Безопасность хранилища данных в Microsoft Fabric
Применимо к:
Конечная точка SQL и хранилище в Microsoft Fabric
В этой статье рассматриваются вопросы безопасности для защиты конечной точки SQL lakehouse и хранилища в Microsoft Fabric.
Важно!
Microsoft Fabric в настоящее время находится на этапе предварительной версии. Эта информация относится к предварительной версии продукта, который может быть существенно изменен перед выпуском. Корпорация Майкрософт не дает никаких гарантий, явных или подразумеваемых, в отношении информации, представленной здесь.
Сведения о безопасности Microsoft Fabric см. в статье Безопасность в Microsoft Fabric.
Сведения о подключении к конечной точке и хранилищу SQL см. в разделе Подключение.
Модель доступа к хранилищу
Разрешения Microsoft Fabric и детализированные разрешения SQL совместно управляют доступом к хранилищу и разрешениями пользователей после подключения.
- Подключение к хранилищу зависит от предоставления как минимум разрешения на чтение Microsoft Fabric для хранилища.
- Разрешения элементов Microsoft Fabric позволяют предоставлять пользователю разрешения SQL, не предоставляя эти разрешения в SQL.
- Роли рабочей области Microsoft Fabric предоставляют разрешения Microsoft Fabric для всех хранилищ в рабочей области.
- Детализированными разрешениями пользователей можно дополнительно управлять с помощью T-SQL.
Роли рабочей области
Роли рабочей области используются для совместной работы группы разработчиков в рабочей области. Назначение роли определяет действия, доступные пользователю, и применяется ко всем элементам в рабочей области.
- Общие сведения о ролях рабочей области Microsoft Fabric см. в статье Роли в рабочих областях.
- Инструкции по назначению ролей рабочей области см. в разделе Предоставление доступа к рабочей области.
Дополнительные сведения о конкретных возможностях хранилища хранилища данных, предоставляемых с помощью ролей рабочей области, см. в разделе Роли рабочей области в хранилище данных структуры .
Безопасность на уровне объекта
Роли рабочей области и разрешения на элементы предоставляют простой способ назначить пользователю грубые разрешения для всего хранилища. Однако в некоторых случаях пользователю требуются более детализированные разрешения. Для этого можно использовать стандартные конструкции T-SQL для предоставления пользователям определенных разрешений.
Дополнительные сведения об управлении детализированными разрешениями в SQL см. в разделе Детализированные разрешения SQL .
Руководство
При оценке разрешений, которые необходимо назначить пользователю, учитывайте следующие рекомендации:
- Роли рабочей области (Администратор, участник, участник), должны назначаться только участникам команды, которые в настоящее время совместно работают над решением, так как это обеспечивает им доступ ко всем элементам в рабочей области.
- Если им в основном требуется доступ только для чтения, назначьте им роль зрителя и предоставьте доступ на чтение определенных объектов с помощью T-SQL. Дополнительные сведения см. в разделе Управление детализированными разрешениями SQL.
- Если они являются пользователями с более высоким уровнем привилегий, назначьте им роли Администратор, участника или участника. Соответствующая роль зависит от других действий, которые необходимо выполнить.
- Другим пользователям, которым требуется доступ только к отдельному хранилищу или доступ только к определенным объектам SQL, необходимо предоставить разрешения На элемент структуры и предоставить доступ к конкретным объектам через SQL.
- Вы также можете управлять разрешениями для групп Azure Activity Directory, а не добавлять каждого конкретного участника.