Microsoft Fabric의 SQL 세분화된 권한
적용 대상: Microsoft Fabric의 SQL 분석 엔드포인트 및 웨어하우스
작업 영역 역할에 할당하거나 항목 권한을 통해 부여된 기본 사용 권한이 충분하지 않은 경우 표준 SQL 구문을 보다 세부적으로 제어할 수 있습니다.
SQL 분석 엔드포인트 및 웨어하우스의 경우:
- GRANT, REVOKE 및 DENY T-SQL 구문을 사용하여 개체 수준 보안을 관리할 수 있습니다.
- 사용자 지정 및 기본 제공 데이터베이스 역할 모두 SQL 역할에 사용자를 할당할 수 있습니다.
사용자 세부 권한
- 사용자가 데이터베이스에 연결하려면 사용자를 작업 영역 역할에 할당하거나 항목 읽기 권한을 할당해야 합니다. 읽기 권한이 없으면 연결이 실패합니다.
- 웨어하우스에 연결하기 전에 사용자의 세분화된 권한을 설정하려는 경우 먼저 SQL 내에서 권한을 설정할 수 있습니다. 그런 다음 작업 영역 역할에 할당하거나 항목 권한을 부여하여 액세스 권한을 부여할 수 있습니다.
제한 사항
- CREATE USER는 현재 명시적으로 실행할 수 없습니다. GRANT 또는 DENY가 실행되면 사용자가 자동으로 만들어집니다. 충분한 작업 영역 수준 권한이 부여될 때까지 사용자는 연결할 수 없습니다.
내 권한 보기
사용자가 SQL 연결 문자열 연결할 때 sys.fn_my_permissions 함수를 사용하여 사용 가능한 권한을 볼 수 있습니다.
사용자의 데이터베이스 범위 사용 권한:
SELECT *
FROM sys.fn_my_permissions(NULL, 'Database');
사용자의 스키마 범위 사용 권한:
SELECT *
FROM sys.fn_my_permissions('<schema-name>', 'Schema');
사용자의 개체 범위 사용 권한:
SELECT *
FROM sys.fn_my_permissions('<schema-name>.<object-name>', 'Object');
사용자에게 명시적으로 부여된 권한 보기
SQL 연결 문자열 통해 연결된 경우 관리자 권한이 있는 사용자는 시스템 보기를 사용하여 부여된 권한을 쿼리할 수 있습니다. 작업 영역 역할 또는 할당된 항목 권한에 할당되어 사용자에게 부여되는 사용자 또는 사용자 권한은 표시되지 않습니다.
SELECT DISTINCT pr.principal_id, pr.name, pr.type_desc,
pr.authentication_type_desc, pe.state_desc, pe.permission_name
FROM sys.database_principals AS pr
INNER JOIN sys.database_permissions AS pe
ON pe.grantee_principal_id = pr.principal_id;
데이터 보호 기능
웨어하우스 또는 SQL 분석 엔드포인트의 테이블에서 열 필터 및 조건자 기반 행 필터를 Microsoft Fabric의 역할 및 사용자에게 보호할 수 있습니다. 동적 데이터 마스킹을 사용하여 비관리자로부터 중요한 데이터를 마스킹할 수도 있습니다.
관련 콘텐츠
피드백
https://aka.ms/ContentUserFeedback
출시 예정: 2024년 내내 콘텐츠에 대한 피드백 메커니즘으로 GitHub 문제를 단계적으로 폐지하고 이를 새로운 피드백 시스템으로 바꿀 예정입니다. 자세한 내용은 다음을 참조하세요.다음에 대한 사용자 의견 제출 및 보기