Sikkerhet for datalagring i Microsoft Fabric
Gjelder for:✅ SQL Analytics-endepunkt og Warehouse i Microsoft Fabric
Denne artikkelen tar for seg sikkerhetsemner for å sikre SQL Analytics-endepunktet for lakehouse og Warehouse i Microsoft Fabric.
Hvis du vil ha informasjon om Microsoft Fabric-sikkerhet, kan du se Sikkerhet i Microsoft Fabric.
Hvis du vil ha informasjon om hvordan du kobler til SQL Analytics-endepunktet og Lager, kan du se Tilkobling.
Microsoft Fabric-tillatelser og detaljerte SQL-tillatelser fungerer sammen for å styre lagertilgang og brukertillatelsene når de er koblet til.
- Lagertilkobling er avhengig av at Microsoft Fabric Read-tillatelsen, som et minimum, er gitt for lageret.
- Microsoft Fabric-elementtillatelser gjør det mulig å gi en bruker SQL-tillatelser, uten å måtte gi disse tillatelsene i SQL.
- Arbeidsområderoller i Microsoft Fabric gir Microsoft Fabric-tillatelser for alle lagre i et arbeidsområde.
- Detaljerte brukertillatelser kan administreres ytterligere via T-SQL.
Arbeidsområderoller brukes til samarbeid mellom utviklingsteam i et arbeidsområde. Rolletilordning bestemmer handlingene som er tilgjengelige for brukeren og gjelder for alle elementer i arbeidsområdet.
- Hvis du vil ha en oversikt over arbeidsområderoller i Microsoft Fabric, kan du se Roller i arbeidsområder.
- Hvis du vil ha instruksjoner om hvordan du tilordner arbeidsområderoller, kan du se Gi arbeidsområdetilgang.
Hvis du vil ha mer informasjon om de spesifikke lagerfunksjonene som tilbys gjennom arbeidsområderoller, kan du se Arbeidsområderoller i Datalager for stoff.
I motsetning til arbeidsområderoller, som gjelder for alle elementer i et arbeidsområde, kan elementtillatelser tilordnes direkte til individuelle lagre. Brukeren vil motta den tilordnede tillatelsen på det ene lageret. Hovedformålet med disse tillatelsene er å aktivere deling for nedstrøms forbruk av lageret.
Hvis du vil ha mer informasjon om de spesifikke tillatelsene for lagre, kan du se Dele data og behandle tillatelser.
Arbeidsområderoller og elementtillatelser gir en enkel måte å tilordne grove tillatelser til en bruker for hele lageret på. I noen tilfeller kreves det imidlertid mer detaljerte tillatelser for en bruker. For å oppnå dette kan standard T-SQL-konstruksjoner brukes til å gi bestemte tillatelser til brukere.
Microsoft Fabric-datalagring støtter flere databeskyttelsesteknologier som administratorer kan bruke til å beskytte sensitive data mot uautorisert tilgang. Ved å sikre eller obfuscating data fra uautoriserte brukere eller roller, kan disse sikkerhetsfunksjonene gi databeskyttelse i både et lager- og SQL-analyseendepunkt uten programendringer.
- Sikkerhet på objektnivå kontrollerer tilgangen til bestemte databaseobjekter.
- Sikkerhet på kolonnenivå hindrer uautorisert visning av kolonner i tabeller.
- Sikkerhet på radnivå hindrer uautorisert visning av rader i tabeller ved hjelp av velkjente
WHERE
setningsfilterpredikater. - Dynamisk datamaskering hindrer uautorisert visning av sensitive data ved hjelp av masker for å hindre at tilgangen fullføres, for eksempel e-postadresser eller numre.
Sikkerhet på objektnivå er en sikkerhetsmekanisme som styrer tilgangen til bestemte databaseobjekter, for eksempel tabeller, visninger eller prosedyrer, basert på brukerrettigheter eller roller. Den sikrer at brukere eller roller bare kan samhandle med og manipulere objektene de har fått tillatelse til, og beskytte integriteten og konfidensialiteten til databaseskjemaet og tilhørende ressurser.
Hvis du vil ha mer informasjon om hvordan du administrerer detaljerte tillatelser i SQL, kan du se SQL-detaljerte tillatelser.
Sikkerhet på radnivå er en databasesikkerhetsfunksjon som begrenser tilgangen til individuelle rader eller poster i en databasetabell basert på angitte vilkår, for eksempel brukerroller eller attributter. Det sikrer at brukere bare kan vise eller manipulere data som er eksplisitt autorisert for deres tilgang, noe som forbedrer personvernet og kontrollen.
Hvis du vil ha mer informasjon om sikkerhet på radnivå, kan du se Sikkerhet på radnivå i datalager for stoff.
Sikkerhet på kolonnenivå er et databasesikkerhetstiltak som begrenser tilgangen til bestemte kolonner eller felt i en databasetabell, slik at brukere kan se og samhandle med bare de autoriserte kolonnene mens de skjuler sensitiv eller begrenset informasjon. Det gir finkornet kontroll over datatilgang, og sikrer konfidensielle data i en database.
Hvis du vil ha mer informasjon om sikkerhet på kolonnenivå, kan du se Sikkerhet på kolonnenivå i datalager for stoff.
Dynamisk datamaskering bidrar til å forhindre uautorisert visning av sensitive data ved å gjøre det mulig for administratorer å angi hvor mye sensitive data som skal avsløres, med minimal effekt på programlaget. Dynamisk datamaskering kan konfigureres på angitte databasefelt for å skjule sensitive data i resultatsettene med spørringer. Med dynamisk datamaskering endres ikke dataene i databasen, slik at de kan brukes med eksisterende programmer siden maskeringsregler brukes på spørringsresultater. Mange programmer kan maskere sensitive data uten å endre eksisterende spørringer.
Hvis du vil ha mer informasjon om dynamisk datamaskering, kan du se Dynamisk datamaskering i datalager for stoff.
Deling er en praktisk måte å gi brukere lesetilgang til lageret for nedstrøms forbruk. Deling gjør det mulig for nedstrømsbrukere i organisasjonen å bruke et lager ved hjelp av SQL, Spark eller Power BI. Du kan tilpasse tillatelsesnivået som den delte mottakeren får for å gi riktig tilgangsnivå.
Hvis du vil ha mer informasjon om deling, kan du se Dele data og behandle tillatelser.
Når du evaluerer tillatelsene til å tilordne til en bruker, bør du vurdere følgende veiledning:
- Bare gruppemedlemmer som for øyeblikket samarbeider om løsningen, bør tilordnes arbeidsområderoller (administrator, medlem, bidragsyter), da dette gir dem tilgang til alle elementer i arbeidsområdet.
- Hvis de primært krever skrivebeskyttet tilgang, tilordner du dem til Seer-rollen og gir lesetilgang på bestemte objekter via T-SQL. Hvis du vil ha mer informasjon, kan du se Behandle sql-detaljerte tillatelser.
- Hvis de er høyere privilegerte brukere, tilordner du dem til administrator-, medlems- eller bidragsyterroller. Den riktige rollen er avhengig av de andre handlingene de må utføre.
- Andre brukere, som bare trenger tilgang til et enkeltlager eller krever tilgang til bare bestemte SQL-objekter, bør gis fabric item-tillatelser og gis tilgang via SQL til bestemte objekter.
- Du kan administrere tillatelser på Microsoft Entra ID-grupper (tidligere Azure Active Directory) i stedet for å legge til hvert bestemt medlem. Hvis du vil ha mer informasjon, kan du se Microsoft Entra-godkjenning som et alternativ til SQL-godkjenning i Microsoft Fabric.
Hvis du vil spore brukeraktivitet i lager- og SQL-analyseendepunktet for å oppfylle forskriftsmessige samsvars- og postbehandlingskrav, er et sett med revisjonsaktiviteter tilgjengelige via Microsoft Purview og PowerShell. Du kan bruke brukerrevisjonslogger til å identifisere hvem som utfører hvilken handling på Fabric-elementene dine.
Hvis du vil ha mer informasjon om hvordan du får tilgang til brukerrevisjonslogger, kan du se Listen Over spore brukeraktiviteter i Microsoft Fabric and Operations.