Sicurezza per il data warehousing in Microsoft Fabric
Si applica a:✅ endpoint di Analisi SQL e Warehouse in Microsoft Fabric
Questo articolo illustra gli argomenti relativi alla sicurezza per la protezione dell'endpoint di analisi SQL del lakehouse e del warehouse in Microsoft Fabric.
Per informazioni sulla sicurezza di Microsoft Fabric, vedere Sicurezza in Microsoft Fabric.
Per informazioni sulla connessione all'endpoint di analisi SQL e al warehouse, vedere Connettività.
Le autorizzazioni di Microsoft Fabric e le autorizzazioni SQL granulari interagiscono per gestire l'accesso al warehouse e le autorizzazioni utente dopo la connessione.
- La connettività del warehouse è dipendente dalla concessione del permesso di lettura di Microsoft Fabric, almeno per il warehouse.
- Le autorizzazioni per gli elementi di Microsoft Fabric consentono di fornire a un utente le autorizzazioni SQL, senza dover concedere tali autorizzazioni all'interno di SQL.
- I ruoli dell'area di lavoro di Microsoft Fabric forniscono le autorizzazioni di Microsoft Fabric per tutti i warehouse all'interno di un'area di lavoro.
- Le autorizzazioni utente granulari possono essere ulteriormente gestite tramite T-SQL.
I ruoli dell'area di lavoro vengono utilizzati per la collaborazione del team di sviluppo all'interno di un'area di lavoro. L'assegnazione di ruolo determina le azioni disponibili per l'utente e si applica a tutti gli elementi all'interno dell'area di lavoro.
- Per una panoramica dei ruoli dell'area di lavoro di Microsoft Fabric, vedere Ruoli nelle aree di lavoro.
- Per istruzioni sull'assegnazione dei ruoli dell'area di lavoro, vedere Concedere l'accesso all'area di lavoro.
Per informazioni dettagliate sulle funzionalità specifiche del warehouse fornite tramite i ruoli dell'area di lavoro, vedere Ruoli dell'area di lavoro nel data warehousing di Fabric.
A differenza dei ruoli dell'area di lavoro, che si applicano a tutti gli elementi all'interno di un'area di lavoro, le autorizzazioni degli elementi possono essere assegnate direttamente ai singoli warehouse. L'utente riceverà l'autorizzazione assegnata per tale singolo magazzino. Lo scopo principale di queste autorizzazioni è abilitare la condivisione per l'utilizzo downstream del warehouse.
Per informazioni dettagliate sulle autorizzazioni specifiche fornite per i warehouse, vedere Condividere i dati e gestire le autorizzazioni.
I ruoli dell'area di lavoro e le autorizzazioni degli elementi offrono un modo semplice per assegnare autorizzazioni generiche a un utente per l'intero warehouse. Tuttavia, in alcuni casi, per un utente sono necessarie autorizzazioni più granulari. A tale scopo, è possibile usare costrutti T-SQL standard per fornire autorizzazioni specifiche agli utenti.
Archiviazione dati di Microsoft Fabric supporta diverse tecnologie di protezione dei dati che gli amministratori possono usare per proteggere i dati sensibili da accessi non autorizzati. Proteggendo o offuscando i dati da utenti o ruoli non autorizzati, queste funzionalità di sicurezza possono fornire protezione dei dati in un endpoint warehouse e di analisi SQL senza modifiche dell'applicazione.
- La protezione a livello di oggetto controlla l'accesso a oggetti database specifici.
- La protezione a livello di colonna impedisce la visualizzazione non autorizzata delle colonne nelle tabelle.
- La sicurezza a livello di riga impedisce la visualizzazione non autorizzata delle righe nelle tabelle, usando predicati di filtro delle clausole familiari
WHERE
. - Maschera dati dinamica (Dynamic data masking) impedisce la visualizzazione non autorizzata dei dati sensibili usando maschere, come indirizzi di posta elettronica o numeri, al fine di impedire il completamento dell'accesso.
La protezione a livello di oggetto è un meccanismo di sicurezza che controlla l'accesso a oggetti database specifici, ad esempio tabelle, viste o procedure, in base ai privilegi o ai ruoli utente. Garantisce che gli utenti o i ruoli possano modificare e interagire solo con quegli oggetti per i quali sono state concesse le autorizzazioni, proteggendo l'integrità e la riservatezza dello schema del database e le relative risorse associate.
Per informazioni dettagliate sulla gestione delle autorizzazioni granulari in SQL, vedere Autorizzazioni granulari di SQL.
La sicurezza a livello di riga è una funzionalità di sicurezza del database che limita l'accesso a singole righe o record all'interno di una tabella di database in base a criteri specificati, ad esempio ruoli utente o attributi. Garantisce che gli utenti possano visualizzare o modificare solo i dati il cui accesso è stato autorizzato in modo esplicito, migliorandone privacy e controllo.
Per informazioni dettagliate sulla sicurezza a livello di riga, vedere Sicurezza a livello di riga nel data warehousing di Fabric.
La sicurezza a livello di colonna è una misura di sicurezza del database che limita l'accesso a colonne o campi specifici all'interno di una tabella di database, consentendo agli utenti di visualizzare e interagire unicamente con le colonne autorizzate nascondendo informazioni riservate o soggette a restrizione. Offre un controllo granulare sull'accesso ai dati, salvaguardando i dati riservati all'interno di un database.
Per informazioni dettagliate sulla sicurezza a livello di colonna, vedere Sicurezza a livello di colonna nel data warehousing di Fabric.
La maschera dati dinamica è utile per impedire la visualizzazione non autorizzata ai dati sensibili consentendo agli amministratori di specificare la quantità di dati sensibili da visualizzare, con un impatto minimo sul livello dell'applicazione. È possibile configurare la maschera dati dinamica in campi di database designati per nascondere i dati sensibili nei set di risultati delle query. Grazie alla maschera dati dinamica, i dati del database non vengono modificati, quindi possono essere utilizzati con le applicazioni esistenti, poiché vengono applicate le regole per la maschera ai risultati della query. Molte applicazioni sono in grado di mascherare i dati sensibili senza modificare le query esistenti.
Per dettagli sulla maschera dati dinamica, vedere Maschera dati dinamica nell’archiviazione dati di Fabric.
La condivisione è un modo pratico per fornire agli utenti l'accesso in lettura al warehouse per l'utilizzo downstream. La condivisione consente agli utenti downstream dell'organizzazione di usare un warehouse usando SQL, Spark o Power BI. È possibile personalizzare il livello di autorizzazioni concesse dal destinatario condiviso per fornire il livello di accesso appropriato.
Per altre informazioni sulla condivisione, vedere Condividere i dati e gestire le autorizzazioni.
Quando si valutano le autorizzazioni da assegnare a un utente, prendere in considerazione le indicazioni seguenti:
- Solo i membri del team che collaborano al momento alla soluzione devono essere assegnati ai ruoli dell'area di lavoro (amministratore, membro, collaboratore), in quanto ciò consente loro di accedere a tutti gli elementi all'interno dell'area di lavoro.
- Se richiedono principalmente l'accesso in sola lettura, assegnarli al ruolo di visualizzatore e concedere l'accesso in lettura su oggetti specifici tramite T-SQL. Per altre informazioni, vedere Gestire le autorizzazioni granulari di SQL.
- Se sono utenti con privilegi più elevati, assegnarli ai ruoli Amministratore, Membro o Collaboratore. Il ruolo appropriato dipende dalle altre azioni da eseguire.
- Gli altri utenti, che devono accedere solo a un singolo warehouse o che richiedono l'accesso solo a oggetti SQL specifici, devono avere le autorizzazioni per l'elemento Fabric e la garanzia di accesso tramite SQL agli oggetti specifici.
- È possibile gestire le autorizzazioni anche autorizzazione gruppi di Microsoft Entra ID (in precedenza Azure Active Directory) anziché aggiungere ciascun membro specifico. Per altre informazioni, vedere L'autenticazione di Microsoft Entra come alternativa all'autenticazione SQL in Microsoft Fabric.
Per tenere traccia dell'attività degli utenti nel warehouse e nell'endpoint di analisi SQL per soddisfare i requisiti di conformità alle normative e di gestione dei record, un set di attività di controllo è accessibile tramite Microsoft Purview e PowerShell. È possibile usare i log di controllo utente per identificare chi esegue l'azione sugli elementi di Fabric.
Per altre informazioni su come accedere ai log di controllo degli utenti, vedere Tenere traccia delle attività degli utenti nell'elenco Microsoft Fabric and Operations.