Zabezpečenie skladu údajov v službe Microsoft Fabric

Vzťahuje sa na:✅ koncový bod analýzy SQL a sklad v službe Microsoft Fabric

Tento článok sa venuje témam zabezpečenia na zabezpečenie koncového bodu analýzy SQL pre jazero a sklad v službe Microsoft Fabric.

Informácie o zabezpečení služby Microsoft Fabric nájdete v téme Zabezpečenie v službe Microsoft Fabric.

Informácie o pripojení ku koncovému bodu analýzy SQL a skladu nájdete v téme Pripojenie.

Model prístupu na sklad

Povolenia Microsoft Fabric a podrobné povolenia SQL fungujú spoločne pri spravovaní prístupu k skladu a povolení používateľa po pripojení.

• Pripojenie na sklad závisí od udelenia povolenia na čítanie službe Microsoft Fabric minimálne pre sklad.
• Povolenia položky Microsoft Fabric umožňujú poskytnúť používateľovi povolenia SQL bez toho, aby bolo potrebné udeľovať tieto povolenia v rámci SQL.
• Roly pracovného priestoru služby Microsoft Fabric poskytujú povolenia služby Microsoft Fabric pre všetky sklady v pracovnom priestore.
• Podrobné povolenia používateľa možno ďalej spravovať prostredníctvom T-SQL.

Roly pracovného priestoru

Roly pracovného priestoru sa používajú na tímovú spoluprácu pri vývoji v rámci pracovného priestoru. Priradenie roly určuje akcie, ktoré sú k dispozícii používateľovi, a vzťahuje sa na všetky položky v pracovnom priestore.

• Prehľad rolí pracovného priestoru služby Microsoft Fabric nájdete v téme Roly v pracovných priestoroch.
• Pokyny na priradenie rolí pracovného priestoru nájdete v téme Poskytnutie prístupu k pracovnému priestoru.

Podrobnosti o konkrétnych možnostiach skladu poskytované prostredníctvom rolí pracovného priestoru nájdete v téme Roly pracovného priestoru v sklade údajov v službe Fabric.

Povolenia pre položku

Na rozdiel od rolí pracovného priestoru, ktoré sa vzťahujú na všetky položky v pracovnom priestore, možno povolenia položiek priradiť priamo jednotlivým skladom. Používateľ dostane priradené povolenie pre daný jeden sklad. Hlavným účelom týchto povolení je umožniť zdieľanie pre následné využívanie skladu.

Podrobnosti o konkrétnych povoleniach poskytovaných pre sklady nájdete v téme Zdieľanie skladu a správa povolení.

Podrobné zabezpečenie

Roly pracovného priestoru a povolenia položiek poskytujú jednoduchý spôsob, ako priradiť hrubé povolenia používateľovi pre celý sklad. V niektorých prípadoch je však pre používateľa potrebných podrobnejšie povolenia. Na dosiahnutie tohto cieľa možno použiť štandardné konštrukty T-SQL na poskytnutie konkrétnych povolení používateľom.

Skladovanie údajov v službe Microsoft Fabric podporuje niekoľko technológií na ochranu údajov, ktoré môžu správcovia použiť na ochranu citlivých údajov pred neoprávneným prístupom. Zabezpečením alebo zmätkovaním údajov z neoprávnených používateľov alebo rolí môžu tieto funkcie zabezpečenia poskytovať ochranu údajov v koncovom bode analýzy skladu aj sql bez zmien aplikácie.

• Zabezpečenie na úrovni objektu riadi prístup ku konkrétnym objektom databázy.
• Zabezpečenie na úrovni stĺpcov zabraňuje neoprávnenému zobrazeniu stĺpcov v tabuľkách.
• Zabezpečenie na úrovni riadkov zabraňuje neoprávnenému zobrazeniu riadkov v tabuľkách pomocou predikátov filtra známych WHERE klauzúl.
• Dynamické maskovanie údajov zabraňuje neoprávnenému zobrazeniu citlivých údajov pomocou mask, aby sa zabránilo dokončeniu prístupu, ako sú napríklad e-mailové adresy alebo čísla.

Zabezpečenie na úrovni objektu

Zabezpečenie na úrovni objektu je mechanizmus zabezpečenia, ktorý riadi prístup ku konkrétnym objektom databázy, ako sú tabuľky, zobrazenia alebo postupy, na základe oprávnení používateľov alebo rolí. Zabezpečí, že používatelia alebo roly môžu pracovať len s objektmi, na ktoré im boli udelené povolenia, a pracovať s nimi, čím sa chráni integrita a dôvernosť schémy databázy a jej súvisiacich zdrojov.

Podrobnosti o spravovaní podrobných povolení v sql nájdete v téme Podrobné povolenia SQL.

Zabezpečenie na úrovni riadkov

Zabezpečenie na úrovni riadkov je funkcia zabezpečenia databázy, ktorá na základe stanovených kritérií, ako sú napríklad roly používateľa alebo atribúty, obmedzuje prístup k jednotlivým riadkom alebo záznamom v tabuľke databázy. Tým sa zabezpečí, že používatelia môžu len zobrazovať alebo manipulovať s údajmi, ktoré majú explicitne oprávnenie na prístup, čím sa zlepší ochrana osobných údajov a kontrola.

Podrobnosti o zabezpečení na úrovni riadkov nájdete v téme Zabezpečenie na úrovni riadkov v sklade údajov služby Fabric.

Zabezpečenie na úrovni stĺpcov

Zabezpečenie na úrovni stĺpcov je bezpečnostné opatrenie databázy, ktoré obmedzuje prístup ku konkrétnym stĺpcom alebo poliam v tabuľke databázy. Umožňuje používateľom zobraziť a pracovať len s oprávnenými stĺpcami a zároveň zakryť citlivé alebo obmedzené informácie. Ponúka diferencované ovládanie prístupu k údajom a ochranu dôverných údajov v databáze.

Podrobnosti o zabezpečení na úrovni stĺpcov nájdete v téme Zabezpečenie na úrovni stĺpcov v sklade údajov služby Fabric.

Dynamické maskovanie údajov (DDM)

Dynamické maskovanie údajov pomáha zabrániť neoprávnenému zobrazeniu citlivých údajov tým, že správcom umožňuje určiť, koľko citlivých údajov sa má zobraziť, s minimálnym vplyvom na vrstvu aplikácie. Dynamické maskovanie údajov je možné nakonfigurovať v určených databázových poliach na skrytie citlivých údajov vo výsledných množinách dotazov. Pri dynamickom maskovaní údajov sa údaje v databáze nezmenia, takže sa môžu použiť v existujúcich aplikáciách, pretože na výsledky dotazu sa použijú pravidlá maskovania. Mnohé aplikácie môžu maskovať citlivé údaje bez toho, aby upravovali existujúce dotazy.

Podrobnosti o maskovaní dynamických údajov nájdete v téme Dynamické maskovanie údajov v sklade údajov služby Fabric.

Zdieľanie skladu

Zdieľanie je pohodlný spôsob, ako poskytnúť používateľom prístup na čítanie k vášmu skladu pre spotrebu v prúde. Zdieľanie umožňuje následným používateľom vo vašej organizácii používať sklad pomocou SQL, Spark alebo Power BI. Úroveň povolení, ktoré zdieľanému príjemcovi udeľuje, môžete prispôsobiť, aby ste poskytli primeranú úroveň prístupu.

Ďalšie informácie o zdieľaní nájdete v téme Zdieľanie skladu a spravovanie povolení.

Sprievodný materiál k prístupu používateľov

Pri vyhodnocovaní povolení na priradenie používateľovi zvážte nasledujúce pokyny:

• Roly pracovného priestoru (správca, člen, prispievateľ), mali by mať len členovia tímu, ktorí aktuálne spolupracujú na riešení, pretože im to poskytuje prístup ku všetkým položkám v pracovnom priestore.
• Ak primárne vyžadujú prístup iba na čítanie, priraďte im rolu Čitateľ a udeľte prístup na čítanie ku konkrétnym objektom prostredníctvom T-SQL. Ďalšie informácie nájdete v téme Spravovanie podrobných povolení SQL.
• Ak sú vyššie privilegovanými používateľmi, priraďte ich rolám Správca, Člen alebo Prispievateľ. Primeranú rolu závisia od ďalších akcií, ktoré potrebujú vykonať.
• Ostatným používateľom, ktorí potrebujú prístup len do jedného skladu alebo vyžadujú prístup len ku konkrétnym objektom SQL, by mali mať povolenia na položku Fabric a udeliť prístup prostredníctvom SQL k určitým objektom.
• Namiesto pridávania každého konkrétneho člena môžete spravovať povolenia pre skupiny v službe Microsoft Entra ID (predtým Azure Active Directory). Ďalšie informácie nájdete v téme Overenie v spoločnosti Microsoft Entra ako alternatívu k overovania SQL v službe Microsoft Fabric.

Denníky auditu používateľov

Na sledovanie aktivity používateľa v koncovom bode skladu a analýzy SQL, ktoré spĺňajú požiadavky na dodržiavanie súladu s predpismi a správu záznamov, sa prostredníctvom služieb Microsoft Purview a PowerShell sprístupní množina aktivít auditu. Pomocou denníkov auditu používateľa môžete identifikovať, kto vykonáva aké akcie s položkami služby Fabric.

Ďalšie informácie o prístupe k denníkom auditu používateľov nájdete v téme Sledovanie aktivít používateľa v službe Microsoft Fabric a Operations.

Súvisiaci obsah

• Pripojiteľnosť
• Podrobné povolenia SQL v službe Microsoft Fabric
• Ako zdieľať sklad a spravovať povolenia
• Overovanie Microsoft Entra ako alternatíva k overovania SQL v službe Microsoft Fabric