Ескертпе
Бұл бетке кіру үшін қатынас шегін айқындау қажет. Жүйеге кіруді немесе каталогтарды өзгертуді байқап көруге болады.
Бұл бетке кіру үшін қатынас шегін айқындау қажет. Каталогтарды өзгертуді байқап көруге болады.
Применимо к:✅базе данных SQL в Microsoft Fabric
В этой статье объясняется управление доступом для элементов базы данных SQL в Fabric.
Доступ к базе данных SQL можно настроить на двух уровнях:
- В Fabric с помощью элементов управления доступом Fabric — роли рабочей области и разрешения элементов.
- В базе данных с помощью элементов управления доступом SQL, таких разрешений SQL или ролей уровня базы данных.
Элементы управления доступом на этих двух разных уровнях работают вместе.
- Чтобы подключиться к базе данных, пользователь должен иметь по крайней мере разрешение на чтение в Fabric для элемента базы данных Fabric .
- Вы можете предоставить доступ к определенным возможностям или данным с помощью элементов управления доступом Fabric, элементов управления доступом SQL или обоих. Разрешение на подключение к базе данных может быть предоставлено только с ролями или разрешениями Fabric.
- Запрет доступа (с инструкцией DENY Transact-SQL) в базе данных всегда имеет приоритет.
Примечание.
Политики защиты Microsoft Purview могут расширить действующие разрешения для пользователей базы данных. Если ваша организация использует Microsoft Purview с Microsoft Fabric, см. статью "Защита конфиденциальных данных в базе данных SQL с помощью политик защиты Microsoft Purview".
Элементы управления доступом Fabric
В Fabric можно управлять доступом с помощью ролей рабочей области Fabric и разрешений элементов.
Роли рабочей области
Роли рабочей области Fabric позволяют управлять тем, кто может выполнять действия в рабочей области Microsoft Fabric.
- Общие сведения о ролях рабочей области см. в разделе "Роли в рабочих областях".
- Инструкции по назначению ролей рабочей области см. в статье "Предоставление пользователям доступа к рабочим областям".
В следующей таблице описаны возможности базы данных SQL, к которым разрешен доступ члены определенных ролей рабочей области.
| Возможность | Роль администратора | Роль участника | Роль участника | Роль "Зритель" |
|---|---|---|---|---|
| Полный административный доступ и полный доступ к данным | Да | Да | Да | Нет |
| Чтение данных и метаданных | Да | Да | Да | Да |
| Подключение к базе данных | Да | Да | Да | Да |
Разрешения элемента
Разрешения элемента Структуры управляют доступом к отдельным элементам Fabric в рабочей области. Разные элементы Fabric имеют разные разрешения. В следующей таблице перечислены разрешения элементов, применимые к элементам базы данных SQL.
| Разрешение | Возможность |
|---|---|
| Чтение | Подключение к базе данных |
| ReadData | Чтение данных и метаданных |
| ReadAll | Чтение зеркальных данных непосредственно из файлов OneLake |
| Общий доступ | Предоставление общего доступа к элементам и управление разрешениями элемента Fabric |
| Запись | Полный административный доступ и полный доступ к данным |
Самый простой способ предоставления разрешений элемента — добавление пользователя, приложения или группы в роль рабочей области. Членство в каждой роли подразумевает, что члены роли имеют подмножество разрешений для всех баз данных в рабочей области, как указано в следующей таблице.
| Роль | Читать | ReadAll | ReadData | Write | Поделиться |
|---|---|---|---|---|---|
| Администратор | Да | Да | Да | Да | Да |
| Член | Да | Да | Да | Да | Да |
| Участник | Да | Да | Да | Да | Нет |
| Зритель | Да | Да | Да | Нет | Нет |
Предоставление общего доступа к разрешениям элемента
Вы также можете предоставлять разрешения на чтение, readAll и ReadData для отдельной базы данных, предоставляя общий доступ к элементу базы данных с помощью быстрого действия "Общий доступ" на портале Fabric. Вы можете просматривать разрешения, предоставленные для элемента базы данных, и управлять ими с помощью быстрого действия "Управление разрешениями " на портале Fabric. Дополнительные сведения см. в статье "Общий доступ к базе данных SQL" и управление разрешениями.
Элементы управления доступом SQL
Следующие понятия SQL позволяют гораздо более детализированному управлению доступом по сравнению с ролями рабочей области Fabric и разрешениями элементов.
-
Роли уровня базы данных. Существует два типа ролей уровня базы данных: предопределенные роли базы данных, предопределенные в базе данных, а также определяемые пользователем роли базы данных.
- Вы можете управлять членством в ролях уровня базы данных и определять определяемые пользователем роли для распространенных сценариев на портале Fabric.
- Дополнительные сведения см. в разделе "Управление ролями уровня базы данных SQL" на портале Fabric.
- Вы также можете управлять определениями членства в роли и ролей с помощью Transact-SQL.
- Чтобы добавлять и удалять пользователей в роли базы данных, используйте параметры
ADD MEMBERиDROP MEMBERинструкции ALTER ROLE . Чтобы управлять определениями определяемых пользователем ролей, используйте CREATE ROLE, ALTER ROLE и DROP ROLE.
- Чтобы добавлять и удалять пользователей в роли базы данных, используйте параметры
- Вы можете управлять членством в ролях уровня базы данных и определять определяемые пользователем роли для распространенных сценариев на портале Fabric.
- Разрешения SQL. Вы можете управлять разрешениями для пользователей базы данных или ролей базы данных с помощью инструкций GRANT, REVOKE и DENY Transact-SQL.
- Безопасность на уровне строк (RLS) позволяет управлять доступом к определенным строкам в таблице.
Дополнительные сведения см. в разделе "Настройка детального управления доступом для базы данных SQL".