Leggere in inglese

Condividi tramite


Sicurezza per il data warehousing in Microsoft Fabric

Si applica a:✅ endpoint di Analisi SQL e Warehouse in Microsoft Fabric

Questo articolo illustra gli argomenti relativi alla sicurezza per la protezione dell'endpoint di analisi SQL del lakehouse e del warehouse in Microsoft Fabric.

Per informazioni sulla sicurezza di Microsoft Fabric, vedere Sicurezza in Microsoft Fabric.

Per informazioni sulla connessione all'endpoint di analisi SQL e al warehouse, vedere Connettività.

Modello di accesso al warehouse

Le autorizzazioni di Microsoft Fabric e le autorizzazioni SQL granulari interagiscono per gestire l'accesso al warehouse e le autorizzazioni utente dopo la connessione.

  • La connettività del warehouse è dipendente dalla concessione del permesso di lettura di Microsoft Fabric, almeno per il warehouse.
  • Le autorizzazioni per gli elementi di Microsoft Fabric consentono di fornire a un utente le autorizzazioni SQL, senza dover concedere tali autorizzazioni all'interno di SQL.
  • I ruoli dell'area di lavoro di Microsoft Fabric forniscono le autorizzazioni di Microsoft Fabric per tutti i warehouse all'interno di un'area di lavoro.
  • Le autorizzazioni utente granulari possono essere ulteriormente gestite tramite T-SQL.

Ruoli dell'area di lavoro

I ruoli dell'area di lavoro vengono utilizzati per la collaborazione del team di sviluppo all'interno di un'area di lavoro. L'assegnazione di ruolo determina le azioni disponibili per l'utente e si applica a tutti gli elementi all'interno dell'area di lavoro.

Per informazioni dettagliate sulle funzionalità specifiche del warehouse fornite tramite i ruoli dell'area di lavoro, vedere Ruoli dell'area di lavoro nel data warehousing di Fabric.

Autorizzazioni per gli elementi

A differenza dei ruoli dell'area di lavoro, che si applicano a tutti gli elementi all'interno di un'area di lavoro, le autorizzazioni degli elementi possono essere assegnate direttamente ai singoli warehouse. L'utente riceverà l'autorizzazione assegnata per tale singolo magazzino. Lo scopo principale di queste autorizzazioni è abilitare la condivisione per l'utilizzo downstream del warehouse.

Per informazioni dettagliate sulle autorizzazioni specifiche fornite per i warehouse, vedere Condividere i dati e gestire le autorizzazioni.

Sicurezza granulare

I ruoli dell'area di lavoro e le autorizzazioni degli elementi offrono un modo semplice per assegnare autorizzazioni generiche a un utente per l'intero warehouse. Tuttavia, in alcuni casi, per un utente sono necessarie autorizzazioni più granulari. A tale scopo, è possibile usare costrutti T-SQL standard per fornire autorizzazioni specifiche agli utenti.

Archiviazione dati di Microsoft Fabric supporta diverse tecnologie di protezione dei dati che gli amministratori possono usare per proteggere i dati sensibili da accessi non autorizzati. Proteggendo o offuscando i dati da utenti o ruoli non autorizzati, queste funzionalità di sicurezza possono fornire protezione dei dati in un endpoint warehouse e di analisi SQL senza modifiche dell'applicazione.

Protezione a livello di oggetto

La protezione a livello di oggetto è un meccanismo di sicurezza che controlla l'accesso a oggetti database specifici, ad esempio tabelle, viste o procedure, in base ai privilegi o ai ruoli utente. Garantisce che gli utenti o i ruoli possano modificare e interagire solo con quegli oggetti per i quali sono state concesse le autorizzazioni, proteggendo l'integrità e la riservatezza dello schema del database e le relative risorse associate.

Per informazioni dettagliate sulla gestione delle autorizzazioni granulari in SQL, vedere Autorizzazioni granulari di SQL.

Sicurezza a livello di riga

La sicurezza a livello di riga è una funzionalità di sicurezza del database che limita l'accesso a singole righe o record all'interno di una tabella di database in base a criteri specificati, ad esempio ruoli utente o attributi. Garantisce che gli utenti possano visualizzare o modificare solo i dati il cui accesso è stato autorizzato in modo esplicito, migliorandone privacy e controllo.

Per informazioni dettagliate sulla sicurezza a livello di riga, vedere Sicurezza a livello di riga nel data warehousing di Fabric.

Sicurezza a livello di colonna

La sicurezza a livello di colonna è una misura di sicurezza del database che limita l'accesso a colonne o campi specifici all'interno di una tabella di database, consentendo agli utenti di visualizzare e interagire unicamente con le colonne autorizzate nascondendo informazioni riservate o soggette a restrizione. Offre un controllo granulare sull'accesso ai dati, salvaguardando i dati riservati all'interno di un database.

Per informazioni dettagliate sulla sicurezza a livello di colonna, vedere Sicurezza a livello di colonna nel data warehousing di Fabric.

Maschera dati dinamica

La maschera dati dinamica è utile per impedire la visualizzazione non autorizzata ai dati sensibili consentendo agli amministratori di specificare la quantità di dati sensibili da visualizzare, con un impatto minimo sul livello dell'applicazione. È possibile configurare la maschera dati dinamica in campi di database designati per nascondere i dati sensibili nei set di risultati delle query. Grazie alla maschera dati dinamica, i dati del database non vengono modificati, quindi possono essere utilizzati con le applicazioni esistenti, poiché vengono applicate le regole per la maschera ai risultati della query. Molte applicazioni sono in grado di mascherare i dati sensibili senza modificare le query esistenti.

Per dettagli sulla maschera dati dinamica, vedere Maschera dati dinamica nell’archiviazione dati di Fabric.

Condividere un warehouse

La condivisione è un modo pratico per fornire agli utenti l'accesso in lettura al warehouse per l'utilizzo downstream. La condivisione consente agli utenti downstream dell'organizzazione di usare un warehouse usando SQL, Spark o Power BI. È possibile personalizzare il livello di autorizzazioni concesse dal destinatario condiviso per fornire il livello di accesso appropriato.

Per altre informazioni sulla condivisione, vedere Condividere i dati e gestire le autorizzazioni.

Indicazioni sull'accesso degli utenti

Quando si valutano le autorizzazioni da assegnare a un utente, prendere in considerazione le indicazioni seguenti:

  • Solo i membri del team che collaborano al momento alla soluzione devono essere assegnati ai ruoli dell'area di lavoro (amministratore, membro, collaboratore), in quanto ciò consente loro di accedere a tutti gli elementi all'interno dell'area di lavoro.
  • Se richiedono principalmente l'accesso in sola lettura, assegnarli al ruolo di visualizzatore e concedere l'accesso in lettura su oggetti specifici tramite T-SQL. Per altre informazioni, vedere Gestire le autorizzazioni granulari di SQL.
  • Se sono utenti con privilegi più elevati, assegnarli ai ruoli Amministratore, Membro o Collaboratore. Il ruolo appropriato dipende dalle altre azioni da eseguire.
  • Gli altri utenti, che devono accedere solo a un singolo warehouse o che richiedono l'accesso solo a oggetti SQL specifici, devono avere le autorizzazioni per l'elemento Fabric e la garanzia di accesso tramite SQL agli oggetti specifici.
  • È possibile gestire le autorizzazioni anche autorizzazione gruppi di Microsoft Entra ID (in precedenza Azure Active Directory) anziché aggiungere ciascun membro specifico. Per altre informazioni, vedere L'autenticazione di Microsoft Entra come alternativa all'autenticazione SQL in Microsoft Fabric.

Log di controllo dell'utente

Per tenere traccia dell'attività degli utenti nel warehouse e nell'endpoint di analisi SQL per soddisfare i requisiti di conformità alle normative e di gestione dei record, un set di attività di controllo è accessibile tramite Microsoft Purview e PowerShell. È possibile usare i log di controllo utente per identificare chi esegue l'azione sugli elementi di Fabric.

Per altre informazioni su come accedere ai log di controllo degli utenti, vedere Tenere traccia delle attività degli utenti nell'elenco Microsoft Fabric and Operations.