Udostępnij za pośrednictwem


Szczegółowe uprawnienia SQL w usłudze Microsoft Fabric

Dotyczy: punkt końcowy analizy SQL i magazyn w usłudze Microsoft Fabric

Jeśli uprawnienia domyślne udostępniane przez przypisanie do ról obszaru roboczego lub przyznane za pośrednictwem uprawnień elementu są niewystarczające, standardowe konstrukcje SQL są dostępne dla bardziej szczegółowej kontroli.

W przypadku punktu końcowego analizy SQL i magazynu:

  • Zabezpieczenia na poziomie obiektu można zarządzać przy użyciu składni GRANT, REVOKE i DENY języka T-SQL.
  • Użytkownicy mogą być przypisywani do ról SQL, zarówno niestandardowych, jak i wbudowanych ról bazy danych.

Szczegółowe uprawnienia użytkownika

  • Aby użytkownik mógł nawiązać połączenie z bazą danych, użytkownik musi zostać przypisany do roli obszaru roboczego lub przypisać mu uprawnienie Odczyt . Bez uprawnień do odczytu co najmniej połączenie kończy się niepowodzeniem.
  • Jeśli chcesz skonfigurować szczegółowe uprawnienia użytkownika przed zezwoleniem im na łączenie się z magazynem, najpierw można skonfigurować uprawnienia w programie SQL. Następnie można im udzielić dostępu, przypisując je do roli obszaru roboczego lub udzielając uprawnień do elementu.

Ograniczenia

  • Obecnie nie można jawnie wykonać polecenia CREATE USER. Po wykonaniu polecenia GRANT lub DENY użytkownik zostanie utworzony automatycznie. Użytkownik nie będzie mógł nawiązać połączenia, dopóki nie zostaną podane wystarczające prawa na poziomie obszaru roboczego.

Wyświetlanie moich uprawnień

Gdy użytkownik nawiązuje połączenie z usługą SQL parametry połączenia, może wyświetlić dostępne dla nich uprawnienia przy użyciu funkcji sys.fn_my_permissions.

Uprawnienia w zakresie bazy danych użytkownika:

SELECT *
FROM sys.fn_my_permissions(NULL, 'Database');

Uprawnienia w zakresie schematu użytkownika:

SELECT *
FROM sys.fn_my_permissions('<schema-name>', 'Schema');

Uprawnienia użytkownika w zakresie obiektów:

SELECT *
FROM sys.fn_my_permissions('<schema-name>.<object-name>', 'Object');

Wyświetlanie uprawnień udzielonych jawnie użytkownikom

Po nawiązaniu połączenia za pośrednictwem parametry połączenia SQL użytkownik z podwyższonymi uprawnieniami może wysyłać zapytania o przyznane uprawnienia przy użyciu widoków systemowych. Nie pokazuje to uprawnień użytkowników ani użytkowników, które są przydzielane użytkownikom przez przypisanie do ról obszaru roboczego lub przypisanych uprawnień do elementu.

SELECT DISTINCT pr.principal_id, pr.name, pr.type_desc, 
 pr.authentication_type_desc, pe.state_desc, pe.permission_name
FROM sys.database_principals AS pr
INNER JOIN sys.database_permissions AS pe
 ON pe.grantee_principal_id = pr.principal_id;

Funkcje ochrony danych

Filtry kolumn i filtry wierszy oparte na predykacie można zabezpieczyć w tabelach w magazynie lub w punkcie końcowym analizy SQL dla ról i użytkowników w usłudze Microsoft Fabric. Możesz również maskować poufne dane od osób niebędących administratorami przy użyciu dynamicznego maskowania danych.