Dela ditt lager och hantera behörigheter

  • Artikel

Gäller för:Warehouse och speglad databas i Microsoft Fabric

Delning är ett bekvämt sätt att ge användarna läsåtkomst till ditt lager för nedströmsförbrukning. Delning gör att nedströmsanvändare i din organisation kan använda ett lager med hjälp av SQL, Spark eller Power BI. Du kan anpassa den behörighetsnivå som den delade mottagaren beviljas för att ge lämplig åtkomstnivå.

Kommentar

Du måste vara administratör eller medlem på din arbetsyta för att kunna dela ett lager i Microsoft Fabric.

Kom igång

När du har identifierat lagret som du vill dela med en annan användare på arbetsytan Infrastruktur väljer du snabbåtgärden på raden till Dela ett lager.

Följande animerade gif granskar stegen för att välja ett lager som ska delas, väljer de behörigheter som ska tilldelas och beviljar sedan behörigheter till en annan användare.

En animerad gif som visar interaktion med Fabric-portalen där en användare delar ett lager i Microsoft Fabric med en annan användare.

Du kan dela ditt lager från OneLake-datahubben eller informationslagerobjektet genom att välja Dela från snabbåtgärd, enligt markering i följande bild.

Skärmbild som visar hur du delar ett lager på onelake-datahubbens sida.

Dela ett lager

Du uppmanas att välja vilka du vill dela lagret med, vilka behörigheter som ska beviljas och om de ska meddelas via e-post. När du har fyllt i alla obligatoriska fält väljer du Bevilja åtkomst.

Här är mer information om var och en av de behörigheter som tillhandahålls:

  • Om inga ytterligare behörigheter har valts – Den delade mottagaren får som standard behörigheten "Läs", vilket endast tillåter mottagaren att ansluta till SQL-analysslutpunkten, motsvarande CONNECT-behörigheter i SQL Server. Den delade mottagaren kommer inte att kunna köra frågor mot någon tabell eller vy eller köra någon funktion eller lagrad procedur om de inte ges åtkomst till objekt i informationslagret med hjälp av T-SQL GRANT-instruktionen .

Kommentar

ReadData, ReadAll och Build är separata behörigheter som inte överlappar varandra.

  • "Läs alla data med SQL" är markerat ("ReadData"-behörigheter)- Den delade mottagaren kan läsa alla databasobjekt i lagret. ReadData motsvarar db_datareader roll i SQL Server. Den delade mottagaren kan läsa data från alla tabeller och vyer i informationslagret. Om du vill begränsa och ge detaljerad åtkomst till vissa objekt i lagret kan du göra detta med hjälp av T-SQL GRANT/REVOKE/DENY-instruktioner.

    • I SQL-analysslutpunkten i Lakehouse motsvarar "Läs alla SQL-slutpunktsdata" "Läs alla data med SQL".

  • "Läs alla data med Apache Spark" är valt ("ReadAll"-behörigheter)- Den delade mottagaren har läsbehörighet till de underliggande parquet-filerna i OneLake, som kan användas med Spark. ReadAll ska endast anges om den delade mottagaren vill ha fullständig åtkomst till ditt lagers filer med Spark-motorn.

  • Kryssrutan "Skapa rapporter på standarddatauppsättningen" är markerad ("Build"-behörigheter)– Den delade mottagaren kan skapa rapporter ovanpå standardsemantikmodellen som är ansluten till ditt lager. Bygget bör tillhandahållas om den delade mottagaren vill ha build-behörigheter för standard-semantikmodellen för att skapa Power BI-rapporter på dessa data. Kryssrutan Skapa är markerad som standard, men kan avmarkeras.

När den delade mottagaren får e-postmeddelandet kan de välja Öppna och gå till sidan Informationshubb för lager.

Skärmbild som visar den delade användarens e-postavisering för ett delat lager.

Beroende på vilken åtkomstnivå den delade mottagaren har beviljats kan den delade mottagaren nu ansluta till SQL-analysslutpunkten, fråga informationslagret, skapa rapporter eller läsa data via Spark.

Skärmbild från Infrastrukturportalen som visar sidan

ReadData-behörigheter

Med ReadData-behörigheter kan den delade mottagaren öppna lagerredigeraren i skrivskyddat läge och köra frågor mot tabellerna och vyerna i informationslagret. Den delade mottagaren kan också välja att kopiera den SQL-analysslutpunkt som tillhandahålls och ansluta till ett klientverktyg för att köra dessa frågor.

I följande skärmbild kan till exempel en användare med ReadData-behörigheter köra frågor mot lagret.

Skärmbild från Infrastrukturportalen som visar att en användare kan fråga ett delat lager.

LäsAlla behörigheter

En delad mottagare med ReadAll-behörigheter kan hitta ABFS-sökvägen (Azure Blob File System) till den specifika filen i OneLake från fönstret Egenskaper i lagerredigeraren. Den delade mottagaren kan sedan använda den här sökvägen i en Spark Notebook för att läsa dessa data.

I följande skärmbild kan till exempel en användare med ReadAll-behörigheter köra frågor mot data med FactSale en Spark-fråga i en ny notebook-fil.

Skärmbild från Fabric-portalen där en användare öppnar en Spark-notebook-fil för att fråga efter genvägen Till lager.

Byggbehörigheter

Med build-behörigheter kan den delade mottagaren skapa rapporter ovanpå standardsemantikmodellen som är ansluten till lagret. Den delade mottagaren kan skapa Power BI-rapporter från datahubben eller även göra samma sak med Hjälp av Power BI Desktop.

I följande skärmbild kan till exempel en användare med byggbehörighet börja skapa en Power BI-rapport automatiskt baserat på det delade informationslagret.

En skärmbild som visar interaktion med Fabric-portalen, där en användare kan skapa en rapport automatiskt i det delade lagret.

Hantera behörigheter

Sidan Hantera behörigheter visar listan över användare som har fått åtkomst genom att antingen tilldela till arbetsyteroller eller objektbehörigheter.

Om du är administratör eller medlem går du till din arbetsyta och väljer Fler alternativ. Välj sedan Hantera behörigheter.

Skärmbild som visar en användare som väljer Hantera behörigheter i snabbmenyn för informationslagret.

För användare som har fått arbetsyteroller visas motsvarande användare, arbetsyteroll och behörigheter. Administratörer, medlemmar och deltagare har läs- och skrivåtkomst till objekt på den här arbetsytan. Användare har Läsdata-behörigheter och kan fråga alla tabeller och vyer i lagret på den arbetsytan. Objektbehörigheter Läs, ReadData och ReadAll kan tillhandahållas till användare.

Skärmbild som visar sidan Hantera behörigheter i informationslagret i Infrastrukturportalen.

Du kan välja att lägga till eller ta bort behörigheter med hjälp av Hantera behörigheter:

  • Ta bort åtkomst tar bort alla objektbehörigheter.
  • Ta bort ReadData tar bort ReadData-behörigheterna .
  • Ta bort ReadAll tar bort ReadAll-behörigheter .
  • Ta bort kompilering tar bort Build-behörigheter för motsvarande standard semantiska modell.

Skärmbild som visar en användare som tar bort ReadAll-behörigheten för en delad mottagare.

Begränsningar

  • Om du anger objektbehörigheter eller tar bort användare som tidigare hade behörigheter kan det ta upp till två timmar att sprida behörigheter. De nya behörigheterna återspeglas i "Hantera behörigheter" omedelbart. Logga in igen för att säkerställa att behörigheterna återspeglas i SQL-analysslutpunkten.
  • Delade mottagare kan komma åt informationslagret med ägarens identitet (delegerat läge). Kontrollera att lagerägaren inte tas bort från arbetsytan.
  • Delade mottagare har bara åtkomst till det lager som de tar emot och inte andra objekt på samma arbetsyta som lagret. Om du vill ge andra användare i ditt team behörighet att samarbeta i informationslagret (läs- och skrivåtkomst) lägger du till dem som arbetsyteroller som "Medlem" eller "Deltagare".
  • När du delar ett lager och väljer Läs alla data med SQL kan den delade mottagaren för närvarande komma åt Warehouse-redigeraren i skrivskyddat läge. Dessa delade mottagare kan skapa frågor, men kan för närvarande inte spara sina frågor.
  • För närvarande är delning av ett lager endast tillgängligt via användarupplevelsen.
  • Om du vill ge detaljerad åtkomst till specifika objekt i lagret delar du lagret utan ytterligare behörigheter och ger sedan detaljerad åtkomst till specifika objekt med hjälp av T-SQL GRANT-instruktionen. Mer information finns i T-SQL-syntax för GRANT, REVOKE och DENY.
  • Om du ser att behörigheterna ReadAll och ReadData är inaktiverade i delningsdialogrutan uppdaterar du sidan.
  • Delade mottagare har inte behörighet att dela ett lager på nytt.
  • Om en rapport som bygger på lagret delas med en annan mottagare behöver den delade mottagaren fler behörigheter för att få åtkomst till rapporten. Detta beror på läget för åtkomst till den semantiska modellen av Power BI:
    • Om läsdatabehörigheter (eller detaljerade SQL-behörigheter till specifika tabeller/vyer) nås via direktfrågelägemåste de tillhandahållas till informationslagret.
    • Om du använder direct lake-läget måste ReadData-behörigheter (eller detaljerade behörigheter till specifika tabeller/vyer) tillhandahållas till informationslagret. Direct Lake-läge är standardanslutningstypen för semantiska modeller som använder en slutpunkt för lager- eller SQL-analys som datakälla. Mer information finns i Direct Lake-läge.
    • Om du använder importläget behövs inga ytterligare behörigheter.
    • För närvarande stöds inte delning av ett lager direkt med ett SPN.

Dataskyddsfunktioner

Microsoft Fabric-datalager stöder flera tekniker som administratörer kan använda för att skydda känsliga data från obehörig visning. Genom att skydda eller dölja data från obehöriga användare eller roller kan dessa säkerhetsfunktioner ge dataskydd i både en slutpunkt för lager- och SQL-analys utan programändringar.

  • Säkerhet på kolumnnivå förhindrar obehörig visning av kolumner i tabeller.
  • Säkerhet på radnivå förhindrar obehörig visning av rader i tabeller med hjälp av välbekanta WHERE satsfilterpredikat.
  • Dynamisk datamaskning förhindrar obehörig visning av känsliga data med hjälp av masker för att förhindra åtkomst till fullständiga, till exempel e-postadresser eller siffror.

Relaterat innehåll