Реализация безопасности на уровне столбцов в хранилище данных Fabric

Область применения:✅ конечная точка аналитики SQL и хранилище в Microsoft Fabric

Безопасность на уровне столбцов (CLS) в Microsoft Fabric позволяет управлять доступом к столбцам в таблице на основе конкретных грантов в этих таблицах. Дополнительные сведения см. в разделе "Безопасность на уровне столбцов" в хранилище данных Fabric.

В этом руководстве описаны шаги по реализации безопасности на уровне столбцов в конечной точке хранилища или аналитики SQL.

Необходимые компоненты

Прежде чем начать, убедитесь, что у вас есть следующее:

1. Рабочая область Fabric с активной емкостью или пробной емкостью.
2. Конечная точка хранилища Fabric или аналитики SQL в Lakehouse.
3. Права администратора, члена или участника в рабочей области или повышенные разрешения на конечную точку хранилища или аналитики SQL.

1. Подключение

1. Войдите с помощью учетной записи с повышенными привилегиями в конечной точке хранилища или аналитики SQL. (Роль администратора или участника в рабочей области или разрешения на управление в конечной точке хранилища или аналитики SQL).
2. Откройте рабочую область Fabric и перейдите к конечной точке хранилища или аналитики SQL, где необходимо применить безопасность на уровне столбцов.

2. Определение доступа на уровне столбцов для таблиц

1. Определите пользователей или ролей и таблицы данных, которые необходимо защитить с помощью безопасности на уровне столбцов.

2. Реализуйте безопасность на уровне столбцов с помощью инструкции GRANT T-SQL и списка столбцов. Для простоты управления назначение разрешений ролям предпочтительнее использовать отдельных лиц.

   -- Grant select to subset of columns of a table
   GRANT SELECT ON YourSchema.YourTable 
   (Column1, Column2, Column3, Column4, Column5) 
   TO [SomeGroup];
   

3. Замените YourSchema на имя схемы и YourTable имя целевой таблицы.

4. Замените SomeGroup именем пользователя или группы.

5. Замените список столбцов с разделителями-запятыми столбцами, к которым требуется предоставить доступ к роли.

6. Повторите эти действия, чтобы предоставить доступ к определенным столбцам для других таблиц при необходимости.

3. Проверка доступа на уровне столбца

1. Войдите в систему как пользователь, который является членом роли с связанной инструкцией GRANT.
2. Запросите таблицы базы данных, чтобы убедиться, что безопасность на уровне столбцов работает должным образом. Пользователи должны видеть только столбцы, к которых у них есть доступ, и должны быть заблокированы от других столбцов. Например:

   SELECT * FROM YourSchema.YourTable;
   

3. Аналогичные результаты для пользователя будут отфильтрованы другими приложениями, используюющими проверку подлинности Microsoft Entra для доступа к базе данных. Дополнительные сведения см. в статье "Проверка подлинности Microsoft Entra" в качестве альтернативы проверке подлинности SQL в Microsoft Fabric.

4. Мониторинг и поддержание безопасности на уровне столбцов

Регулярно отслеживайте и обновляйте политики безопасности на уровне столбцов по мере развития требований безопасности. Следите за назначениями ролей и убедитесь, что у пользователей есть соответствующий доступ.

Связанный контент

• Безопасность на уровне столбцов для хранения данных Fabric
• Безопасность на уровне строк в хранилище данных Fabric