Sicurezza per il data warehousing in Microsoft Fabric

  • Articolo

Si applica a: Endpoint di analisi SQL e Warehouse in Microsoft Fabric

Questo articolo illustra gli argomenti relativi alla sicurezza per la protezione dell'endpoint di analisi SQL del lakehouse e del warehouse in Microsoft Fabric.

Per informazioni sulla sicurezza di Microsoft Fabric, vedere Security in Microsoft Fabric.

Per informazioni sulla connessione all'endpoint di analisi SQL e warehouse, vedere Connessione ivity.

Modello di accesso al magazzino

Le autorizzazioni di Microsoft Fabric e le autorizzazioni SQL granulari interagiscono per gestire l'accesso a Warehouse e le autorizzazioni utente dopo la connessione.

  • La connettività del warehouse dipende dalla concessione dell'autorizzazione di lettura di Microsoft Fabric, almeno per il warehouse.
  • Le autorizzazioni per gli elementi di Microsoft Fabric consentono di fornire a un utente le autorizzazioni SQL, senza dover concedere tali autorizzazioni all'interno di SQL.
  • I ruoli dell'area di lavoro di Microsoft Fabric forniscono le autorizzazioni di Microsoft Fabric per tutti i warehouse all'interno di un'area di lavoro.
  • Le autorizzazioni utente granulari possono essere ulteriormente gestite tramite T-SQL.

Ruoli dell'area di lavoro

I ruoli dell'area di lavoro vengono usati per la collaborazione team di sviluppo all'interno di un'area di lavoro. L'assegnazione di ruolo determina le azioni disponibili per l'utente e si applica a tutti gli elementi all'interno dell'area di lavoro.

Per informazioni dettagliate sulle funzionalità specifiche del warehouse fornite tramite i ruoli dell'area di lavoro, vedere Ruoli dell'area di lavoro nel data warehousing di Fabric.

Autorizzazioni degli elementi

A differenza dei ruoli dell'area di lavoro, che si applicano a tutti gli elementi all'interno di un'area di lavoro, le autorizzazioni degli elementi possono essere assegnate direttamente ai singoli warehouse. L'utente riceverà l'autorizzazione assegnata per tale singolo warehouse. Lo scopo principale di queste autorizzazioni è abilitare la condivisione per l'utilizzo downstream del warehouse.

Per informazioni dettagliate sulle autorizzazioni specifiche fornite per i warehouse, vedere Condividere il magazzino e gestire le autorizzazioni.

Sicurezza granulare

I ruoli dell'area di lavoro e le autorizzazioni degli elementi offrono un modo semplice per assegnare autorizzazioni grossolane a un utente per l'intero warehouse. Tuttavia, in alcuni casi, sono necessarie autorizzazioni più granulari per un utente. A tale scopo, è possibile usare costrutti T-SQL standard per fornire autorizzazioni specifiche agli utenti.

Microsoft Fabric data warehousing supporta diverse tecnologie di protezione dei dati che gli amministratori possono usare per proteggere i dati sensibili da accessi non autorizzati. Proteggendo o offuscando i dati da utenti o ruoli non autorizzati, queste funzionalità di sicurezza possono fornire protezione dei dati in un endpoint di analisi di Warehouse e SQL senza modifiche dell'applicazione.

  • La sicurezza a livello di oggetto controlla l'accesso a oggetti di database specifici.
  • La sicurezza a livello di colonna impedisce la visualizzazione non autorizzata delle colonne nelle tabelle.
  • La sicurezza a livello di riga impedisce la visualizzazione non autorizzata delle righe nelle tabelle, usando predicati di filtro delle clausole familiari WHERE .
  • La maschera dati dinamica impedisce la visualizzazione non autorizzata dei dati sensibili usando maschere per impedire il completamento dell'accesso, ad esempio indirizzi di posta elettronica o numeri.

Sicurezza a livello di oggetto

La sicurezza a livello di oggetto è un meccanismo di sicurezza che controlla l'accesso a oggetti di database specifici, ad esempio tabelle, viste o procedure, in base ai privilegi utente o ai ruoli. Garantisce che gli utenti o i ruoli possano interagire solo con e modificare gli oggetti per cui sono state concesse le autorizzazioni, proteggendo l'integrità e la riservatezza dello schema del database e le relative risorse associate.

Per informazioni dettagliate sulla gestione delle autorizzazioni granulari in SQL, vedere Autorizzazioni granulari di SQL.

Sicurezza a livello di riga

La sicurezza a livello di riga è una funzionalità di sicurezza del database che limita l'accesso a singole righe o record all'interno di una tabella di database in base a criteri specificati, ad esempio ruoli utente o attributi. Garantisce che gli utenti possano visualizzare o modificare solo i dati autorizzati in modo esplicito per l'accesso, migliorando la privacy e il controllo dei dati.

Per informazioni dettagliate sulla sicurezza a livello di riga, vedere Sicurezza a livello di riga nel data warehousing di Fabric.

Sicurezza a livello di colonna

La sicurezza a livello di colonna è una misura di sicurezza del database che limita l'accesso a colonne o campi specifici all'interno di una tabella di database, consentendo agli utenti di visualizzare e interagire con solo le colonne autorizzate nascondendo informazioni riservate o limitate. Offre un controllo granulare sull'accesso ai dati, salvaguardando i dati riservati all'interno di un database.

Per informazioni dettagliate sulla sicurezza a livello di colonna, vedere Sicurezza a livello di colonna nel data warehousing di Fabric.

Maschera dati dinamica

La maschera dati dinamica consente di impedire la visualizzazione non autorizzata dei dati sensibili consentendo agli amministratori di specificare la quantità di dati sensibili da rivelare, con un effetto minimo sul livello dell'applicazione. La maschera dati dinamica può essere configurata in campi di database designati per nascondere i dati sensibili nei set di risultati delle query. Con la maschera dati dinamica, i dati nel database non vengono modificati, quindi possono essere usati con le applicazioni esistenti perché le regole di maschera vengono applicate ai risultati delle query. Molte applicazioni sono in grado di mascherare i dati sensibili senza modificare le query esistenti.

Per informazioni dettagliate sulla maschera dati dinamica, vedere Maschera dati dinamica in Data Warehouse di Fabric.

Condividere un magazzino

La condivisione è un modo pratico per fornire agli utenti l'accesso in lettura al warehouse per l'utilizzo downstream. La condivisione consente agli utenti downstream dell'organizzazione di usare un warehouse usando SQL, Spark o Power BI. È possibile personalizzare il livello di autorizzazioni concesse dal destinatario condiviso per fornire il livello di accesso appropriato.

Per altre informazioni sulla condivisione, vedere Come condividere il warehouse e gestire le autorizzazioni.

Indicazioni sull'accesso degli utenti

Quando si valutano le autorizzazioni da assegnare a un utente, prendere in considerazione le indicazioni seguenti:

  • Solo i membri del team che collaborano alla soluzione devono essere assegnati ai ruoli dell'area di lavoro (Amministrazione, membro, collaboratore), in quanto consentono loro di accedere a tutti gli elementi all'interno dell'area di lavoro.
  • Se richiedono principalmente l'accesso in sola lettura, assegnarli al ruolo Visualizzatore e concedere l'accesso in lettura su oggetti specifici tramite T-SQL. Per altre informazioni, vedere Gestire le autorizzazioni granulari di SQL.
  • Se sono utenti con privilegi più elevati, assegnarli ai ruoli di Amministrazione, membro o collaboratore. Il ruolo appropriato dipende dalle altre azioni che dovranno eseguire.
  • Agli altri utenti, che devono accedere solo a un singolo warehouse o che richiedono l'accesso solo a oggetti SQL specifici, devono disporre delle autorizzazioni per l'elemento dell'infrastruttura e concedere l'accesso tramite SQL agli oggetti specifici.
  • È possibile gestire le autorizzazioni anche per i gruppi di Microsoft Entra ID (in precedenza Azure Active Directory), anziché aggiungere ogni membro specifico.

Contenuto correlato