Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Dotyczy:✅ Magazyn w usłudze Microsoft Fabric
Magazyn danych sieci szkieletowej udostępnia rozwiązanie do magazynowania danych przedsiębiorstwa, zarządzane całkowicie i w pełni zintegrowane w usłudze Microsoft Fabric. Podczas przechowywania poufnych i krytycznych dla działania firmy danych należy jednak wykonać kroki w celu zmaksymalizowania bezpieczeństwa magazynów i przechowywanych w nich danych.
Ten artykuł zawiera wskazówki dotyczące najlepszego zabezpieczania magazynu w usłudze Microsoft Fabric.
Model dostępu do magazynu
Uprawnienia usługi Microsoft Fabric i szczegółowe uprawnienia SQL współpracują ze sobą, aby zarządzać dostępem magazynu i uprawnieniami użytkownika po nawiązaniu połączenia.
- Łączność magazynu jest zależna od udzielenia uprawnienia do odczytu usługi Microsoft Fabric co najmniej dla magazynu.
- Uprawnienia elementu usługi Microsoft Fabric umożliwiają udostępnianie użytkownikowi uprawnień SQL bez konieczności udzielania tych uprawnień w programie SQL.
- Role obszaru roboczego usługi Microsoft Fabric zapewniają uprawnienia usługi Microsoft Fabric dla wszystkich magazynów w obszarze roboczym.
- Szczegółowe uprawnienia użytkownika można dalej zarządzać za pośrednictwem języka T-SQL.
Role obszaru roboczego
Role obszaru roboczego są używane do współpracy zespołu deweloperów w obszarze roboczym. Przypisanie roli określa akcje dostępne dla użytkownika i dotyczy wszystkich elementów w obszarze roboczym.
- Aby zapoznać się z omówieniem ról obszaru roboczego usługi Microsoft Fabric, zobacz Role w obszarach roboczych w usłudze Microsoft Fabric.
- Aby uzyskać instrukcje dotyczące przypisywania ról obszaru roboczego, zobacz Przyznawanie użytkownikom dostępu do obszarów roboczych.
Aby uzyskać szczegółowe informacje na temat określonych możliwości magazynu udostępnianych za pomocą ról obszaru roboczego, zobacz Role obszaru roboczego w magazynie danych sieci szkieletowej.
Uprawnienia do elementu
W przeciwieństwie do ról obszaru roboczego, które mają zastosowanie do wszystkich elementów w obszarze roboczym, uprawnienia do elementów można przypisać bezpośrednio do poszczególnych magazynów.
Zawsze postępuj zgodnie z zasadami najniższych uprawnień podczas udzielania uprawnień i członkostw w rolach. Podczas oceniania uprawnień do przypisywania do użytkownika należy wziąć pod uwagę następujące wskazówki:
- Jeśli przede wszystkim wymagają dostępu tylko do odczytu, przypisz je do roli Osoba przeglądająca i przyznaj dostęp do odczytu określonym obiektom za pośrednictwem języka T-SQL. Aby uzyskać więcej informacji, zobacz Zarządzanie uprawnieniami szczegółowymi SQL.
- Tylko członkowie zespołu, którzy obecnie współpracują nad rozwiązaniem, powinni być przypisani do ról administrator, członek i współautor obszaru roboczego, ponieważ zapewniają dostęp do wszystkich elementów w obszarze roboczym.
- Jeśli są to użytkownicy z wyższymi uprawnieniami, przypisz je do ról Administrator, Członek lub Współautor. Odpowiednia rola jest zależna od innych akcji, które muszą wykonać.
- Inni użytkownicy, którzy potrzebują tylko dostępu do pojedynczego magazynu lub wymagają dostępu tylko do określonych obiektów SQL, powinni otrzymać uprawnienia elementu sieci szkieletowej i udzielić dostępu za pośrednictwem programu SQL do określonych obiektów.
- Możesz również zarządzać uprawnieniami w grupach identyfikatorów Entra firmy Microsoft, a nie dodawać poszczególnych członków. Aby uzyskać więcej informacji, zobacz Microsoft Entra authentication as an alternative to SQL authentication in Microsoft Fabric (Uwierzytelnianie entra firmy Microsoft jako alternatywa dla uwierzytelniania SQL w usłudze Microsoft Fabric).
- Przeprowadź inspekcję aktywności użytkowników w magazynie przy użyciu dzienników inspekcji użytkownika.
Aby uzyskać więcej informacji na temat udostępniania, zobacz Udostępnianie danych i zarządzanie uprawnieniami.
Szczegółowe zabezpieczenia
Role i uprawnienia elementów obszaru roboczego umożliwiają łatwe przypisywanie uprawnień do użytkownika dla całego magazynu. Jednak w niektórych przypadkach wymagane są bardziej szczegółowe uprawnienia dla użytkownika. Aby to osiągnąć, standardowe konstrukcje języka T-SQL mogą służyć do zapewniania określonych uprawnień użytkownikom.
Magazynowanie danych w usłudze Microsoft Fabric obsługuje kilka technologii ochrony danych, których administratorzy mogą używać do ochrony poufnych danych przed nieautoryzowanym dostępem. Zabezpieczając lub zaciemniając dane przed nieautoryzowanymi użytkownikami lub rolami, te funkcje zabezpieczeń mogą zapewnić ochronę danych zarówno w punkcie końcowym magazynu, jak i analizy SQL bez zmian aplikacji.
- Zabezpieczenia na poziomie obiektu kontrolują dostęp do określonych obiektów bazy danych.
- Zabezpieczenia na poziomie kolumny uniemożliwiają nieautoryzowane wyświetlanie kolumn w tabelach.
-
Zabezpieczenia na poziomie wiersza uniemożliwiają nieautoryzowane wyświetlanie wierszy w tabelach przy użyciu znanych
WHEREpredykatów filtru klauzul. - Dynamiczne maskowanie danych zapobiega nieautoryzowanemu wyświetlaniu poufnych danych przy użyciu masek, aby zapobiec zakończeniu dostępu, takim jak adresy e-mail lub numery.
Zabezpieczenia na poziomie obiektu
Zabezpieczenia na poziomie obiektu to mechanizm zabezpieczeń, który kontroluje dostęp do określonych obiektów bazy danych, takich jak tabele, widoki lub procedury, na podstawie uprawnień użytkownika lub ról. Gwarantuje to, że użytkownicy lub role mogą wchodzić w interakcje tylko z obiektami, do których otrzymali uprawnienia i manipulować nimi, chroniąc integralność i poufność schematu bazy danych i skojarzonych z nimi zasobów.
Aby uzyskać szczegółowe informacje na temat zarządzania szczegółowymi uprawnieniami w programie SQL, zobacz Szczegółowe uprawnienia sql w usłudze Microsoft Fabric.
Zabezpieczenia na poziomie wiersza
Zabezpieczenia na poziomie wiersza to funkcja zabezpieczeń bazy danych, która ogranicza dostęp do poszczególnych wierszy lub rekordów w tabeli bazy danych na podstawie określonych kryteriów, takich jak role użytkownika lub atrybuty. Gwarantuje to, że użytkownicy mogą wyświetlać lub manipulować danymi, które są jawnie autoryzowane w celu uzyskania dostępu, zwiększając prywatność i kontrolę danych.
Aby uzyskać szczegółowe informacje na temat zabezpieczeń na poziomie wiersza, zobacz Zabezpieczenia na poziomie wiersza w magazynowaniu danych sieci szkieletowej.
Zabezpieczenia na poziomie kolumny
Zabezpieczenia na poziomie kolumny to środek zabezpieczeń bazy danych, który ogranicza dostęp do określonych kolumn lub pól w tabeli bazy danych, co umożliwia użytkownikom wyświetlanie i interakcję tylko z autoryzowanymi kolumnami przy ukrywaniu poufnych lub ograniczonych informacji. Zapewnia szczegółową kontrolę nad dostępem do danych, zabezpieczając poufne dane w bazie danych.
Aby uzyskać szczegółowe informacje na temat zabezpieczeń na poziomie kolumny, zobacz Zabezpieczenia na poziomie kolumny w magazynowaniu danych sieci szkieletowej.
Dynamiczne maskowanie danych
Dynamiczne maskowanie danych pomaga zapobiegać nieautoryzowanemu wyświetlaniu poufnych danych, umożliwiając administratorom określenie, ile poufnych danych ma być ujawnianych, przy minimalnym wpływie na warstwę aplikacji. Dynamiczne maskowanie danych można skonfigurować w wyznaczonych polach bazy danych w celu ukrycia poufnych danych w zestawach wyników zapytań. W przypadku dynamicznego maskowania danych dane w bazie danych nie są zmieniane, więc można ich używać z istniejącymi aplikacjami, ponieważ reguły maskowania są stosowane do wyników zapytań. Wiele aplikacji może maskować poufne dane bez modyfikowania istniejących zapytań.
Aby uzyskać szczegółowe informacje na temat dynamicznego maskowania danych, zobacz Dynamiczne maskowanie danych w magazynowaniu danych sieci szkieletowej.
Dzienniki inspekcji użytkowników
Aby śledzić aktywność użytkowników w magazynie i punkcie końcowym analizy SQL w celu spełnienia wymagań dotyczących zgodności z przepisami i rekordów, zestaw działań inspekcji jest dostępny za pośrednictwem usług Microsoft Purview i PowerShell.
- Dzienniki inspekcji użytkowników umożliwiają określenie, kto podejmuje jakie działania w elementach sieci szkieletowej.
- Aby rozpocząć, dowiedz się, jak skonfigurować dzienniki inspekcji SQL w usłudze Fabric Data Warehouse (wersja zapoznawcza).
- Możesz śledzić działania użytkowników w usłudze Microsoft Fabric. Aby uzyskać więcej informacji, zobacz listę Operacje.
Zabezpieczenia dla analiz SQL na urządzeniach końcowych
Aby uzyskać więcej informacji na temat zabezpieczeń w punkcie końcowym analizy SQL, zobacz Zabezpieczenia usługi OneLake dla punktów końcowych analizy SQL.
Szyfrowanie klucza zarządzanego przez klienta (CMK)
Możesz zwiększyć poziom zabezpieczeń przy użyciu kluczy zarządzanych przez klienta (CMK), zapewniając bezpośrednią kontrolę nad kluczami szyfrowania, które chronią dane i metadane. Po włączeniu klucza zarządzanego przez klienta (CMK) dla obszaru roboczego, który zawiera Fabric Data Warehouse, zarówno dane OneLake, jak i metadane magazynu są chronione przy użyciu kluczy szyfrowania hostowanych w usłudze Azure Key Vault. Aby uzyskać więcej informacji, zapoznaj się z Szyfrowanie danych w magazynie danych Fabric.