Предоставление общего доступа к хранилищу и управление разрешениями

  • Статья

Применимо к:Warehouse и зеркальной базе данных в Microsoft Fabric

Общий доступ — это удобный способ предоставления пользователям доступа на чтение к хранилищу для потребления нижестоящего потока. Общий доступ позволяет подчиненным пользователям в организации использовать хранилище с помощью SQL, Spark или Power BI. Вы можете настроить уровень разрешений, предоставленных общему получателю, чтобы обеспечить соответствующий уровень доступа.

Примечание.

Для общего доступа к хранилищу в Microsoft Fabric необходимо быть администратором или членом рабочей области.

Начать

После идентификации хранилища, к которым вы хотите поделиться с другим пользователем в рабочей области Fabric, выберите быстрое действие в строке для общего доступа к хранилищу.

В следующем анимированном GIF-файле рассматриваются действия по выбору хранилища для общего доступа, выбор разрешений для назначения, а затем предоставление разрешений другому пользователю.

Анимированный GIF-файл, показывающий взаимодействие с порталом Fabric, где пользователь предоставляет общий доступ к хранилищу в Microsoft Fabric другому пользователю.

Вы можете предоставить общий доступ к хранилищу из концентратора данных OneLake или элемента хранилища, выбрав "Общий доступ" из быстрого действия, как показано на следующем рисунке.

Снимок экрана: предоставление общего доступа к хранилищу на странице концентратора данных OneLake.

Общий доступ к хранилищу

Вам будет предложено выбрать, с кем вы хотите поделиться хранилищем, с какими разрешениями предоставить их, а также получать уведомления по электронной почте. После заполнения всех обязательных полей выберите "Предоставить доступ".

Ниже приведены дополнительные сведения о каждом из предоставленных разрешений:

  • Если дополнительные разрешения не выбраны. Общий получатель по умолчанию получает разрешение "Чтение", которое позволяет получателю подключаться к конечной точке аналитики SQL, эквивалентным разрешениям CONNECT в SQL Server. Общий получатель не сможет запрашивать любую таблицу или просматривать или выполнять любую функцию или хранимую процедуру, если они не предоставляют доступ к объектам в хранилище с помощью инструкции T-SQL GRANT .

Примечание.

ReadData, ReadAll и Build — это отдельные разрешения, которые не перекрываются.

  • Выбран параметр "Чтение всех данных с помощью SQL" (разрешения ReadData) — общий получатель может считывать все объекты базы данных в хранилище. ReadData является эквивалентом роли db_datareader в SQL Server. Общий получатель может считывать данные из всех таблиц и представлений в хранилище. Если вы хотите дополнительно ограничить и предоставить детализированный доступ к некоторым объектам в хранилище, это можно сделать с помощью инструкций T-SQL GRANT/REVOKE/DENY.

    • В конечной точке аналитики SQL Lakehouse "Чтение всех данных конечной точки SQL" эквивалентно "Чтение всех данных с помощью SQL".

  • Выбрано значение "Чтение всех данных с помощью Apache Spark" (разрешения ReadAll). Общий получатель имеет доступ на чтение к базовым файлам parquet в OneLake, которые можно использовать с помощью Spark. ReadAll должен предоставляться только в том случае, если общий получатель хочет получить полный доступ к файлам хранилища с помощью обработчика Spark.

  • "Сборка отчетов на основе набора данных по умолчанию" проверка box выбрана ("Сборка") — общий получатель может создавать отчеты на основе семантической модели по умолчанию, подключенной к хранилищу. Сборка должна быть предоставлена, если общий получатель хочет разрешения на сборку в семантической модели по умолчанию, чтобы создать отчеты Power BI по этим данным. Поле "Сборка проверка" выбрано по умолчанию, но может быть не проверка.

Когда общий получатель получает сообщение электронной почты, он может выбрать "Открыть " и перейти на страницу "Центр данных хранилища".

Снимок экрана: уведомление по электронной почте общего пользователя о общем хранилище.

В зависимости от уровня доступа к общему получателю, общий получатель теперь может подключаться к конечной точке аналитики SQL, запрашивать хранилище, создавать отчеты или читать данные с помощью Spark.

Снимок экрана: портал Fabric, на котором показана страница

Разрешения ReadData

С разрешениями ReadData общий получатель может открыть редактор хранилища в режиме только для чтения и запрашивать таблицы и представления в хранилище. Общий получатель также может скопировать конечную точку аналитики SQL, предоставленную и подключиться к клиентскому инструменту для выполнения этих запросов.

Например, на следующем снимке экрана пользователь с разрешениями ReadData может запрашивать хранилище.

Снимок экрана: на портале Fabric пользователь может запрашивать общий склад.

Разрешения ReadAll

Общий получатель с разрешениями ReadAll может найти путь к файловой системе BLOB-объектов Azure (ABFS) к конкретному файлу в OneLake из области свойств в редакторе хранилища. Затем общий получатель может использовать этот путь в записной книжке Spark для чтения этих данных.

Например, на следующем снимке экрана пользователь с разрешениями ReadAll может запрашивать данные FactSale в запросе Spark в новой записной книжке.

Снимок экрана: портал Fabric, на котором пользователь открывает записную книжку Spark для запроса ярлыка хранилища.

Разрешения на сборку

С разрешениями на сборку общий получатель может создавать отчеты поверх семантической модели по умолчанию, подключенной к хранилищу. Общий получатель может создавать отчеты Power BI из Центра данных или делать то же самое с помощью Power BI Desktop.

Например, на следующем снимке экрана пользователь с разрешениями на сборку может начать автоматически создавать отчет Power BI на основе общего хранилища.

Снимок экрана: взаимодействие с порталом Fabric, где пользователь может автоматически создать отчет в общем хранилище.

Управление разрешениями

На странице "Управление разрешениями " отображается список пользователей, которым предоставлен доступ, назначая роли рабочей области или разрешения элемента.

Если вы являетесь Администратор или участником, перейдите в рабочую область и выберите дополнительные параметры. Затем выберите "Управление разрешениями".

Снимок экрана: выбор пользователем разрешений управления в контекстном меню хранилища.

Для пользователей, которым были предоставлены роли рабочей области, он отображает соответствующую роль пользователя, роль рабочей области и разрешения. Администратор, члены и участник имеют доступ на чтение и запись к элементам в этой рабочей области. Средства просмотра имеют разрешения ReadData и могут запрашивать все таблицы и представления в хранилище в этой рабочей области. Разрешения элемента для чтения, readData и ReadAll можно предоставить пользователям.

Снимок экрана: страница

Вы можете добавить или удалить разрешения с помощью управления разрешениями:

  • Удаление доступа удаляет все разрешения элемента.
  • Удаление ReadData удаляет разрешения ReadData .
  • Удаление ReadAll удаляет разрешения ReadAll .
  • Удаление сборки удаляет разрешения сборки для соответствующей семантической модели по умолчанию.

Снимок экрана: удаление разрешения ReadAll для общего получателя.

Ограничения

  • Если вы предоставляете разрешения на элементы или удаляете пользователей, у которых ранее были разрешения, распространение разрешений может занять до двух часов. Новые разрешения будут отражены немедленно в разделе "Управление разрешениями". Войдите еще раз, чтобы убедиться, что разрешения отражаются в конечной точке аналитики SQL.
  • Общие получатели могут получить доступ к хранилищу с помощью удостоверения владельца (делегированный режим). Убедитесь, что владелец хранилища не удаляется из рабочей области.
  • Общие получатели имеют доступ только к хранилищу, которые они получают, и не какие-либо другие элементы в той же рабочей области, что и хранилище. Если вы хотите предоставить разрешения другим пользователям в команде для совместной работы с хранилищем (доступ на чтение и запись), добавьте их в роли рабочей области, такие как "Член" или "Участник".
  • В настоящее время при совместном использовании хранилища и выборе " Чтение всех данных с помощью SQL" общий получатель может получить доступ к редактору хранилища в режиме только для чтения. Эти общие получатели могут создавать запросы, но в настоящее время не могут сохранять свои запросы.
  • В настоящее время общий доступ к хранилищу доступен только через взаимодействие с пользователем.
  • Если вы хотите предоставить подробный доступ к определенным объектам в хранилище, поделитесь хранилищем без дополнительных разрешений, а затем предоставьте детализированный доступ к определенным объектам с помощью инструкции T-SQL GRANT. Дополнительные сведения см. в синтаксисе T-SQL для GRANT, REVOKE и DENY.
  • Если вы видите, что разрешения ReadAll и разрешения ReadData отключены в диалоговом окне общего доступа, обновите страницу.
  • У общих получателей нет разрешения на повторное предоставление общего доступа к хранилищу.
  • Если отчет, построенный на основе хранилища, предоставляется другому получателю, общий получатель должен иметь дополнительные разрешения для доступа к отчету. Это зависит от режима доступа к семантической модели Power BI:
    • Если доступ к ним выполняется через режим прямого запроса, необходимо предоставить разрешения ReadData (или детализированные разрешения SQL для определенных таблиц и представлений).
    • При доступе через режим Direct Lake необходимо предоставить разрешения ReadData (или детализированные разрешения для определенных таблиц и представлений). Режим Direct Lake — это тип подключения по умолчанию для семантических моделей, использующих конечную точку хранилища или аналитики SQL в качестве источника данных. Дополнительные сведения см . в режиме Direct Lake.
    • Если доступ к ней выполняется через режим импорта, дополнительные разрешения не требуются.
    • В настоящее время общий доступ к хранилищу напрямую с помощью имени субъекта-службы не поддерживается.

Функции защиты данных

Хранение данных Microsoft Fabric поддерживает несколько технологий, которые администраторы могут использовать для защиты конфиденциальных данных от несанкционированного просмотра. Защита или скрытие данных от несанкционированных пользователей или ролей обеспечивает защиту данных как в конечной точке хранилища, так и в аналитике SQL без изменений приложения.

  • Безопасность на уровне столбцов предотвращает несанкционированное просмотр столбцов в таблицах.
  • Безопасность на уровне строк предотвращает несанкционированное просмотр строк в таблицах с помощью знакомых WHERE предикатов фильтра предложений.
  • Динамическое маскирование данных предотвращает несанкционированное просмотр конфиденциальных данных с помощью маскировок, чтобы предотвратить доступ к завершению, например адреса электронной почты или номера.

Связанный контент