Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Si applica a:✅ Warehouse in Microsoft Fabric
Fabric Data Warehouse offre una soluzione di data warehousing aziendale, gestita completamente e completamente integrata in Microsoft Fabric. Quando si archiviano dati sensibili e critici per l'azienda, tuttavia, è necessario adottare misure per ottimizzare la sicurezza dei data warehouse e i dati archiviati in essi.
Questo articolo fornisce indicazioni su come proteggere al meglio il magazzino in Microsoft Fabric.
Modello di accesso al warehouse
Le autorizzazioni di Microsoft Fabric e le autorizzazioni SQL granulari interagiscono per gestire l'accesso al warehouse e le autorizzazioni utente dopo la connessione.
- La connettività del warehouse è dipendente dalla concessione del permesso di lettura di Microsoft Fabric, almeno per il warehouse.
- Le autorizzazioni per gli elementi di Microsoft Fabric consentono di fornire a un utente le autorizzazioni SQL, senza dover concedere tali autorizzazioni all'interno di SQL.
- I ruoli dell'area di lavoro di Microsoft Fabric forniscono le autorizzazioni di Microsoft Fabric per tutti i warehouse all'interno di un'area di lavoro.
- Le autorizzazioni utente granulari possono essere ulteriormente gestite tramite T-SQL.
Ruoli dell'area di lavoro
I ruoli dell'area di lavoro vengono utilizzati per la collaborazione del team di sviluppo all'interno di un'area di lavoro. L'assegnazione di ruolo determina le azioni disponibili per l'utente e si applica a tutti gli elementi all'interno dell'area di lavoro.
- Per una panoramica dei ruoli dell'area di lavoro di Microsoft Fabric, vedere Ruoli nelle aree di lavoro in Microsoft Fabric.
- Per istruzioni sull'assegnazione dei ruoli dell'area di lavoro, vedere Concedere agli utenti l'accesso alle aree di lavoro.
Per informazioni dettagliate sulle funzionalità specifiche del warehouse fornite tramite i ruoli dell'area di lavoro, vedere Ruoli dell'area di lavoro in Fabric Data Warehouse.
Autorizzazioni per gli elementi
A differenza dei ruoli dell'area di lavoro, che si applicano a tutti gli elementi all'interno di un'area di lavoro, le autorizzazioni degli elementi possono essere assegnate direttamente ai singoli warehouse.
Seguire sempre l'entità dei privilegi minimi quando si concedono autorizzazioni e appartenenze ai ruoli. Quando si valutano le autorizzazioni da assegnare a un utente, prendere in considerazione le indicazioni seguenti:
- Se richiedono principalmente l'accesso in sola lettura, assegnarli al ruolo di visualizzatore e concedere l'accesso in lettura su oggetti specifici tramite T-SQL. Per altre informazioni, vedere Gestire le autorizzazioni granulari di SQL.
- Solo i membri del team che collaborano alla soluzione devono essere assegnati ai ruoli dell'area di lavoro Amministratore, Membro e Collaboratore, in quanto forniscono l'accesso a tutti gli elementi all'interno dell'area di lavoro.
- Se sono utenti con privilegi più elevati, assegnarli ai ruoli Amministratore, Membro o Collaboratore. Il ruolo appropriato dipende dalle altre azioni da eseguire.
- Gli altri utenti, che devono accedere solo a un singolo warehouse o che richiedono l'accesso solo a oggetti SQL specifici, devono avere le autorizzazioni per l'elemento Fabric e la garanzia di accesso tramite SQL agli oggetti specifici.
- È possibile gestire anche le autorizzazioni per i gruppi di ID Microsoft Entra, invece di aggiungere ogni membro specifico. Per altre informazioni, vedere L'autenticazione di Microsoft Entra come alternativa all'autenticazione SQL in Microsoft Fabric.
- Controllare l'attività dell'utente nel magazzino con i log di controllo utente.
Per altre informazioni sulla condivisione, vedere Condividere i dati e gestire le autorizzazioni.
Sicurezza granulare
I ruoli dell'area di lavoro e le autorizzazioni degli elementi offrono un modo semplice per assegnare autorizzazioni generiche a un utente per l'intero warehouse. Tuttavia, in alcuni casi, per un utente sono necessarie autorizzazioni più granulari. A tale scopo, è possibile usare costrutti T-SQL standard per fornire autorizzazioni specifiche agli utenti.
Archiviazione dati di Microsoft Fabric supporta diverse tecnologie di protezione dei dati che gli amministratori possono usare per proteggere i dati sensibili da accessi non autorizzati. Proteggendo o offuscando i dati da utenti o ruoli non autorizzati, queste funzionalità di sicurezza possono fornire protezione dei dati in un endpoint warehouse e di analisi SQL senza modifiche dell'applicazione.
- La protezione a livello di oggetto controlla l'accesso a oggetti database specifici.
- La protezione a livello di colonna impedisce la visualizzazione non autorizzata delle colonne nelle tabelle.
-
La sicurezza a livello di riga impedisce la visualizzazione non autorizzata delle righe nelle tabelle, usando predicati di filtro delle clausole familiari
WHERE. - Maschera dati dinamica (Dynamic data masking) impedisce la visualizzazione non autorizzata dei dati sensibili usando maschere, come indirizzi di posta elettronica o numeri, al fine di impedire il completamento dell'accesso.
Protezione a livello di oggetto
La protezione a livello di oggetto è un meccanismo di sicurezza che controlla l'accesso a oggetti database specifici, ad esempio tabelle, viste o procedure, in base ai privilegi o ai ruoli utente. Garantisce che gli utenti o i ruoli possano modificare e interagire solo con quegli oggetti per i quali sono state concesse le autorizzazioni, proteggendo l'integrità e la riservatezza dello schema del database e le relative risorse associate.
Per informazioni dettagliate sulla gestione delle autorizzazioni granulari in SQL, vedere Autorizzazioni granulari di SQL in Microsoft Fabric.
Sicurezza a livello di riga
La sicurezza a livello di riga è una funzionalità di sicurezza del database che limita l'accesso a singole righe o record all'interno di una tabella di database in base a criteri specificati, ad esempio ruoli utente o attributi. Garantisce che gli utenti possano visualizzare o modificare solo i dati il cui accesso è stato autorizzato in modo esplicito, migliorandone privacy e controllo.
Per informazioni dettagliate sulla sicurezza a livello di riga, vedere Sicurezza a livello di riga nel data warehousing di Fabric.
Sicurezza a livello di colonna
La sicurezza a livello di colonna è una misura di sicurezza del database che limita l'accesso a colonne o campi specifici all'interno di una tabella di database, consentendo agli utenti di visualizzare e interagire unicamente con le colonne autorizzate nascondendo informazioni riservate o soggette a restrizione. Offre un controllo granulare sull'accesso ai dati, salvaguardando i dati riservati all'interno di un database.
Per informazioni dettagliate sulla sicurezza a livello di colonna, vedere Sicurezza a livello di colonna nel data warehousing di Fabric.
Maschera dati dinamica
La maschera dati dinamica è utile per impedire la visualizzazione non autorizzata ai dati sensibili consentendo agli amministratori di specificare la quantità di dati sensibili da visualizzare, con un impatto minimo sul livello dell'applicazione. È possibile configurare la maschera dati dinamica in campi di database designati per nascondere i dati sensibili nei set di risultati delle query. Grazie alla maschera dati dinamica, i dati del database non vengono modificati, quindi possono essere utilizzati con le applicazioni esistenti, poiché vengono applicate le regole per la maschera ai risultati della query. Molte applicazioni sono in grado di mascherare i dati sensibili senza modificare le query esistenti.
Per dettagli sulla maschera dati dinamica, vedere Maschera dati dinamica nell’archiviazione dati di Fabric.
Log di controllo dell'utente
Per tenere traccia dell'attività degli utenti nel warehouse e nell'endpoint di analisi SQL per soddisfare i requisiti di conformità alle normative e di gestione dei record, un set di attività di controllo è accessibile tramite Microsoft Purview e PowerShell.
- È possibile usare i log di controllo utente per identificare chi esegue l'azione sugli elementi di Fabric.
- Per iniziare, informazioni su come configurare i log di controllo SQL in Fabric Data Warehouse (anteprima).To get started, learn how to configure SQL audit logs in Fabric Data Warehouse (Preview).
- È possibile tenere traccia delle attività degli utenti in Microsoft Fabric. Per altre informazioni, vedere l'elenco Operazioni.
Sicurezza degli endpoint di analisi SQL
Per altre informazioni sulla sicurezza nell'endpoint di analisi SQL, vedere Sicurezza di OneLake per gli endpoint di analisi SQL.
Crittografia della chiave gestita dal cliente
È possibile migliorare il comportamento di sicurezza usando chiavi gestite dal cliente (CMK), offrendo il controllo diretto sulle chiavi di crittografia che proteggono i dati e i metadati. Quando si abilita cmk per un'area di lavoro che contiene un data warehouse di Fabric, i metadati di OneLake e del data warehouse vengono protetti usando le chiavi di crittografia ospitate in Azure Key Vault. Per altre informazioni, vedere Crittografia dei dati in Data Warehouse di Fabric.