Udostępnij za pośrednictwem

Udostępnianie magazynu i zarządzanie uprawnieniami

  • Artykuł

Dotyczy: magazyn i dublowana baza danych w usłudze Microsoft Fabric

Udostępnianie to wygodny sposób zapewnienia użytkownikom dostępu do odczytu do magazynu na potrzeby użycia podrzędnego. Udostępnianie umożliwia użytkownikom podrzędnym w organizacji korzystanie z magazynu przy użyciu usług SQL, Spark lub Power BI. Możesz dostosować poziom uprawnień przyznanych przez adresata udostępnionego w celu zapewnienia odpowiedniego poziomu dostępu.

Uwaga

Aby udostępnić magazyn w usłudze Microsoft Fabric, musisz być administratorem lub członkiem obszaru roboczego.

Rozpocznij

Po zidentyfikowaniu magazynu, który chcesz udostępnić innemu użytkownikowi w obszarze roboczym sieć szkieletowa, wybierz szybką akcję w wierszu, aby udostępnić magazyn.

Poniższy animowany plik GIF przegląda kroki wybierania magazynu do udostępnienia, wybierz uprawnienia do przypisania, a następnie na koniec przyznaj uprawnienia innemu użytkownikowi.

Animowany plik GIF przedstawiający interakcję z portalem usługi Fabric, w którym użytkownik udostępnia magazyn w usłudze Microsoft Fabric innemu użytkownikowi.

Magazyn można udostępnić w centrum danych OneLake lub w elemencie Magazyn, wybierając pozycję Udostępnij z szybkiej akcji, jak pokazano na poniższej ilustracji.

Zrzut ekranu przedstawiający sposób udostępniania magazynu na stronie centrum danych OneLake.

Udostępnianie magazynu

Zostanie wyświetlony monit z opcjami, aby wybrać, z kim chcesz udostępnić magazyn, jakie uprawnienia do ich udzielenia oraz czy będą otrzymywać powiadomienia pocztą e-mail. Po wypełnieniu wszystkich wymaganych pól wybierz pozycję Udziel dostępu.

Poniżej przedstawiono bardziej szczegółowe informacje na temat każdego z podanych uprawnień:

  • Jeśli nie wybrano żadnych dodatkowych uprawnień — odbiorca udostępniony domyślnie otrzymuje uprawnienie "Odczyt", co umożliwia adresatowi nawiązanie połączenia z punktem końcowym analizy SQL, odpowiednik uprawnień CONNECT w programie SQL Server. Udostępniony odbiorca nie będzie mógł wykonywać zapytań względem żadnej tabeli ani widoku ani wykonywać żadnej funkcji ani procedury składowanej, chyba że mają dostęp do obiektów w magazynie przy użyciu instrukcji T-SQL GRANT .

Uwaga

ReadData, ReadAll i Build są oddzielnymi uprawnieniami, które nie nakładają się na siebie.

  • Opcja "Odczytaj wszystkie dane przy użyciu języka SQL" jest zaznaczona ("Uprawnienia readdata") — udostępniony odbiorca może odczytać wszystkie obiekty bazy danych w magazynie. ReadData jest odpowiednikiem roli db_datareader w programie SQL Server. Udostępniony odbiorca może odczytywać dane ze wszystkich tabel i widoków w magazynie. Jeśli chcesz jeszcze bardziej ograniczyć i zapewnić szczegółowy dostęp do niektórych obiektów w magazynie, możesz to zrobić przy użyciu instrukcji T-SQL GRANT/REVOKE/DENY.

    • W punkcie końcowym analizy SQL usługi Lakehouse "Odczytaj wszystkie dane punktu końcowego SQL" jest równoważne "Odczytaj wszystkie dane przy użyciu języka SQL".

  • Opcja "Odczytaj wszystkie dane przy użyciu platformy Apache Spark" jest zaznaczona ("Uprawnienia ReadAll") — udostępniony odbiorca ma dostęp do odczytu do bazowych plików parquet w usłudze OneLake, z których można korzystać przy użyciu platformy Spark. Funkcja ReadAll powinna być udostępniana tylko wtedy, gdy odbiorca udostępniony chce uzyskać pełny dostęp do plików magazynu przy użyciu aparatu Spark.

  • Pole wyboru "Kompiluj raporty na domyślnym zestawie danych" jest zaznaczone ("Uprawnienia kompilacji) — udostępniony odbiorca może tworzyć raporty na podstawie domyślnego modelu semantycznego połączonego z magazynem. Kompilacja powinna zostać podana, jeśli udostępniony odbiorca chce utworzyć uprawnienia do tworzenia domyślnego modelu semantycznego, aby utworzyć raporty usługi Power BI na temat tych danych. Pole wyboru Kompilacja jest zaznaczone domyślnie, ale można je usunąć.

Gdy udostępniony adresat otrzyma wiadomość e-mail, może wybrać pozycję Otwórz i przejść do strony Centrum danych magazynu.

Zrzut ekranu przedstawiający powiadomienie e-mail użytkownika o udostępnionym magazynie.

W zależności od poziomu dostępu, któremu udzielono dostępu do udostępnionego adresata, odbiorca udostępniony może teraz nawiązać połączenie z punktem końcowym analizy SQL, wykonać zapytanie dotyczące magazynu, tworzyć raporty lub odczytywać dane za pośrednictwem platformy Spark.

Zrzut ekranu z portalu sieci szkieletowej przedstawiający stronę

Uprawnienia readData

Przy użyciu uprawnień ReadData adresat udostępniony może otworzyć edytor magazynu w trybie tylko do odczytu i wysyłać zapytania do tabel i widoków w magazynie. Udostępniony adresat może również skopiować udostępniony punkt końcowy analizy SQL i połączyć się z narzędziem klienckim w celu uruchomienia tych zapytań.

Na przykład na poniższym zrzucie ekranu użytkownik z uprawnieniami ReadData może wysyłać zapytania do magazynu.

Zrzut ekranu z portalu sieci szkieletowej pokazuje, że użytkownik może wykonywać zapytania dotyczące udostępnionego magazynu.

Uprawnienia do odczytuwszystkie

Udostępniony adresat z uprawnieniami ReadAll może znaleźć ścieżkę systemu plików obiektów blob platformy Azure (ABFS) do określonego pliku w usłudze OneLake w okienku Właściwości w edytorze magazynu. Odbiorca udostępniony może następnie użyć tej ścieżki w notesie platformy Spark, aby odczytać te dane.

Na przykład na poniższym zrzucie ekranu użytkownik z uprawnieniami ReadAll może wykonywać zapytania dotyczące danych za FactSale pomocą zapytania platformy Spark w nowym notesie.

Zrzut ekranu z portalu sieci szkieletowej, w którym użytkownik otwiera notes platformy Spark w celu wykonywania zapytań dotyczących skrótu magazynu.

Uprawnienia do tworzenia

Przy użyciu uprawnień do tworzenia udostępniony odbiorca może tworzyć raporty na podstawie domyślnego modelu semantycznego połączonego z magazynem. Udostępniony adresat może tworzyć raporty usługi Power BI z centrum danych lub wykonywać te same czynności przy użyciu programu Power BI Desktop.

Na przykład na poniższym zrzucie ekranu użytkownik z uprawnieniami do tworzenia może rozpocząć automatyczne tworzenie raportu usługi Power BI na podstawie udostępnionego magazynu.

Zrzut ekranu przedstawiający interakcję z portalem sieci szkieletowej, na którym użytkownik może automatycznie utworzyć raport w udostępnionym magazynie.

Zarządzaj uprawnieniami

Na stronie Zarządzanie uprawnieniami jest wyświetlana lista użytkowników, którzy otrzymali dostęp, przypisując do ról obszaru roboczego lub uprawnień elementu.

Jeśli jesteś Administracja lub członkiem, przejdź do obszaru roboczego i wybierz pozycję Więcej opcji. Następnie wybierz pozycję Zarządzaj uprawnieniami.

Zrzut ekranu przedstawiający użytkownika wybierającego pozycję Zarządzaj uprawnieniami w menu kontekstowym magazynu.

W przypadku użytkowników, którzy otrzymali role obszaru roboczego, zostanie wyświetlony odpowiedni użytkownik, rola obszaru roboczego i uprawnienia. Administracja, członkowie i współautorzy mają dostęp do odczytu/zapisu do elementów w tym obszarze roboczym. Osoby przeglądające mają uprawnienia ReadData i mogą wykonywać zapytania dotyczące wszystkich tabel i widoków w magazynie w tym obszarze roboczym. Uprawnienia do elementu Odczyt, ReadData i ReadAll mogą być udostępniane użytkownikom.

Zrzut ekranu przedstawiający stronę Zarządzanie uprawnieniami magazynu w portalu sieci szkieletowej.

Możesz dodać lub usunąć uprawnienia przy użyciu opcji Zarządzaj uprawnieniami:

  • Usunięcie dostępu spowoduje usunięcie wszystkich uprawnień elementu.
  • Usunięcie funkcji ReadData usuwa uprawnienia ReadData .
  • Usunięcie funkcji ReadAll usuwa uprawnienia ReadAll.
  • Usunięcie kompilacji usuwa uprawnienia kompilacji dla odpowiedniego domyślnego modelu semantycznego.

Zrzut ekranu przedstawiający użytkownika usuwającego uprawnienie ReadAll adresata udostępnionego.

Ograniczenia

  • Jeśli podasz uprawnienia do elementu lub usuniesz użytkowników, którzy wcześniej mieli uprawnienia, propagacja uprawnień może potrwać do dwóch godzin. Nowe uprawnienia zostaną natychmiast odzwierciedlone w obszarze "Zarządzaj uprawnieniami". Zaloguj się ponownie, aby upewnić się, że uprawnienia zostaną odzwierciedlone w punkcie końcowym analizy SQL.
  • Adresaci współużytkowani mogą uzyskiwać dostęp do magazynu przy użyciu tożsamości właściciela (trybu delegowanego). Upewnij się, że właściciel magazynu nie został usunięty z obszaru roboczego.
  • Adresaci udostępnioni mają dostęp tylko do magazynu, który otrzymują, a nie do żadnych innych elementów w tym samym obszarze roboczym co magazyn. Jeśli chcesz zapewnić innym użytkownikom w zespole uprawnienia do współpracy nad magazynem (dostęp do odczytu i zapisu), dodaj je jako role obszaru roboczego, takie jak "Członek" lub "Współautor".
  • Obecnie, gdy udostępniasz magazyn i wybierasz pozycję Odczytaj wszystkie dane przy użyciu języka SQL, udostępniony odbiorca może uzyskać dostęp do edytora magazynu w trybie tylko do odczytu. Ci współużytkowany adresaci mogą tworzyć zapytania, ale obecnie nie mogą zapisywać zapytań.
  • Obecnie udostępnianie magazynu jest dostępne tylko za pośrednictwem środowiska użytkownika.
  • Jeśli chcesz zapewnić szczegółowy dostęp do określonych obiektów w magazynie, udostępnij magazyn bez dodatkowych uprawnień, a następnie zapewnij szczegółowy dostęp do określonych obiektów przy użyciu instrukcji T-SQL GRANT. Aby uzyskać więcej informacji, zobacz Składnia języka T-SQL dla funkcji GRANT, REVOKE i DENY.
  • Jeśli zobaczysz, że uprawnienia ReadAll i ReadData są wyłączone w oknie dialogowym udostępniania, odśwież stronę.
  • Adresaci udostępnioni nie mają uprawnień do ponownego udostępniania magazynu.
  • Jeśli raport utworzony na podstawie magazynu jest udostępniany innemu adresatowi, odbiorca udostępniony potrzebuje większej liczby uprawnień dostępu do raportu. Zależy to od trybu dostępu do modelu semantycznego przez usługę Power BI:
    • Jeśli dostęp jest uzyskiwany za pośrednictwem trybu zapytania bezpośredniego, uprawnienia ReadData (lub szczegółowe uprawnienia SQL do określonych tabel/widoków) muszą zostać dostarczone do magazynu.
    • Jeśli dostęp jest uzyskiwany za pośrednictwem trybu direct lake, uprawnienia ReadData (lub szczegółowe uprawnienia do określonych tabel/widoków) muszą być udostępniane magazynowi. Tryb Direct Lake jest domyślnym typem połączenia dla modeli semantycznych, które używają punktu końcowego usługi Warehouse lub analizy SQL jako źródła danych. Aby uzyskać więcej informacji, zobacz Tryb Direct Lake.
    • Jeśli dostęp jest uzyskiwany za pośrednictwem trybu importu, nie są potrzebne żadne dodatkowe uprawnienia.
    • Obecnie udostępnianie magazynu bezpośrednio z nazwą SPN nie jest obsługiwane.

Funkcje ochrony danych

Magazynowanie danych w usłudze Microsoft Fabric obsługuje kilka technologii, których administratorzy mogą używać do ochrony poufnych danych przed nieautoryzowanym wyświetlaniem. Zabezpieczając lub zaciemniając dane przed nieautoryzowanymi użytkownikami lub rolami, te funkcje zabezpieczeń mogą zapewnić ochronę danych zarówno w punkcie końcowym magazynu, jak i analizy SQL bez zmian aplikacji.

  • Zabezpieczenia na poziomie kolumny uniemożliwiają nieautoryzowane wyświetlanie kolumn w tabelach.
  • Zabezpieczenia na poziomie wiersza uniemożliwiają nieautoryzowane wyświetlanie wierszy w tabelach przy użyciu znanych WHERE predykatów filtru klauzul.
  • Dynamiczne maskowanie danych zapobiega nieautoryzowanemu wyświetlaniu poufnych danych przy użyciu masek, aby zapobiec zakończeniu dostępu, takim jak adresy e-mail lub numery.

Powiązana zawartość