Общие сведения о безопасности (интеллектуальный анализ данных)
Применимо к: SQL Server 2019 и более ранних версий Analysis Services Azure Analysis Services Fabric/Power BI Premium
Важно!
Интеллектуальный анализ данных не рекомендуется использовать в службах SQL Server 2017 Analysis Services, а в SQL Server 2022 Analysis Services его поддержка прекращена. Документация не обновляется для устаревших и неподдерживаемых функций. Дополнительные сведения см. в статье об обратной совместимости служб Analysis Services.
Процесс защиты microsoft SQL Server SQL Server Analysis Services выполняется на нескольких уровнях. Необходимо защитить каждый экземпляр SQL Server Analysis Services и его источники данных, чтобы только авторизованные пользователи имели разрешения на чтение или чтение и запись для выбранных измерений, моделей интеллектуального анализа данных и источников данных. Необходимо также обезопасить базовые источники данных, чтобы предотвратить несанкционированный доступ к конфиденциальным бизнес-данным. Процесс защиты экземпляра SQL Server Analysis Services описан в следующих разделах.
Архитектура защиты
Ознакомьтесь со следующими ресурсами, чтобы узнать об базовой архитектуре безопасности экземпляра SQL Server Analysis Services, в том числе о том, как SQL Server Analysis Services использует проверку подлинности Microsoft Windows для проверки подлинности доступа пользователей.
Роли безопасности (службы Analysis Services — многомерные данные)
Предоставление доступа к объектам и операциям (Analysis Services)
Настройка учетной записи входа для служб Analysis Services
Необходимо выбрать соответствующую учетную запись входа для SQL Server Analysis Services и указать разрешения для этой учетной записи. Необходимо убедиться, что учетная запись SQL Server Analysis Services входа имеет только те разрешения, которые необходимы для выполнения необходимых задач, включая соответствующие разрешения на базовые источники данных.
Набор разрешений для создания и обработки моделей, необходимых при выполнении интеллектуального анализа данных, отличается от набора разрешений, необходимых при просмотре моделей или при выполнении запросов к ним. Выполнение прогнозов с помощью модели является одним из типов запроса и не требует разрешений администратора.
Защита экземпляра служб Analysis Services
Затем необходимо защитить SQL Server Analysis Services компьютер, операционную систему Windows на компьютере SQL Server Analysis Services, SQL Server Analysis Services себя и источники данных, которые SQL Server Analysis Services использует.
Настройка доступа к службам Analysis Services
При настройке и определении авторизованных пользователей для экземпляра SQL Server Analysis Services необходимо определить, какие пользователи также должны иметь разрешение на администрирование определенных объектов базы данных, какие пользователи могут просматривать определения объектов или просматривать модели, а также какие пользователи могут напрямую получать доступ к источникам данных.
Особые соображения при выполнении интеллектуального анализа данных
Чтобы аналитик или разработчик мог создавать и испытывать модели интеллектуального анализа данных, необходимо предоставить ему административные разрешения на базу данных, в которой хранятся эти модели интеллектуального анализа данных. Вследствие этого аналитик интеллектуального анализа данных или разработчик будут иметь возможность создавать либо удалять другие объекты, не связанные с интеллектуальным анализом данных, включая объекты интеллектуального анализа данных, созданные другими аналитиками либо разработчиками и используемые в настоящее время, или объекты OLAP, не включенные в решение интеллектуального анализа данных.
Соответственно, при создании решений для интеллектуального анализа данных необходимо учитывать как потребности аналитиков и разработчиков, которые должны разрабатывать, тестировать и настраивать модели, так и потребности других пользователей и принимать меры по защите существующих объектов баз данных. Одним из решений является создание отдельной базы данных, специально предназначенной для интеллектуального анализа данных, или создание отдельных баз данных для каждого аналитика.
Хотя для создания моделей требуется максимальный уровень разрешений, доступом пользователя к моделям интеллектуального анализа данных для осуществления других операций, таких как обработка, просмотр или выполнение запросов, можно управлять с помощью средств безопасности на основе ролей. При создании ролей следует назначать разрешения, применяемые к объектам интеллектуального анализа данных. Каждый пользователь, являющийся членом той или иной роли, автоматически получает все разрешения, связанные с данной ролью.
Кроме того, модели интеллектуального анализа данных часто ссылаются на источники данных, содержащие конфиденциальные сведения. Если структура интеллектуального анализа данных и модель интеллектуального анализа данных настроены для предоставления пользователям возможности выполнять детализацию от модели к данным структуры, необходимо принимать меры предосторожности для скрытия конфиденциальных сведений или ограничивать число пользователей, имеющих доступ к базовым данным.
При использовании пакетов служб Integration Services для очистки данных, обновления моделей интеллектуального анализа данных или для прогнозирования необходимо позаботиться о том, чтобы служба Integration Services имела соответствующие разрешения на работу с базой данных, в которой хранится модель, и соответствующие разрешения на работу с данными источника.