Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Van toepassing op:✅Warehouse en Gespiegelde Database in Microsoft Fabric
Delen is een handige manier om gebruikers leestoegang te bieden tot uw gegevens voor downstreamverbruik. Met delen kunnen downstreamgebruikers in uw organisatie een magazijn gebruiken met behulp van T-SQL, Spark of Power BI. U kunt het machtigingsniveau aanpassen dat de gedeelde geadresseerde krijgt om het juiste toegangsniveau te bieden.
Notitie
U moet een beheerder of lid in uw werkruimte zijn om een item te delen in Microsoft Fabric.
Aan de slag
Nadat u het magazijnitem hebt geïdentificeerd dat u wilt delen met een andere gebruiker in uw Fabric-werkruimte, selecteert u de snelle actie in de rij om te delen.
Selecteer een magazijn dat u wilt delen, selecteer de machtigingen die u wilt toewijzen en verwijs de machtigingen aan een andere gebruiker.
Een magazijn delen
U kunt uw magazijn delen vanuit het OneLake- of Warehouse-item door bij de snelle acties voor Delen te kiezen, zoals is gemarkeerd in de volgende afbeelding.
U krijgt opties om te kiezen met wie u het magazijn wilt delen, welke rechten u hen wilt geven, en of ze per e-mail een melding ontvangen.
Vul alle vereiste velden in, en selecteer Toegang verlenen.
Wanneer de gedeelde geadresseerde de e-mail ontvangt, kan hij of zij Openen selecteren en naar de cataloguspagina van Het OneLake-magazijn navigeren.
Afhankelijk van het toegangsniveau dat de gedeelde geadresseerde heeft gekregen, kan de gedeelde geadresseerde nu verbinding maken met het SQL-analyse-eindpunt, een query uitvoeren op het warehouse of gegevens lezen via Spark.
Fabric-beveiligingsrollen
Hier vindt u meer informatie over elk van de opgegeven machtigingen:
Als er geen extra machtigingen zijn geselecteerd : de gedeelde geadresseerde ontvangt standaard de machtiging Lezen, waardoor de ontvanger alleen verbinding kan maken met het SQL Analytics-eindpunt, het equivalent van CONNECT-machtigingen in SQL Server. De gedeelde geadresseerde kan geen query uitvoeren op een tabel of weergave of een functie of opgeslagen procedure uitvoeren, tenzij ze toegang krijgen tot objecten binnen het Warehouse met behulp van de T-SQL GRANT-instructie.
Tip
ReadData (gebruikt door het warehouse voor T-SQL-machtigingen) en ReadAll (gebruikt door OneLake en het SQL Analytics-eindpunt) zijn afzonderlijke machtigingen die niet overlappen.
"Alle gegevens lezen met behulp van SQL" is geselecteerd ("ReadData"-machtigingen) - De gedeelde ontvanger kan alle tabellen en weergaven in het datawarehouse lezen in de modus alleen-lezen. De gedeelde ontvanger kan er ook voor kiezen om het opgegeven SQL Analytics-eindpunt te kopiëren en verbinding te maken met een clienthulpprogramma om deze query's uit te voeren. ReadData is het equivalent van db_datareader rol in SQL Server. Als u bepaalde objecten in het magazijn verder wilt beperken en gedetailleerde toegang wilt bieden, kunt u dit doen met behulp van T-SQL-instructies
GRANT/REVOKE/DENY.- In het SQL-analyse-eindpunt van Lakehouse is 'Alle SQL-eindpuntgegevens lezen' gelijk aan 'Alle gegevens lezen met behulp van SQL'.
'Alle gegevens lezen met Apache Spark' is geselecteerd ('ReadAll'-machtigingen). De gedeelde ontvanger mag alleen 'ReadAll' krijgen als zij volledige toegang willen tot de bestanden van uw gegevensopslag met behulp van de Spark-engine. Een gedeelde ontvanger met ReadAll-machtigingen kan het ABFS-pad (Azure Blob File System) vinden naar het specifieke bestand in OneLake vanuit het deelvenster Eigenschappen in de warehouse-editor. De gedeelde ontvanger kan dit pad vervolgens in een Spark Notebook gebruiken om deze gegevens te lezen. De ontvanger kan zich ook abonneren op OneLake-gebeurtenissen die zijn gegenereerd voor het datawarehouse in realtime hub.
- 'Abonneren op gebeurtenissen' ('SubscribeOneLakeEvents'-machtigingen): een gedeelde ontvanger met deze machtiging kan zich abonneren op OneLake-gebeurtenissen die zijn gegenereerd voor het magazijn in Fabric Real-Time Hub.
Een gebruiker met ReadAll-machtigingen kan bijvoorbeeld query's uitvoeren op de gegevens
FactSalemet een Spark-query in een nieuw notebook.Monitor : gebruikers met de machtiging Monitor kunnen dynamische beheerweergaven (DMV's) opvragen, zoals
sys.dm_exec_requestsquerytekst, systeemverbindingen, sessies en inzichtenweergaven. Deze machtiging is doorgaans vereist voor operationele bewaking, probleemoplossing en prestatieanalyse.Controle : gebruikers met auditmachtigingen kunnen auditlogboeken inschakelen, configureren en er query's op uitvoeren. Met deze machtiging hebben gebruikers toegang tot controlegegevens om de activiteitengeschiedenis te controleren, naleving te controleren en beveiligingsonderzoeken te ondersteunen.
Machtigingen beheren
Op de pagina Machtigingen beheren ziet u de lijst met gebruikers die toegang hebben gekregen door ze toe te wijzen aan werkruimterollen of itemmachtigingen.
Als u lid bent van de werkruimterollen Beheerder of Lid , gaat u naar uw werkruimte en selecteert u Meer opties. Vervolgens, selecteer Machtigingen beheren.
Voor gebruikers die werkruimterollen hebben opgegeven, ziet u de bijbehorende gebruiker, werkruimterol en machtigingen.
In de volgende tabel ziet u welke machtiging elke rol standaard heeft en of de machtiging kan worden gedeeld.
| Toestemming | Standaard toegekend aan | Deelbaar |
|---|---|---|
| Lezen | Beheerder, Lid, Inzender, Bekijker | Ja |
| ReadData | Beheerder, Lid, Inzender, Bekijker | Ja |
| ReadAll | Beheerder, Lid, Bijdrager | Ja |
| Schrijven | Beheerder, Lid, Bijdrager | Nee. |
| Beeldscherm | Beheerder, Lid, Bijdrager | N.v.t. - kan niet zelfstandig toegekend worden |
| Controle | Admin | N.v.t. - kan niet zelfstandig toegekend worden |
| Opnieuw delen | Beheerder, Lid | N.v.t. - kan niet zelfstandig toegekend worden |
| Restore | Admin | Nee. |
U kunt ervoor kiezen om machtigingen toe te voegen of te verwijderen met behulp van machtigingen beheren:
- Als u de toegang verwijdert, worden alle itemmachtigingen verwijderd.
- Als u ReadData verwijdert, worden de ReadData-machtigingen verwijderd.
- Verwijder ReadAll verwijdert ReadAll-machtigingen.
Functies voor gegevensbescherming
Microsoft Fabric-datawarehousing ondersteunt verschillende technologieën die beheerders kunnen gebruiken om gevoelige gegevens te beschermen tegen onbevoegde weergave. Door gegevens van niet-geautoriseerde gebruikers of rollen te beveiligen of te verdoezelen, kunnen deze beveiligingsfuncties gegevensbeveiliging bieden in zowel een warehouse- als SQL-analyse-eindpunt zonder wijzigingen in de toepassing.
- Beveiliging op kolomniveau voorkomt dat niet-geautoriseerde weergave van kolommen in tabellen wordt voorkomen.
-
Beveiliging op rijniveau voorkomt dat niet-geautoriseerde weergave van rijen in tabellen wordt voorkomen met behulp van vertrouwde
WHEREcomponentfilterpredicaten. - Dynamische gegevensmaskering voorkomt onbevoegde weergave van gevoelige gegevens door maskers te gebruiken om te voorkomen dat de toegang wordt voltooid, zoals e-mailadressen of nummers.
Beperkingen
- Als u itemmachtigingen opgeeft of gebruikers verwijdert die eerder machtigingen hadden, kan het doorgeven van machtigingen maximaal twee uur duren. De nieuwe machtigingen zijn direct zichtbaar in Machtigingen beheren . Meld u opnieuw aan om ervoor te zorgen dat de machtigingen worden weergegeven in uw SQL Analytics-eindpunt.
- Gedeelde ontvangers hebben toegang tot het magazijn met behulp van de identiteit van de eigenaar (gedelegeerde modus). Zorg ervoor dat de eigenaar van het magazijn niet uit de werkruimte is verwijderd.
- Gedeelde ontvangers hebben alleen toegang tot het magazijn dat ze ontvangen en niet tot andere items in dezelfde werkruimte als het magazijn. Als u machtigingen wilt opgeven voor andere gebruikers in uw team om samen te werken aan het magazijn (lees- en schrijftoegang), voegt u deze toe als werkruimterollen zoals Lid of Inzender.
- Op dit moment, wanneer u een Warehouse deelt en alle gegevens lezen met SQL kiest, heeft de gedeelde ontvanger toegang tot de Warehouse-editor in een alleen-lezen modus. Deze gedeelde ontvangers kunnen query's maken, maar kunnen hun query's momenteel niet opslaan.
- Op dit moment is het delen van een magazijn alleen beschikbaar via de gebruikerservaring.
- Als u gedetailleerde toegang wilt bieden tot specifieke objecten in het warehouse, deelt u het warehouse zonder extra machtigingen en geeft u gedetailleerde toegang tot specifieke objecten met behulp van de T-SQL GRANT-instructie. Zie T-SQL-syntaxis voor GRANT, REVOKE en DENY voor meer informatie.
- Als u ziet dat de machtigingen ReadAll en ReadData zijn uitgeschakeld in het dialoogvenster voor delen, vernieuwt u de pagina.
- Gedeelde ontvangers zijn niet gemachtigd om een magazijn opnieuw te delen.
- Als een rapport dat op de Warehouse is gebaseerd, wordt gedeeld met een andere ontvanger, heeft de ontvanger meer toestemmingen nodig om toegang te krijgen tot het rapport. Dit is afhankelijk van de toegangsmodus tot het semantische model door Power BI:
- Als deze wordt benaderd via de DirectQuery-modus, moeten ReadData-machtigingen (of gedetailleerde SQL-machtigingen voor specifieke tabellen/weergaven) worden verstrekt aan het Warehouse.
- Als deze worden geopend via de Direct Lake-modus, moeten leesgegevensmachtigingen (of gedetailleerde machtigingen voor specifieke tabellen/weergaven) worden verstrekt aan het warehouse. De Direct Lake-modus is het standaardverbindingstype voor semantische modellen die een warehouse- of SQL-analyse-eindpunt als gegevensbron gebruiken. Zie de Direct Lake-modus voor meer informatie.
- Als deze wordt geopend via de importmodus , zijn er geen extra machtigingen nodig.
- Het delen van een magazijn met een SPN wordt momenteel niet ondersteund.
- Het dialoogvenster voor magazijndeling biedt de mogelijkheid om u te abonneren op OneLake-gebeurtenissen. Op dit moment wordt toestemming verleend om u te abonneren op OneLake-gebeurtenissen, samen met de toestemming om Alle Apache Spark-data te lezen.