Szczegółowe uprawnienia SQL w usłudze Microsoft Fabric
Dotyczy:
punkt końcowy analizy SQL i magazyn w usłudze Microsoft Fabric
Jeśli uprawnienia domyślne udostępniane przez przypisanie do ról obszaru roboczego lub przyznane za pośrednictwem uprawnień elementu są niewystarczające, standardowe konstrukcje SQL są dostępne dla bardziej szczegółowej kontroli.
W przypadku punktu końcowego analizy SQL i magazynu:
- Zabezpieczenia na poziomie obiektu można zarządzać przy użyciu składni GRANT, REVOKE i DENY języka T-SQL.
- Użytkownicy mogą być przypisywani do ról SQL, zarówno niestandardowych, jak i wbudowanych ról bazy danych.
Szczegółowe uprawnienia użytkownika
- Aby użytkownik mógł nawiązać połączenie z bazą danych, użytkownik musi zostać przypisany do roli obszaru roboczego lub przypisać mu uprawnienie Odczyt . Bez uprawnień do odczytu co najmniej połączenie kończy się niepowodzeniem.
- Jeśli chcesz skonfigurować szczegółowe uprawnienia użytkownika przed zezwoleniem im na łączenie się z magazynem, najpierw można skonfigurować uprawnienia w programie SQL. Następnie można im udzielić dostępu, przypisując je do roli obszaru roboczego lub udzielając uprawnień do elementu.
Ograniczenia
- Obecnie nie można jawnie wykonać polecenia CREATE USER. Po wykonaniu polecenia GRANT lub DENY użytkownik zostanie utworzony automatycznie. Użytkownik nie będzie mógł nawiązać połączenia, dopóki nie zostaną podane wystarczające prawa na poziomie obszaru roboczego.
Wyświetlanie moich uprawnień
Gdy użytkownik nawiązuje połączenie z usługą SQL parametry połączenia, może wyświetlić dostępne dla nich uprawnienia przy użyciu funkcji sys.fn_my_permissions.
Uprawnienia w zakresie bazy danych użytkownika:
SELECT *
FROM sys.fn_my_permissions(NULL, 'Database');
Uprawnienia w zakresie schematu użytkownika:
SELECT *
FROM sys.fn_my_permissions('<schema-name>', 'Schema');
Uprawnienia użytkownika w zakresie obiektów:
SELECT *
FROM sys.fn_my_permissions('<schema-name>.<object-name>', 'Object');
Wyświetlanie uprawnień udzielonych jawnie użytkownikom
Po nawiązaniu połączenia za pośrednictwem parametry połączenia SQL użytkownik z podwyższonymi uprawnieniami może wysyłać zapytania o przyznane uprawnienia przy użyciu widoków systemowych. Nie pokazuje to uprawnień użytkowników ani użytkowników, które są przydzielane użytkownikom przez przypisanie do ról obszaru roboczego lub przypisanych uprawnień do elementu.
SELECT DISTINCT pr.principal_id, pr.name, pr.type_desc,
pr.authentication_type_desc, pe.state_desc, pe.permission_name
FROM sys.database_principals AS pr
INNER JOIN sys.database_permissions AS pe
ON pe.grantee_principal_id = pr.principal_id;
Funkcje ochrony danych
Filtry kolumn i filtry wierszy oparte na predykacie można zabezpieczyć w tabelach w magazynie lub w punkcie końcowym analizy SQL dla ról i użytkowników w usłudze Microsoft Fabric. Możesz również maskować poufne dane od osób niebędących administratorami przy użyciu dynamicznego maskowania danych.
- Zabezpieczenia na poziomie wiersza w magazynowaniu danych sieci szkieletowej
- Zabezpieczenia na poziomie kolumny w magazynowaniu danych sieci szkieletowej
- Dynamiczne maskowanie danych w magazynowaniu danych w sieci szkieletowej
Powiązana zawartość
Opinia
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź: https://aka.ms/ContentUserFeedback.
Prześlij i wyświetl opinię dla