Condividere il magazzino e gestire le autorizzazioni

  • Articolo

Si applica a:Warehouse e database con mirroring in Microsoft Fabric

La condivisione è un modo pratico per fornire agli utenti l'accesso in lettura al warehouse per l'utilizzo downstream. La condivisione consente agli utenti downstream dell'organizzazione di usare un warehouse usando SQL, Spark o Power BI. È possibile personalizzare il livello di autorizzazioni concesse dal destinatario condiviso per fornire il livello di accesso appropriato.

Nota

Per condividere un warehouse in Microsoft Fabric, è necessario essere un amministratore o un membro dell'area di lavoro.

Operazioni preliminari

Dopo aver identificato il warehouse che si vuole condividere con un altro utente nell'area di lavoro Infrastruttura, selezionare l'azione rapida nella riga in Condividere un magazzino.

La gif animata seguente esamina i passaggi per selezionare un warehouse da condividere, selezionare le autorizzazioni da assegnare e infine Concedere le autorizzazioni a un altro utente.

Gif animata che mostra l'interazione con il portale di Fabric in cui un utente condivide un magazzino in Microsoft Fabric con un altro utente.

È possibile condividere il warehouse dall'hub dati di OneLake o dall'elemento Warehouse scegliendo Condividi dall'azione rapida, come evidenziato nell'immagine seguente.

Screenshot che mostra come condividere un warehouse nella pagina dell'hub dati di OneLake.

Condividere un magazzino

Vengono richieste opzioni per selezionare chi si vuole condividere il warehouse, con quali autorizzazioni concedere e se verranno inviate notifiche tramite posta elettronica. Dopo aver compilato tutti i campi obbligatori, selezionare Concedi accesso.

Ecco altri dettagli su ognuna delle autorizzazioni fornite:

  • Se non sono selezionate autorizzazioni aggiuntive: il destinatario condiviso per impostazione predefinita riceve l'autorizzazione "Lettura", che consente solo al destinatario di connettersi all'endpoint di analisi SQL, equivalente alle autorizzazioni CONNECT in SQL Server. Il destinatario condiviso non sarà in grado di eseguire query su alcuna tabella o vista o eseguire alcuna funzione o stored procedure, a meno che non venga fornito l'accesso agli oggetti all'interno del Warehouse usando l'istruzione T-SQL GRANT .

Nota

ReadData, ReadAll e Build sono autorizzazioni separate che non si sovrappongono.

  • L'opzione "Read all data using SQL" è selezionata ("ReadData") - Il destinatario condiviso può leggere tutti gli oggetti di database all'interno del Warehouse. ReadData equivale a db_datareader ruolo in SQL Server. Il destinatario condiviso può leggere i dati da tutte le tabelle e le viste all'interno del warehouse. Se si vuole limitare ulteriormente e fornire l'accesso granulare ad alcuni oggetti all'interno di Warehouse, è possibile farlo usando le istruzioni T-SQL GRANT/REVOKE/DENY.

    • Nell'endpoint di analisi SQL di Lakehouse " Leggere tutti i dati dell'endpoint SQL" equivale a "Leggere tutti i dati usando SQL".

  • L'opzione "Lettura di tutti i dati con Apache Spark" è selezionata ("Autorizzazioni ReadAll"): il destinatario condiviso ha accesso in lettura ai file Parquet sottostanti in OneLake, che possono essere utilizzati tramite Spark. ReadAll deve essere fornito solo se il destinatario condiviso vuole completare l'accesso ai file del warehouse usando il motore Spark.

  • La casella di controllo "Compila report nel set di dati predefinito" è selezionata ("Autorizzazioni di compilazione")- Il destinatario condiviso può compilare report sopra il modello semantico predefinito connesso al warehouse. La compilazione deve essere fornita se il destinatario condiviso desidera autorizzazioni di compilazione per il modello semantico predefinito, per creare report di Power BI su questi dati. La casella di controllo Compila è selezionata per impostazione predefinita, ma può essere deselezionata.

Quando il destinatario condiviso riceve il messaggio di posta elettronica, può selezionare Apri e passare alla pagina Hub dati warehouse.

Screenshot che mostra la notifica di posta elettronica dell'utente condiviso di un warehouse condiviso.

A seconda del livello di accesso concesso al destinatario condiviso, il destinatario condiviso è ora in grado di connettersi all'endpoint di analisi SQL, eseguire query su Warehouse, compilare report o leggere i dati tramite Spark.

Screenshot del portale di Fabric che mostra la pagina

Autorizzazioni ReadData

Con le autorizzazioni ReadData , il destinatario condiviso può aprire l'editor warehouse in modalità di sola lettura ed eseguire query su tabelle e viste all'interno del warehouse. Il destinatario condiviso può anche scegliere di copiare l'endpoint di analisi SQL fornito e connettersi a uno strumento client per eseguire queste query.

Nello screenshot seguente, ad esempio, un utente con autorizzazioni ReadData può eseguire query sul warehouse.

Screenshot del portale di Infrastruttura che mostra che un utente può eseguire query su un warehouse condiviso.

Autorizzazioni Di letturaTutte

Un destinatario condiviso con autorizzazioni ReadAll può trovare il percorso ABFS (Azure Blob File System) per il file specifico in OneLake dal riquadro Proprietà nell'editor warehouse. Il destinatario condiviso può quindi usare questo percorso all'interno di un notebook Spark per leggere questi dati.

Nello screenshot seguente, ad esempio, un utente con autorizzazioni ReadAll può eseguire query sui dati in FactSale con una query Spark in un nuovo notebook.

Screenshot del portale di Fabric in cui un utente apre un notebook Spark per eseguire una query sul collegamento Warehouse.

Autorizzazioni di compilazione

Con le autorizzazioni di compilazione , il destinatario condiviso può creare report sopra il modello semantico predefinito connesso al warehouse. Il destinatario condiviso può creare report di Power BI dall'hub dati o anche eseguire le stesse operazioni usando Power BI Desktop.

Ad esempio, nello screenshot seguente un utente con autorizzazioni di compilazione può iniziare a creare automaticamente un report di Power BI in base al warehouse condiviso.

Screenshot che mostra l'interazione con il portale di Fabric, in cui un utente può creare automaticamente un report nel warehouse condiviso.

Gestisci autorizzazioni

La pagina Gestisci autorizzazioni mostra l'elenco degli utenti a cui è stato concesso l'accesso assegnando ai ruoli dell'area di lavoro o alle autorizzazioni degli elementi.

Se si è un Amministrazione o membro, passare all'area di lavoro e selezionare Altre opzioni. Selezionare quindi Gestisci autorizzazioni.

Screenshot che mostra un utente che seleziona Gestisci autorizzazioni nel menu di scelta rapida del magazzino.

Per gli utenti che hanno fornito ruoli dell'area di lavoro, visualizza l'utente, il ruolo e le autorizzazioni dell'area di lavoro corrispondenti. Amministrazione, i membri e i collaboratori hanno accesso in lettura/scrittura agli elementi in questa area di lavoro. I visualizzatori dispongono delle autorizzazioni ReadData e possono eseguire query su tutte le tabelle e le viste all'interno del warehouse in tale area di lavoro. Le autorizzazioni per gli elementi Read, ReadData e ReadAll possono essere fornite agli utenti.

Screenshot che mostra la pagina Gestisci autorizzazioni del warehouse nel portale di Infrastruttura.

È possibile scegliere di aggiungere o rimuovere autorizzazioni usando Gestisci autorizzazioni:

  • Rimuove l'accesso rimuove tutte le autorizzazioni per gli elementi.
  • Remove ReadData rimuove le autorizzazioni ReadData .
  • Remove ReadAll rimuove le autorizzazioni ReadAll .
  • Rimuovere la compilazione rimuove le autorizzazioni di compilazione per il modello semantico predefinito corrispondente.

Screenshot che mostra un utente che rimuove l'autorizzazione ReadAll di un destinatario condiviso.

Limiti

  • Se si forniscono autorizzazioni per gli elementi o si rimuovono gli utenti che in precedenza disponevano delle autorizzazioni, la propagazione delle autorizzazioni può richiedere fino a due ore. Le nuove autorizzazioni verranno visualizzate immediatamente in "Gestisci autorizzazioni". Accedere di nuovo per assicurarsi che le autorizzazioni vengano riflesse nell'endpoint di analisi SQL.
  • I destinatari condivisi possono accedere al warehouse usando l'identità del proprietario (modalità delegata). Assicurarsi che il proprietario del warehouse non venga rimosso dall'area di lavoro.
  • I destinatari condivisi hanno accesso solo al magazzino che ricevono e non ad altri elementi all'interno della stessa area di lavoro del magazzino. Se si vogliono fornire autorizzazioni per altri utenti del team per collaborare al warehouse (accesso in lettura e scrittura), aggiungerle come ruoli dell'area di lavoro, ad esempio "Membro" o "Collaboratore".
  • Attualmente, quando si condivide un warehouse e si sceglie Legge tutti i dati usando SQL, il destinatario condiviso può accedere all'editor warehouse in modalità di sola lettura. Questi destinatari condivisi possono creare query, ma non possono attualmente salvare le query.
  • Attualmente, la condivisione di un warehouse è disponibile solo tramite l'esperienza utente.
  • Se si vuole fornire un accesso granulare a oggetti specifici all'interno di Warehouse, condividere il warehouse senza autorizzazioni aggiuntive, quindi fornire l'accesso granulare a oggetti specifici usando l'istruzione T-SQL GRANT. Per altre informazioni, vedere Sintassi T-SQL per GRANT, REVOKE e DENY.
  • Se si noterà che le autorizzazioni ReadAll e ReadData sono disabilitate nella finestra di dialogo di condivisione, aggiornare la pagina.
  • I destinatari condivisi non dispongono dell'autorizzazione per ricondividere un warehouse.
  • Se un report basato su Warehouse viene condiviso con un altro destinatario, il destinatario condiviso necessita di più autorizzazioni per accedere al report. Questo dipende dalla modalità di accesso al modello semantico da Parte di Power BI:
    • Se si accede tramite la modalità di query diretta, è necessario fornire le autorizzazioni ReadData (o autorizzazioni SQL granulari per tabelle/viste specifiche) al warehouse.
    • Se si accede tramite la modalità Direct Lake, è necessario fornire autorizzazioni ReadData (o autorizzazioni granulari per tabelle/viste specifiche) al warehouse. La modalità Direct Lake è il tipo di connessione predefinito per i modelli semantici che usano un endpoint di analisi SQL o Warehouse come origine dati. Per altre informazioni, vedere Modalità Direct Lake.
    • Se si accede tramite la modalità di importazione, non sono necessarie autorizzazioni aggiuntive.
    • Attualmente, la condivisione di un magazzino direttamente con un nome SPN non è supportata.

Funzionalità di protezione dei dati

Microsoft Fabric data warehousing supporta diverse tecnologie che gli amministratori possono usare per proteggere i dati sensibili dalla visualizzazione non autorizzata. Proteggendo o offuscando i dati da utenti o ruoli non autorizzati, queste funzionalità di sicurezza possono fornire protezione dei dati in un endpoint di analisi di Warehouse e SQL senza modifiche dell'applicazione.

  • La sicurezza a livello di colonna impedisce la visualizzazione non autorizzata delle colonne nelle tabelle.
  • La sicurezza a livello di riga impedisce la visualizzazione non autorizzata delle righe nelle tabelle, usando predicati di filtro delle clausole familiari WHERE .
  • La maschera dati dinamica impedisce la visualizzazione non autorizzata dei dati sensibili usando maschere per impedire il completamento dell'accesso, ad esempio indirizzi di posta elettronica o numeri.

Contenuto correlato