Del via

Dele lageret og administrere tillatelser

  • Artikkel

Gjelder for:Lager og speilvendt database i Microsoft Fabric

Deling er en praktisk måte å gi brukere lesetilgang til lageret for nedstrøms forbruk. Deling gjør det mulig for nedstrømsbrukere i organisasjonen å bruke et lager ved hjelp av SQL, Spark eller Power BI. Du kan tilpasse tillatelsesnivået som den delte mottakeren får for å gi riktig tilgangsnivå.

Merk

Du må være administrator eller medlem i arbeidsområdet for å kunne dele et lager i Microsoft Fabric.

Kom i gang

Når du har identifisert lageret du vil dele med en annen bruker i Fabric-arbeidsområdet, velger du hurtighandlingen i raden for å dele et lager.

Følgende animerte gif-fil gjennomgår trinnene for å velge et lager du vil dele, velge tillatelsene som skal tilordnes, og deretter til slutt gi tillatelsene til en annen bruker.

En animert gif som viser samhandling med Fabric-portalen der en bruker deler et lager i Microsoft Fabric med en annen bruker.

Du kan dele lageret fra OneLake-datahuben eller lagerelementet ved å velge Del fra hurtighandling, som uthevet i illustrasjonen nedenfor.

Skjermbilde som viser hvordan du deler et lager på OneLake-datahubsiden.

Del et lager

Du blir bedt om å velge hvem du vil dele lageret med, hvilke tillatelser og tillatelser du vil gi dem, og om de blir varslet via e-post. Når du har fylt ut alle de nødvendige feltene, velger du Gi tilgang.

Her er mer detaljert informasjon om hver av tillatelsene som er angitt:

  • Hvis ingen flere tillatelser er valgt , mottar den delte mottakeren som standard lesetillatelse, som bare tillater mottakeren å koble til SQL Analytics-endepunktet, tilsvarende CONNECT-tillatelser i SQL Server. Den delte mottakeren kan ikke spørre etter noen tabell eller vise eller utføre en funksjon eller lagret prosedyre med mindre de får tilgang til objekter i lageret ved hjelp av T-SQL GRANT-setningen .

Merk

ReadData, ReadAll og Build er separate tillatelser som ikke overlapper hverandre.

  • «Les alle data ved hjelp av SQL» er valgt («LesData»-tillatelser)– Den delte mottakeren kan lese alle databaseobjektene i lageret. ReadData tilsvarer db_datareader rolle i SQL Server. Den delte mottakeren kan lese data fra alle tabeller og visninger i lageret. Hvis du vil begrense og gi detaljert tilgang til enkelte objekter i lageret ytterligere, kan du gjøre dette ved hjelp av T-SQL GRANT/REVOKE/DENY-setninger.

    • I SQL Analytics-endepunktet i Lakehouse tilsvarer «Les alle SQL Endpoint-data» « Les alle data ved hjelp av SQL».

  • "Les alle data ved hjelp av Apache Spark" er valgt ("ReadAll"-tillatelser)- Den delte mottakeren har lesetilgang til de underliggende parkettfilene i OneLake, som kan brukes ved hjelp av Spark. ReadAll bør bare gis hvis den delte mottakeren ønsker fullstendig tilgang til lagerets filer ved hjelp av Spark-motoren.

  • Avmerkingsboksen «Bygg rapporter på standard datasett» er valgt («Bygg»-tillatelser)– Den delte mottakeren kan bygge rapporter oppå standard semantisk modell som er koblet til lageret. Bygg bør angis hvis den delte mottakeren ønsker å bygge tillatelser på standard semantisk modell, for å opprette Power BI-rapporter på disse dataene. Bygg-avmerkingsboksen er valgt som standard, men kan ikke merkes.

Når den delte mottakeren mottar e-postmeldingen, kan de velge Åpne og gå til Siden Warehouse Data Hub.

Skjermbilde som viser den delte brukerens e-postvarsling om et delt lager.

Avhengig av tilgangsnivået som den delte mottakeren har fått, kan den delte mottakeren nå koble til SQL Analytics-endepunktet, spørre lageret, bygge rapporter eller lese data via Spark.

Skjermbilde fra Stoff-portalen som viser «Se hva som allerede finnes»-siden i det delte lageret.

ReadData-tillatelser

Med ReadData-tillatelser kan den delte mottakeren åpne redigeringsprogrammet for lager i skrivebeskyttet modus og spørre tabellene og visningene i lageret. Den delte mottakeren kan også velge å kopiere endepunktet for SQL-analyse og koble til et klientverktøy for å kjøre disse spørringene.

I skjermbildet nedenfor kan for eksempel en bruker med ReadData-tillatelser spørre lageret.

Skjermbilde fra Stoff-portalen viser at en bruker kan spørre etter et delt lager.

ReadAll-tillatelser

En delt mottaker med ReadAll-tillatelser kan finne Azure Blob File System (ABFS)-banen til den bestemte filen i OneLake fra Egenskaper-ruten i Redigeringsprogrammet for lager. Den delte mottakeren kan deretter bruke denne banen i en Spark-notatblokk til å lese disse dataene.

I skjermbildet nedenfor kan for eksempel en bruker med ReadAll-tillatelser spørre dataene i FactSale med en Spark-spørring i en ny notatblokk.

Skjermbilde fra Stoff-portalen der en bruker åpner en Spark-notatblokk for å spørre lagersnarveien.

Byggetillatelser

Med kompileringstillatelser kan den delte mottakeren opprette rapporter øverst i standard semantisk modell som er koblet til lageret. Den delte mottakeren kan opprette Power BI-rapporter fra datahuben eller gjøre det samme ved hjelp av Power BI Desktop.

I skjermbildet nedenfor kan for eksempel en bruker med byggtillatelser begynne å opprette en Power BI-rapport automatisk basert på det delte lageret.

Et skjermbilde som viser samhandling med Stoff-portalen, der en bruker kan opprette en rapport automatisk på det delte lageret.

Administrer tillatelser

Siden Behandle tillatelser viser listen over brukere som har fått tilgang, enten ved å tilordne til arbeidsområderoller eller elementtillatelser.

Hvis du er administrator eller medlem, går du til arbeidsområdet og velger Flere alternativer. Velg deretter Behandle tillatelser.

Skjermbilde som viser en bruker som velger Behandle tillatelser i hurtigmenyen for lageret.

For brukere som har fått arbeidsområderoller, viser den den tilsvarende brukeren, arbeidsområderollen og tillatelsene. Administrator, medlem og bidragsytere har lese-/skrivetilgang til elementer i dette arbeidsområdet. Brukere har ReadData-tillatelser og kan spørre etter alle tabeller og visninger i lageret i arbeidsområdet. Elementtillatelser Lese, LeseData og ReadAll kan gis til brukere.

Skjermbilde som viser siden Behandle tillatelser i Lager i Stoff-portalen.

Du kan velge å legge til eller fjerne tillatelser ved hjelp av Behandle tillatelser:

  • Fjern tilgang fjerner alle elementtillatelser.
  • Fjern ReadData fjerner ReadData-tillatelsene .
  • Fjern ReadAll fjerner ReadAll-tillatelser .
  • Fjern build fjerner byggtillatelser på den tilsvarende standard semantiske modellen.

Skjermbilde som viser en bruker som fjerner ReadAll-tillatelsen til en delt mottaker.

Begrensninger

  • Hvis du angir elementtillatelser eller fjerner brukere som tidligere hadde tillatelser, kan tillatelsesoverføring ta opptil to timer. De nye tillatelsene gjenspeiles i Behandle tillatelser umiddelbart. Logg på på nytt for å sikre at tillatelsene gjenspeiles i SQL Analytics-endepunktet.
  • Delte mottakere får tilgang til lageret ved hjelp av eierens identitet (delegert modus). Kontroller at eieren av lageret ikke fjernes fra arbeidsområdet.
  • Delte mottakere har bare tilgang til lageret de mottar, og ikke andre elementer i samme arbeidsområde som lageret. Hvis du vil gi andre brukere i gruppen tillatelse til å samarbeide på lageret (lese- og skrivetilgang), kan du legge dem til som arbeidsområderoller, for eksempel Medlem eller Bidragsyter.
  • Når du for øyeblikket deler et lager og velger Les alle data ved hjelp av SQL, kan den delte mottakeren få tilgang til redigeringsprogrammet for lageret i skrivebeskyttet modus. Disse delte mottakerne kan opprette spørringer, men kan for øyeblikket ikke lagre spørringene sine.
  • Deling av et lager er for øyeblikket bare tilgjengelig gjennom brukeropplevelsen.
  • Hvis du vil gi detaljert tilgang til bestemte objekter i lageret, kan du dele lageret uten flere tillatelser, og deretter gi detaljert tilgang til bestemte objekter ved hjelp av T-SQL GRANT-setningen. Hvis du vil ha mer informasjon, kan du se T-SQL-syntaks for GRANT, REVOKE og DENY.
  • Hvis du ser at ReadAll-tillatelsene og ReadData-tillatelsene er deaktivert i dialogboksen for deling, kan du oppdatere siden.
  • Delte mottakere har ikke tillatelse til å dele et lager på nytt.
  • Hvis en rapport som er bygget oppå lageret, deles med en annen mottaker, trenger den delte mottakeren flere tillatelser for å få tilgang til rapporten. Dette avhenger av tilgangsmodusen til den semantiske modellen av Power BI:
    • Hvis du får tilgang til Direktespørringsmodus , må LesData-tillatelser (eller detaljerte SQL-tillatelser til bestemte tabeller/visninger) oppgis til lageret.
    • Hvis du får tilgang til Direct Lake-modus, må ReadData-tillatelser (eller detaljerte tillatelser til bestemte tabeller/visninger) gis til lageret. Direct Lake-modus er standard tilkoblingstype for semantiske modeller som bruker et lager- eller SQL-analyseendepunkt som datakilde. Hvis du vil ha mer informasjon, kan du se Direct Lake-modus.
    • Hvis du får tilgang til importmodus, er det ikke nødvendig med flere tillatelser.
    • Deling av et lager direkte med spn støttes for øyeblikket ikke.

Databeskyttelsesfunksjoner

Microsoft Fabric-datalagring støtter flere teknologier som administratorer kan bruke til å beskytte sensitive data mot uautorisert visning. Ved å sikre eller obfuscating data fra uautoriserte brukere eller roller, kan disse sikkerhetsfunksjonene gi databeskyttelse i både et lager- og SQL-analyseendepunkt uten programendringer.

  • Sikkerhet på kolonnenivå hindrer uautorisert visning av kolonner i tabeller.
  • Sikkerhet på radnivå hindrer uautorisert visning av rader i tabeller ved hjelp av velkjente WHERE setningsfilterpredikater.
  • Dynamisk datamaskering hindrer uautorisert visning av sensitive data ved hjelp av masker for å hindre at tilgangen fullføres, for eksempel e-postadresser eller numre.

Relatert innhold