Condividi tramite

Condividere il warehouse e gestire le autorizzazioni

  • Articolo

Si applica a:Warehouse e Database con mirroring in Microsoft Fabric

La condivisione è un modo pratico per fornire agli utenti l'accesso in lettura al warehouse per l'utilizzo downstream. La condivisione consente agli utenti downstream dell'organizzazione di usare un warehouse usando SQL, Spark o Power BI. È possibile personalizzare il livello di autorizzazioni concesse dal destinatario condiviso per fornire il livello di accesso appropriato.

Nota

Per condividere un warehouse in Microsoft Fabric è necessario essere un amministratore o un membro dell'area di lavoro.

Operazioni preliminari

Dopo aver identificato il warehouse che si vuole condividere con un altro utente nella propria area di lavoro Fabric, selezionare l'azione rapida nella riga per Condividere un warehouse.

La gif animata seguente esamina i passaggi per selezionare un warehouse da condividere, per selezionare le autorizzazioni da assegnare e, infine, per Concedere le autorizzazioni a un altro utente.

Gif animata che mostra l'interazione con il portale di Fabric in cui un utente condivide un warehouse in Microsoft Fabric con un altro utente.

È possibile condividere il warehouse dall'hub dati di OneLake o dall'elemento Warehouse scegliendo Condividere dall'azione rapida, come evidenziato nell'immagine seguente.

Screenshot che mostra come condividere un warehouse nella pagina dell'hub dati di OneLake.

Condividere un warehouse

Viene richiesto di selezionare le persone con cui si desidera condividere il warehouse, le autorizzazioni da concedere loro e l'eventuale notifica via e-mail. Dopo aver compilato tutti i campi obbligatori, selezionare Concedi accesso.

Ecco altri dettagli su ognuna delle autorizzazioni fornite:

  • Se non sono selezionate autorizzazioni aggiuntive: il destinatario condiviso per impostazione predefinita riceve l'autorizzazione "Lettura", che consente solo al destinatario di connettersi all'endpoint di analisi SQL, equivalente alle autorizzazioni CONNECT in SQL Server. Il destinatario condiviso non sarà in grado di eseguire query su alcuna tabella o vista, o eseguire alcuna funzione o stored procedure, a meno che non gli/le venga fornito l'accesso agli oggetti all'interno del warehouse usando l'istruzione T-SQL GRANT .

Nota

ReadData, ReadAll e Build sono autorizzazioni separate che non si sovrappongono.

  • L'opzione "Read all data using SQL (Leggi tutti i dati utilizzando SQL)" è selezionata ("ReadData"): il destinatario condiviso può leggere tutti gli oggetti database all'interno del warehouse. ReadData equivale al ruolo db_datareader in SQL Server. Il destinatario condiviso può leggere i dati da tutte le tabelle e le viste all'interno del warehouse. Se si vuole porre ulteriori limiti e fornire l'accesso granulare ad alcuni oggetti all'interno del warehouse, è possibile farlo usando le istruzioni T-SQL GRANT/REVOKE/DENY (CONCEDI/REVOCA/NEGA).

    • Nell'endpoint di analisi SQL di Lakehouse "Leggere tutti i dati dell'endpoint SQL" equivale a "Leggere tutti i dati usando SQL".

  • L'opzione "Lettura di tutti i dati con Apache Spark" è selezionata (Autorizzazioni “ReadAll"): il destinatario condiviso ha accesso in lettura ai file Parquet sottostanti in OneLake, che possono essere utilizzati tramite Spark. ReadAll deve essere fornito solo se il destinatario condiviso vuole completare l'accesso ai file del warehouse utilizzando il motore Spark.

  • La casella di controllo "Compila report nel set di dati predefinito" è selezionata ("Autorizzazioni di compilazione"): il destinatario condiviso può compilare report sopra il modello semantico predefinito connesso al warehouse. La compilazione deve essere fornita se il destinatario condiviso desidera autorizzazioni di compilazione per il modello semantico predefinito, per creare report di Power BI su questi dati. La casella di controllo Compilazione è selezionata per impostazione predefinita, ma può essere deselezionata.

Quando il destinatario condiviso riceve il messaggio di posta elettronica, può selezionare Apri e passare alla pagina Hub dati warehouse.

Screenshot che mostra la notifica tramite posta elettronica dell'utente condiviso di un warehouse condiviso.

A seconda del livello di accesso concesso al destinatario condiviso, il destinatario condiviso è ora in grado di connettersi all'endpoint di analisi SQL, eseguire query su Warehouse, compilare report o leggere i dati tramite Spark.

Screenshot del portale di Fabric che mostra la pagina

Autorizzazioni ReadData

Grazie alle autorizzazioni ReadData il destinatario condiviso può aprire l'editor warehouse in modalità di sola lettura ed eseguire query su tabelle e viste all'interno del warehouse. Inoltre, il destinatario condiviso può scegliere di copiare l'endpoint di analisi SQL fornito e connettersi a uno strumento client per eseguire queste query.

Nello screenshot seguente, ad esempio, un utente con autorizzazioni ReadData può eseguire query sul warehouse.

Screenshot del portale di Fabric in cui si mostra che un utente può eseguire query su un warehouse condiviso.

Autorizzazioni ReadAll

Un destinatario condiviso con autorizzazioni ReadAll può trovare il percorso Azure Blob File System (ABFS) per il file specifico in OneLake dal riquadro Proprietà nell'editor warehouse. Il destinatario condiviso può quindi usare questo percorso all'interno di un notebook Spark per leggere questi dati.

Nello screenshot seguente, ad esempio, un utente con autorizzazioni ReadAll può eseguire query sui dati in FactSale con una query Spark in un nuovo notebook.

Screenshot del portale di Fabric in cui un utente apre un notebook Spark per eseguire una query sul collegamento warehouse.

Autorizzazioni di compilazione

Grazie alle autorizzazioni Compilazione, il destinatario condiviso può creare report sopra il modello semantico predefinito connesso al warehouse. Il destinatario condiviso può creare report di Power BI dall'hub dati oppure eseguire le stesse operazioni anche usando Power BI Desktop.

Ad esempio, nello screenshot seguente un utente con autorizzazioni Compilazione può iniziare a creare automaticamente un report di Power BI in base al warehouse condiviso.

Screenshot che mostra l'interazione con il portale di Fabric, in cui un utente può creare automaticamente un report nel warehouse condiviso.

Gestisci autorizzazioni

La pagina Gestisci autorizzazioni mostra l'elenco degli utenti a cui è stato concesso l'accesso assegnando ai ruoli dell'area di lavoro o alle autorizzazioni degli elementi.

Se si è un amministratore o un membro, passare all'area di lavoro e selezionare Altre opzioni. Quindi selezionare Gestisci autorizzazioni.

Screenshot che mostra un utente che seleziona Gestisci autorizzazioni nel menu contestuale del warehouse.

Per gli utenti che hanno fornito ruoli dell'area di lavoro, visualizza l'utente, il ruolo dell'area di lavoro e le autorizzazioni corrispondenti. Gli amministratori, i membri e i collaboratori hanno accesso in lettura/scrittura agli elementi in questa area di lavoro. I visualizzatori dispongono delle autorizzazioni ReadData e possono eseguire query su tutte le tabelle e le viste all'interno del warehouse in tale area di lavoro. Le autorizzazioni per gli elementi Read, ReadData e ReadAll possono essere fornite agli utenti.

Screenshot che mostra la pagina Gestisci autorizzazioni del warehouse nel portale di Fabric.

È possibile scegliere di aggiungere o rimuovere autorizzazioni usando Gestisci autorizzazioni:

  • Rimuovi accesso rimuove le autorizzazioni per tutti gli elementi.
  • Rimuovi ReadData rimuove le autorizzazioni ReadData.
  • Rimuovi ReadAll rimuove le autorizzazioni ReadAll.
  • Rimuovi la compilazione rimuove le autorizzazioni di compilazione per il modello semantico predefinito corrispondente.

Screenshot che mostra un utente che rimuove l'autorizzazione ReadAll di un destinatario condiviso.

Limiti

  • Se si forniscono autorizzazioni per gli elementi o si rimuovono gli utenti che in precedenza disponevano delle autorizzazioni, la propagazione delle autorizzazioni può richiedere fino a due ore. Le nuove autorizzazioni verranno visualizzate immediatamente in "Gestisci autorizzazioni". Accedere di nuovo per accertarsi che le autorizzazioni vengano riflesse nell'endpoint di analisi SQL.
  • I destinatari condivisi possono accedere al warehouse usando l'identità del proprietario (modalità delegata). Assicurarsi che il proprietario del warehouse non venga rimosso dall'area di lavoro.
  • I destinatari condivisi hanno accesso solo al warehouse che ricevono e non ad altri elementi all'interno della stessa area di lavoro del warehouse. Se si vogliono fornire autorizzazioni ad altri utenti del team perché collaborino al warehouse (accesso in lettura e scrittura), aggiungerli come ruoli dell'area di lavoro, ad esempio "membro" o "collaboratore".
  • Attualmente, quando si condivide un warehouse e si sceglie Leggere tutti i dati usando SQL, il destinatario condiviso può accedere all'editor del warehouse in modalità di sola lettura. Questi destinatari condivisi possono creare query, ma attualmente non possono salvare le query.
  • Al momento, la condivisione di un warehouse è disponibile solo tramite l'esperienza utente.
  • Se si vuole fornire un accesso granulare a oggetti specifici all'interno del warehouse, condividere il warehouse senza autorizzazioni aggiuntive, quindi fornire l'accesso granulare a oggetti specifici usando l'istruzione T-SQL GRANT. Per altre informazioni, vedere Sintassi T-SQL per GRANT, REVOKE e DENY.
  • Se si nota che le autorizzazioni ReadAll e ReadData sono disabilitate nella finestra di dialogo di condivisione, aggiornare la pagina.
  • I destinatari condivisi non dispongono dell'autorizzazione per ricondividere un warehouse.
  • Se un report basato su warehouse viene condiviso con un altro destinatario, il destinatario condiviso necessita di più autorizzazioni per accedere al report. Questo dipende dalla modalità di accesso al modello semantico da parte di Power BI:
    • Se si accede tramite Modalità di query Direct, è necessario fornire le autorizzazioni ReadData (o autorizzazioni SQL granulari per tabelle/viste specifiche) al warehouse.
    • Se si accede tramite Modalità Direct Lake, è necessario fornire le autorizzazioni ReadData (o autorizzazioni granulari per tabelle/viste specifiche) al warehouse. La modalità Direct Lake è il tipo di connessione predefinito per i modelli semantici che usano un warehouse o un endpoint di analisi SQL come origine dati. Per altre informazioni, vedere Modalità Direct Lake.
    • Se si accede tramite Modalità di importazione non sono necessarie autorizzazioni aggiuntive.
    • Attualmente, la condivisione di un warehouse direttamente con un SPN non è supportata.

Funzionalità di protezione dei dati

Archiviazione dati di Microsoft Fabric supporta diverse tecnologie che gli amministratori possono usare per proteggere i dati sensibili da visualizzazioni non autorizzate. Proteggendo o offuscando i dati da utenti o ruoli non autorizzati, queste funzionalità di sicurezza possono fornire protezione dei dati in un endpoint warehouse e di analisi SQL senza modifiche dell'applicazione.

Contenuto correlato