Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of mappen te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen om mappen te wijzigen.
Van toepassing op:✅ Magazijn in Microsoft Fabric
Fabric Data Warehouse biedt een oplossing voor datawarehousing voor ondernemingen, die volledig en volledig is geïntegreerd in Microsoft Fabric. Wanneer u gevoelige en bedrijfskritieke gegevens opslaat, moet u echter stappen ondernemen om de beveiliging van uw magazijnen en de daarin opgeslagen gegevens te maximaliseren.
Dit artikel bevat richtlijnen voor het beveiligen van uw magazijn in Microsoft Fabric.
Toegangsmodel voor magazijnen
Microsoft Fabric-machtigingen en gedetailleerde SQL-machtigingen werken samen om de toegang tot het magazijn en de gebruikersmachtigingen te beheren zodra deze zijn verbonden.
- De connectiviteit van het magazijn is afhankelijk van de machtiging Lezen van Microsoft Fabric, minimaal voor het magazijn.
- Met Microsoft Fabric-itemmachtigingen kunt u een gebruiker met SQL-machtigingen voorzien, zonder dat u deze machtigingen binnen SQL hoeft te verlenen.
- Microsoft Fabric-werkruimterollen bieden Machtigingen voor Microsoft Fabric voor alle magazijnen binnen een werkruimte.
- Gedetailleerde gebruikersmachtigingen kunnen verder worden beheerd via T-SQL.
Werkruimterollen
Werkruimterollen worden gebruikt voor samenwerking van ontwikkelteams binnen een werkruimte. Roltoewijzing bepaalt de acties die beschikbaar zijn voor de gebruiker en is van toepassing op alle items in de werkruimte.
- Zie Rollen in werkruimten in Microsoft Fabric in Microsoft Fabric voor een overzicht van werkruimterollen.
- Zie Gebruikers toegang geven tot werkruimten voor instructies over het toewijzen van werkruimterollen.
Zie Werkruimterollen in Fabric Data Warehouse voor meer informatie over de specifieke warehousemogelijkheden die worden geboden via werkruimterollen.
Itemmachtigingen
In tegenstelling tot werkruimterollen, die van toepassing zijn op alle items in een werkruimte, kunnen itemmachtigingen rechtstreeks worden toegewezen aan afzonderlijke magazijnen.
Volg altijd de principal van minimale bevoegdheden bij het verlenen van machtigingen en rollidmaatschappen. Houd rekening met de volgende richtlijnen bij het evalueren van de machtigingen die aan een gebruiker moeten worden toegewezen:
- Als ze voornamelijk alleen-lezentoegang nodig hebben, wijst u deze toe aan de rol Kijker en verleent u leestoegang voor specifieke objecten via T-SQL. Zie Gedetailleerde SQL-machtigingen beheren voor meer informatie.
- Alleen teamleden die momenteel samenwerken aan de oplossing, moeten worden toegewezen aan werkruimterollen Beheerder, Lid en Inzender, omdat ze toegang bieden tot alle items in de werkruimte.
- Als ze gebruikers met een hogere bevoegdheid zijn, wijst u deze toe aan de rollen Beheerder, Lid of Inzender. De juiste rol is afhankelijk van de andere acties die ze moeten uitvoeren.
- Andere gebruikers, die alleen toegang nodig hebben tot een afzonderlijk magazijn of alleen toegang nodig hebben tot specifieke SQL-objecten, moeten machtigingen voor Fabric-items krijgen en toegang krijgen via SQL tot de specifieke objecten.
- U kunt ook machtigingen voor Microsoft Entra-id-groepen beheren in plaats van elk specifiek lid toe te voegen. Zie Microsoft Entra-verificatie als alternatief voor SQL-verificatie in Microsoft Fabric voor meer informatie.
- Gebruikersactiviteiten in uw magazijn controleren met auditlogboeken van gebruikers.
Zie Uw gegevens delen en machtigingen beheren voor meer informatie over delen.
Gedetailleerde beveiliging
Werkruimterollen en itemmachtigingen bieden een eenvoudige manier om grof machtigingen toe te wijzen aan een gebruiker voor het hele magazijn. In sommige gevallen zijn er echter meer gedetailleerde machtigingen nodig voor een gebruiker. Hiervoor kunnen standaard T-SQL-constructies worden gebruikt om specifieke machtigingen voor gebruikers te bieden.
Microsoft Fabric-datawarehousing ondersteunt verschillende technologieën voor gegevensbescherming die beheerders kunnen gebruiken om gevoelige gegevens te beschermen tegen onbevoegde toegang. Door gegevens van niet-geautoriseerde gebruikers of rollen te beveiligen of te verdoezelen, kunnen deze beveiligingsfuncties gegevensbeveiliging bieden in zowel een warehouse- als SQL-analyse-eindpunt zonder wijzigingen in de toepassing.
- Beveiliging op objectniveau bepaalt de toegang tot specifieke databaseobjecten.
- Beveiliging op kolomniveau voorkomt dat niet-geautoriseerde weergave van kolommen in tabellen wordt voorkomen.
-
Beveiliging op rijniveau voorkomt dat niet-geautoriseerde weergave van rijen in tabellen wordt voorkomen met behulp van vertrouwde
WHEREcomponentfilterpredicaten. - Dynamische gegevensmaskering voorkomt onbevoegde weergave van gevoelige gegevens door maskers te gebruiken om te voorkomen dat de toegang wordt voltooid, zoals e-mailadressen of nummers.
Beveiliging op objectniveau
Beveiliging op objectniveau is een beveiligingsmechanisme waarmee de toegang tot specifieke databaseobjecten, zoals tabellen, weergaven of procedures, wordt bepaald op basis van gebruikersbevoegdheden of -rollen. Het zorgt ervoor dat gebruikers of rollen alleen met de objecten kunnen communiceren en bewerken waarvoor ze machtigingen hebben gekregen, waardoor de integriteit en vertrouwelijkheid van het databaseschema en de bijbehorende resources worden beschermd.
Zie gedetailleerde SQL-machtigingen in Microsoft Fabric voor meer informatie over het beheren van gedetailleerde machtigingen in SQL.
Beveiliging op rijniveau
Beveiliging op rijniveau is een databasebeveiligingsfunctie waarmee de toegang tot afzonderlijke rijen of records in een databasetabel wordt beperkt op basis van opgegeven criteria, zoals gebruikersrollen of kenmerken. Het zorgt ervoor dat gebruikers alleen gegevens kunnen bekijken of bewerken die expliciet zijn geautoriseerd voor hun toegang, waardoor de privacy en controle van gegevens worden verbeterd.
Zie Beveiliging op rijniveau in Fabric-datawarehousing voor meer informatie over beveiliging op rijniveau.
Beveiliging op kolomniveau
Beveiliging op kolomniveau is een databasebeveiligingsmaatregel die de toegang tot specifieke kolommen of velden in een databasetabel beperkt, zodat gebruikers alleen de geautoriseerde kolommen kunnen zien en ermee kunnen werken terwijl gevoelige of beperkte informatie wordt verborgen. Het biedt gedetailleerde controle over gegevenstoegang, waardoor vertrouwelijke gegevens in een database worden beveiligd.
Zie Beveiliging op kolomniveau in Fabric-datawarehousing voor meer informatie over beveiliging op kolomniveau.
Dynamische gegevensmaskering
Dynamische gegevensmaskering helpt onbevoegde weergave van gevoelige gegevens te voorkomen door beheerders in staat te stellen op te geven hoeveel gevoelige gegevens moeten worden weergegeven, met minimale gevolgen voor de toepassingslaag. Dynamische gegevensmaskering kan worden geconfigureerd op aangewezen databasevelden om gevoelige gegevens in de resultatensets van query's te verbergen. Met dynamische gegevensmaskering worden de gegevens in de database niet gewijzigd, zodat deze kunnen worden gebruikt met bestaande toepassingen omdat maskeringsregels worden toegepast op queryresultaten. Veel toepassingen kunnen gevoelige gegevens maskeren zonder bestaande query's te wijzigen.
Auditlogboeken van gebruikers
Een set controleactiviteiten is toegankelijk via Microsoft Purview en PowerShell om gebruikersactiviteiten bij te houden in warehouse- en SQL-analyse-eindpunten voor naleving van regelgeving en recordbeheer.
- U kunt auditlogboeken van gebruikers gebruiken om te bepalen wie welke actie onderneemt voor uw Fabric-items.
- Leer hoe u SQL-auditlogboeken configureert in Fabric Data Warehouse (preview) om aan de slag te gaan.
- U kunt gebruikersactiviteiten bijhouden in Microsoft Fabric. Zie de lijst Met bewerkingen voor meer informatie.
Eindpuntbeveiliging van SQL Analytics
Zie OneLake-beveiliging voor SQL Analytics-eindpunten voor meer informatie over beveiliging in het SQL Analytics-eindpunt.
Cmk-versleuteling (door de klant beheerde sleutel)
U kunt uw beveiligingspostuur verbeteren met behulp van door de klant beheerde sleutels (CMK), zodat u direct controle hebt over de versleutelingssleutels die uw gegevens en metagegevens beveiligen. Wanneer u CMK inschakelt voor een werkruimte die een Fabric Data Warehouse bevat, worden zowel OneLake-gegevens als metagegevens van het magazijn beveiligd met behulp van uw door Azure Key Vault gehoste versleutelingssleutels. Zie Data Encryption in Fabric Data Warehouse voor meer informatie.