Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Berlaku untuk:✅ Gudang di Microsoft Fabric
Fabric Data Warehouse menyediakan solusi pergudangan data perusahaan, dikelola sepenuhnya dan terintegrasi sepenuhnya dalam Microsoft Fabric. Namun, saat menyimpan data sensitif dan penting bagi bisnis, Anda harus mengambil langkah-langkah untuk memaksimalkan keamanan gudang dan data yang disimpan di dalamnya.
Artikel ini memberikan panduan tentang cara terbaik mengamankan gudang Anda di Microsoft Fabric.
Model akses gudang
Izin Microsoft Fabric dan izin SQL terperinci bekerja sama untuk mengatur akses gudang dan izin pengguna setelah terhubung.
- Konektivitas gudang bergantung pada diberikan izin Microsoft Fabric Read, minimal, untuk Gudang.
- Izin item Microsoft Fabric memungkinkan kemampuan untuk memberi pengguna izin SQL, tanpa perlu memberikan izin tersebut dalam SQL.
- Peran ruang kerja Microsoft Fabric menyediakan izin Microsoft Fabric untuk semua gudang dalam ruang kerja.
- Izin pengguna granular dapat dikelola lebih lanjut melalui T-SQL.
Peran ruang kerja
Peran ruang kerja digunakan untuk kolaborasi tim pengembangan dalam ruang kerja. Penetapan peran menentukan tindakan yang tersedia untuk pengguna dan berlaku untuk semua item dalam ruang kerja.
- Untuk gambaran umum peran ruang kerja Microsoft Fabric, lihat Peran di ruang kerja di Microsoft Fabric.
- Untuk petunjuk tentang menetapkan peran ruang kerja, lihat Memberi pengguna akses ke ruang kerja.
Untuk detail tentang kemampuan Gudang tertentu yang disediakan melalui peran ruang kerja, lihat Peran ruang kerja di Fabric Data Warehouse.
Izin item
Berbeda dengan peran ruang kerja, yang berlaku untuk semua item dalam ruang kerja, perizinan item dapat ditetapkan langsung untuk setiap gudang.
Selalu ikuti prinsip hak akses minimum saat memberikan izin dan menentukan keanggotaan peran. Saat mengevaluasi izin untuk ditetapkan kepada pengguna, pertimbangkan panduan berikut:
- Jika mereka terutama memerlukan akses baca saja, tetapkan ke peran Penampil dan berikan akses baca pada objek tertentu melalui T-SQL. Untuk informasi selengkapnya, lihat Mengelola izin terperinci SQL.
- Hanya anggota tim yang saat ini berkolaborasi pada solusi yang harus diberikan peran ruang kerja sebagai Admin, Anggota, atau Kontributor, karena peran tersebut menyediakan akses ke semua item dalam ruang kerja.
- Jika mereka adalah pengguna dengan hak istimewa yang lebih tinggi, tetapkan mereka ke peran Admin, Anggota, atau Kontributor. Peran yang sesuai tergantung pada tindakan lain yang perlu mereka lakukan.
- Pengguna lain, yang hanya memerlukan akses ke gudang individu atau memerlukan akses hanya ke objek SQL tertentu, harus diberikan izin Fabric Item dan diberikan akses melalui SQL ke objek tertentu.
- Anda juga dapat mengelola izin pada grup ID Microsoft Entra, daripada menambahkan setiap anggota tertentu. Untuk informasi selengkapnya, lihat Autentikasi Microsoft Entra sebagai alternatif untuk autentikasi SQL di Microsoft Fabric.
- Mengaudit aktivitas pengguna di gudang Anda dengan log audit pengguna.
Untuk informasi selengkapnya tentang berbagi, lihat Berbagi data Anda dan mengelola izin.
Keamanan granular
Peran ruang kerja dan izin item menyediakan cara mudah untuk menetapkan izin kasar kepada pengguna untuk seluruh gudang. Namun, dalam beberapa kasus, izin yang lebih terperinci diperlukan untuk pengguna. Untuk mencapai hal ini, konstruksi T-SQL standar dapat digunakan untuk memberikan izin khusus kepada pengguna.
Pergudangan data Microsoft Fabric mendukung beberapa teknologi perlindungan data yang dapat digunakan administrator untuk melindungi data sensitif dari akses yang tidak sah. Dengan mengamankan atau mengaburkan data dari pengguna atau peran yang tidak sah, fitur keamanan ini dapat memberikan perlindungan data di titik akhir analitik Gudang dan SQL tanpa perubahan aplikasi.
- Keamanan tingkat objek mengontrol akses ke objek database tertentu.
- Keamanan tingkat kolom mencegah tampilan kolom yang tidak sah dalam tabel.
-
Keamanan tingkat baris mencegah tampilan baris yang tidak sah dalam tabel, menggunakan predikat filter klausa yang familier
WHERE. - Masking data dinamis mencegah tampilan data sensitif yang tidak sah dengan menggunakan masker untuk mencegah akses selesai, seperti alamat email atau nomor.
Keamanan tingkat objek
Keamanan tingkat objek adalah mekanisme keamanan yang mengontrol akses ke objek database tertentu, seperti tabel, tampilan, atau prosedur, berdasarkan hak istimewa atau peran pengguna. Ini memastikan bahwa pengguna atau peran hanya dapat berinteraksi dengan dan memanipulasi objek yang telah mereka berikan izin, melindungi integritas dan kerahasiaan skema database dan sumber daya terkait.
Untuk detail tentang mengelola izin terperinci di SQL, lihat Izin terperinci SQL di Microsoft Fabric.
Keamanan tingkat baris
Keamanan tingkat baris adalah fitur keamanan database yang membatasi akses ke baris atau rekaman individual dalam tabel database berdasarkan kriteria tertentu, seperti peran atau atribut pengguna. Ini memastikan bahwa pengguna hanya dapat melihat atau memanipulasi data yang secara eksplisit diotorisasi untuk akses mereka, meningkatkan privasi dan kontrol data.
Untuk detail tentang keamanan tingkat baris, lihat Keamanan tingkat baris di pergudangan data Fabric.
Keamanan tingkat-kolom
Keamanan tingkat kolom adalah ukuran keamanan database yang membatasi akses ke kolom atau bidang tertentu dalam tabel database, memungkinkan pengguna untuk melihat dan berinteraksi hanya dengan kolom yang diotorisasi sambil menyembunyikan informasi sensitif atau terbatas. Ini menawarkan kontrol terperindar atas akses data, melindungi data rahasia dalam database.
Untuk detail tentang keamanan tingkat kolom, lihat Keamanan tingkat kolom di pergudangan data Fabric.
Penyelubungan data dinamis
Masking data dinamis membantu mencegah tampilan data sensitif yang tidak sah dengan memungkinkan administrator menentukan berapa banyak data sensitif yang akan diungkapkan, dengan efek minimal pada lapisan aplikasi. Masking data dinamis dapat dikonfigurasi pada bidang database yang ditunjuk untuk menyembunyikan data sensitif dalam kumpulan hasil kueri. Dengan masking data dinamis, data dalam database tidak diubah, sehingga dapat digunakan dengan aplikasi yang ada karena aturan masking diterapkan ke hasil kueri. Banyak aplikasi dapat menutupi data sensitif tanpa memodifikasi kueri yang ada.
Untuk detail tentang masking data dinamis, lihat Masking data dinamis di pergudangan data Fabric.
Log audit pengguna
Untuk melacak aktivitas pengguna di gudang dan titik akhir analitik SQL untuk memenuhi persyaratan kepatuhan peraturan dan manajemen rekaman, serangkaian aktivitas audit dapat diakses melalui Microsoft Purview dan PowerShell.
- Anda dapat menggunakan log audit pengguna untuk mengidentifikasi siapa yang mengambil tindakan apa pada item Fabric Anda.
- Untuk memulai, pelajari cara mengonfigurasi log audit SQL di Fabric Data Warehouse (Pratinjau).
- Anda dapat melacak aktivitas pengguna di seluruh Microsoft Fabric. Untuk informasi selengkapnya, lihat daftar Operasi.
Keamanan titik akhir analitik SQL
Untuk informasi selengkapnya tentang keamanan di titik akhir analitik SQL, lihat Keamanan OneLake untuk titik akhir analitik SQL.
Enkripsi kunci yang dikelola pelanggan (CMK)
Anda dapat meningkatkan postur keamanan dengan menggunakan kunci yang dikelola pelanggan (CMK), memberi Anda kontrol langsung atas kunci enkripsi yang melindungi data dan metadata Anda. Saat Anda mengaktifkan CMK untuk ruang kerja yang berisi Gudang Data Fabric, data OneLake dan metadata gudang dilindungi menggunakan kunci enkripsi yang dihosting Azure Key Vault Anda. Untuk informasi selengkapnya, lihat Enkripsi Data di Gudang Data Fabric.