérhető naplózási tevékenységek készlete érhető el. A felhasználói naplózási naplók segítségével megállapíthatja, hogy ki hajtja végre a hálóelemeken végrehajtandó műveletet.
A felhasználói naplók eléréséről további információt a Felhasználói tevékenységek nyomon követése a Microsoft Fabric és a Műveletek listában című témakörben talál.