Beveiliging voor datawarehousing in Microsoft Fabric

Van toepassing op: SQL Analytics-eindpunt en -magazijn in Microsoft Fabric

In dit artikel worden beveiligingsonderwerpen behandeld voor het beveiligen van het SQL-analyse-eindpunt van lakehouse en het warehouse in Microsoft Fabric.

Zie Beveiliging in Microsoft Fabric voor meer informatie over De beveiliging van Microsoft Fabric.

Zie Connectiviteit voor meer informatie over het maken van verbinding met het EINDPUNT van SQL Analytics en Warehouse.

Toegangsmodel voor magazijnen

Microsoft Fabric-machtigingen en gedetailleerde SQL-machtigingen werken samen om de toegang tot warehouse en de gebruikersmachtigingen te beheren zodra er verbinding is gemaakt.

• De connectiviteit van het magazijn is afhankelijk van de machtiging Lezen van Microsoft Fabric, minimaal voor het magazijn.
• Met Microsoft Fabric-itemmachtigingen kunt u een gebruiker met SQL-machtigingen voorzien, zonder dat u deze machtigingen binnen SQL hoeft te verlenen.
• Microsoft Fabric-werkruimterollen bieden Machtigingen voor Microsoft Fabric voor alle magazijnen binnen een werkruimte.
• Gedetailleerde gebruikersmachtigingen kunnen verder worden beheerd via T-SQL.

Werkruimterollen

Werkruimterollen worden gebruikt voor samenwerking van ontwikkelteams binnen een werkruimte. Roltoewijzing bepaalt de acties die beschikbaar zijn voor de gebruiker en is van toepassing op alle items in de werkruimte.

• Zie Rollen in werkruimten voor een overzicht van Microsoft Fabric-werkruimterollen.
• Zie Werkruimtetoegang verlenen voor instructies voor het toewijzen van werkruimterollen.

Zie Werkruimterollen in Fabric-datawarehousing voor meer informatie over de specifieke warehousemogelijkheden die via werkruimterollen worden geboden.

Itemmachtigingen

In tegenstelling tot werkruimterollen, die van toepassing zijn op alle items in een werkruimte, kunnen itemmachtigingen rechtstreeks worden toegewezen aan afzonderlijke magazijnen. De gebruiker ontvangt de toegewezen machtiging voor dat ene magazijn. Het primaire doel van deze machtigingen is om delen in te schakelen voor downstreamverbruik van het magazijn.

Zie Uw magazijn delen en machtigingen beheren voor meer informatie over de specifieke machtigingen die zijn opgegeven voor magazijnen.

Gedetailleerde beveiliging

Werkruimterollen en itemmachtigingen bieden een eenvoudige manier om grof machtigingen toe te wijzen aan een gebruiker voor het hele magazijn. In sommige gevallen zijn er echter meer gedetailleerde machtigingen nodig voor een gebruiker. Hiervoor kunnen standaard T-SQL-constructies worden gebruikt om specifieke machtigingen voor gebruikers te bieden.

Microsoft Fabric-datawarehousing ondersteunt verschillende technologieën voor gegevensbescherming die beheerders kunnen gebruiken om gevoelige gegevens te beschermen tegen onbevoegde toegang. Door gegevens van niet-geautoriseerde gebruikers of rollen te beveiligen of te verdoezelen, kunnen deze beveiligingsfuncties gegevensbeveiliging bieden in zowel een warehouse- als SQL-analyse-eindpunt zonder wijzigingen in de toepassing.

• Beveiliging op objectniveau bepaalt de toegang tot specifieke databaseobjecten.
• Beveiliging op kolomniveau voorkomt dat niet-geautoriseerde weergave van kolommen in tabellen wordt voorkomen.
• Beveiliging op rijniveau voorkomt dat niet-geautoriseerde weergave van rijen in tabellen wordt voorkomen met behulp van vertrouwde WHERE componentfilterpredicaten.
• Dynamische gegevensmaskering voorkomt onbevoegde weergave van gevoelige gegevens door maskers te gebruiken om te voorkomen dat de toegang wordt voltooid, zoals e-mailadressen of nummers.

Beveiliging op objectniveau

Beveiliging op objectniveau is een beveiligingsmechanisme waarmee de toegang tot specifieke databaseobjecten, zoals tabellen, weergaven of procedures, wordt bepaald op basis van gebruikersbevoegdheden of -rollen. Het zorgt ervoor dat gebruikers of rollen alleen met de objecten kunnen communiceren en bewerken waarvoor ze machtigingen hebben gekregen, waardoor de integriteit en vertrouwelijkheid van het databaseschema en de bijbehorende resources worden beschermd.

Zie gedetailleerde SQL-machtigingen voor meer informatie over het beheren van gedetailleerde machtigingen in SQL.

Beveiliging op rijniveau

Beveiliging op rijniveau is een databasebeveiligingsfunctie waarmee de toegang tot afzonderlijke rijen of records in een databasetabel wordt beperkt op basis van opgegeven criteria, zoals gebruikersrollen of kenmerken. Het zorgt ervoor dat gebruikers alleen gegevens kunnen bekijken of bewerken die expliciet zijn geautoriseerd voor hun toegang, waardoor de privacy en controle van gegevens worden verbeterd.

Zie Beveiliging op rijniveau in Fabric-datawarehousing voor meer informatie over beveiliging op rijniveau.

Beveiliging op kolomniveau

Beveiliging op kolomniveau is een databasebeveiligingsmaatregel die de toegang tot specifieke kolommen of velden in een databasetabel beperkt, zodat gebruikers alleen de geautoriseerde kolommen kunnen zien en ermee kunnen werken terwijl gevoelige of beperkte informatie wordt verborgen. Het biedt gedetailleerde controle over gegevenstoegang, waardoor vertrouwelijke gegevens in een database worden beveiligd.

Zie Beveiliging op kolomniveau in Fabric-datawarehousing voor meer informatie over beveiliging op kolomniveau.

Dynamische gegevensmaskering

Dynamische gegevensmaskering helpt onbevoegde weergave van gevoelige gegevens te voorkomen door beheerders in staat te stellen op te geven hoeveel gevoelige gegevens moeten worden weergegeven, met minimale gevolgen voor de toepassingslaag. Dynamische gegevensmaskering kan worden geconfigureerd op aangewezen databasevelden om gevoelige gegevens in de resultatensets van query's te verbergen. Met dynamische gegevensmaskering worden de gegevens in de database niet gewijzigd, zodat deze kunnen worden gebruikt met bestaande toepassingen omdat maskeringsregels worden toegepast op queryresultaten. Veel toepassingen kunnen gevoelige gegevens maskeren zonder bestaande query's te wijzigen.

Zie Dynamische gegevensmaskering in Fabric-datawarehousing voor meer informatie over dynamische gegevensmaskering.

Een magazijn delen

Delen is een handige manier om gebruikers leestoegang tot uw magazijn te bieden voor downstreamverbruik. Met delen kunnen downstreamgebruikers in uw organisatie een magazijn gebruiken met behulp van SQL, Spark of Power BI. U kunt het machtigingsniveau aanpassen dat de gedeelde geadresseerde krijgt om het juiste toegangsniveau te bieden.

Zie Uw magazijn delen en machtigingen beheren voor meer informatie over delen.

Richtlijnen voor gebruikerstoegang

Houd rekening met de volgende richtlijnen bij het evalueren van de machtigingen die aan een gebruiker moeten worden toegewezen:

• Alleen teamleden die momenteel samenwerken aan de oplossing, moeten worden toegewezen aan werkruimterollen (beheerder, lid, inzender), omdat ze hiermee toegang hebben tot alle items in de werkruimte.
• Als ze voornamelijk alleen-lezentoegang nodig hebben, wijst u deze toe aan de rol Kijker en verleent u leestoegang voor specifieke objecten via T-SQL. Zie Gedetailleerde SQL-machtigingen beheren voor meer informatie.
• Als ze gebruikers met een hogere bevoegdheid zijn, wijst u deze toe aan de rollen Beheerder, Lid of Inzender. De juiste rol is afhankelijk van de andere acties die ze moeten uitvoeren.
• Andere gebruikers, die alleen toegang nodig hebben tot een afzonderlijk magazijn of alleen toegang nodig hebben tot specifieke SQL-objecten, moeten machtigingen voor Fabric-items krijgen en toegang krijgen via SQL tot de specifieke objecten.
• U kunt ook machtigingen beheren voor Microsoft Entra ID-groepen (voorheen Azure Active Directory) in plaats van elk specifiek lid toe te voegen.

Gerelateerde inhoud

• Connectiviteit
• Gedetailleerde SQL-machtigingen in Microsoft Fabric
• Uw magazijn delen en machtigingen beheren