Dela ditt lager och hantera behörigheter
Gäller för:✅Warehouse och speglad databas i Microsoft Fabric
Delning är ett bekvämt sätt att ge användarna läsåtkomst till ditt lager för nedströmsförbrukning. Delning gör att nedströmsanvändare i din organisation kan använda ett lager med hjälp av SQL, Spark eller Power BI. Du kan anpassa den behörighetsnivå som den delade mottagaren beviljas för att ge lämplig åtkomstnivå.
Kommentar
Du måste vara administratör eller medlem på din arbetsyta för att kunna dela ett lager i Microsoft Fabric.
Kom igång
När du har identifierat lagret som du vill dela med en annan användare på arbetsytan Infrastruktur väljer du snabbåtgärden på raden till Dela ett lager.
Följande animerade gif granskar stegen för att välja ett lager som ska delas, väljer de behörigheter som ska tilldelas och beviljar sedan behörigheter till en annan användare.
Du kan dela ditt lager från OneLake-datahubben eller informationslagerobjektet genom att välja Dela från snabbåtgärd, enligt markering i följande bild.
Dela ett lager
Du uppmanas att välja vilka du vill dela lagret med, vilka behörigheter som ska beviljas och om de ska meddelas via e-post. När du har fyllt i alla obligatoriska fält väljer du Bevilja åtkomst.
Här är mer information om var och en av de behörigheter som tillhandahålls:
- Om inga ytterligare behörigheter har valts – Den delade mottagaren får som standard behörigheten "Läs", vilket endast tillåter mottagaren att ansluta till SQL-analysslutpunkten, motsvarande CONNECT-behörigheter i SQL Server. Den delade mottagaren kommer inte att kunna köra frågor mot någon tabell eller vy eller köra någon funktion eller lagrad procedur om de inte ges åtkomst till objekt i informationslagret med hjälp av T-SQL GRANT-instruktionen .
Kommentar
ReadData, ReadAll och Build är separata behörigheter som inte överlappar varandra.
"Läs alla data med SQL" är markerat ("ReadData"-behörigheter)- Den delade mottagaren kan läsa alla databasobjekt i lagret. ReadData motsvarar db_datareader roll i SQL Server. Den delade mottagaren kan läsa data från alla tabeller och vyer i informationslagret. Om du vill begränsa och ge detaljerad åtkomst till vissa objekt i lagret kan du göra detta med hjälp av T-SQL GRANT/REVOKE/DENY-instruktioner.
- I SQL-analysslutpunkten i Lakehouse motsvarar "Läs alla SQL-slutpunktsdata" "Läs alla data med SQL".
"Läs alla data med Apache Spark" är valt ("ReadAll"-behörigheter)- Den delade mottagaren har läsbehörighet till de underliggande parquet-filerna i OneLake, som kan användas med Spark. ReadAll ska endast anges om den delade mottagaren vill ha fullständig åtkomst till ditt lagers filer med Spark-motorn.
Kryssrutan "Skapa rapporter på standarddatauppsättningen" är markerad ("Build"-behörigheter)– Den delade mottagaren kan skapa rapporter ovanpå standardsemantikmodellen som är ansluten till ditt lager. Bygget bör tillhandahållas om den delade mottagaren vill ha build-behörigheter för standard-semantikmodellen för att skapa Power BI-rapporter på dessa data. Kryssrutan Skapa är markerad som standard, men kan avmarkeras.
När den delade mottagaren får e-postmeddelandet kan de välja Öppna och gå till sidan Informationshubb för lager.
Beroende på vilken åtkomstnivå den delade mottagaren har beviljats kan den delade mottagaren nu ansluta till SQL-analysslutpunkten, fråga informationslagret, skapa rapporter eller läsa data via Spark.
ReadData-behörigheter
Med ReadData-behörigheter kan den delade mottagaren öppna lagerredigeraren i skrivskyddat läge och köra frågor mot tabellerna och vyerna i informationslagret. Den delade mottagaren kan också välja att kopiera den SQL-analysslutpunkt som tillhandahålls och ansluta till ett klientverktyg för att köra dessa frågor.
I följande skärmbild kan till exempel en användare med ReadData-behörigheter köra frågor mot lagret.
LäsAlla behörigheter
En delad mottagare med ReadAll-behörigheter kan hitta ABFS-sökvägen (Azure Blob File System) till den specifika filen i OneLake från fönstret Egenskaper i lagerredigeraren. Den delade mottagaren kan sedan använda den här sökvägen i en Spark Notebook för att läsa dessa data.
I följande skärmbild kan till exempel en användare med ReadAll-behörigheter köra frågor mot data med FactSale
en Spark-fråga i en ny notebook-fil.
Byggbehörigheter
Med build-behörigheter kan den delade mottagaren skapa rapporter ovanpå standardsemantikmodellen som är ansluten till lagret. Den delade mottagaren kan skapa Power BI-rapporter från datahubben eller även göra samma sak med Hjälp av Power BI Desktop.
I följande skärmbild kan till exempel en användare med byggbehörighet börja skapa en Power BI-rapport automatiskt baserat på det delade informationslagret.
Hantera behörigheter
Sidan Hantera behörigheter visar listan över användare som har fått åtkomst genom att antingen tilldela till arbetsyteroller eller objektbehörigheter.
Om du är administratör eller medlem går du till din arbetsyta och väljer Fler alternativ. Välj sedan Hantera behörigheter.
För användare som har fått arbetsyteroller visas motsvarande användare, arbetsyteroll och behörigheter. Administratörer, medlemmar och deltagare har läs- och skrivåtkomst till objekt på den här arbetsytan. Användare har Läsdata-behörigheter och kan fråga alla tabeller och vyer i lagret på den arbetsytan. Objektbehörigheter Läs, ReadData och ReadAll kan tillhandahållas till användare.
Du kan välja att lägga till eller ta bort behörigheter med hjälp av Hantera behörigheter:
- Ta bort åtkomst tar bort alla objektbehörigheter.
- Ta bort ReadData tar bort ReadData-behörigheterna .
- Ta bort ReadAll tar bort ReadAll-behörigheter .
- Ta bort kompilering tar bort Build-behörigheter för motsvarande standard semantiska modell.
Begränsningar
- Om du anger objektbehörigheter eller tar bort användare som tidigare hade behörigheter kan det ta upp till två timmar att sprida behörigheter. De nya behörigheterna återspeglas i "Hantera behörigheter" omedelbart. Logga in igen för att säkerställa att behörigheterna återspeglas i SQL-analysslutpunkten.
- Delade mottagare kan komma åt informationslagret med ägarens identitet (delegerat läge). Kontrollera att lagerägaren inte tas bort från arbetsytan.
- Delade mottagare har bara åtkomst till det lager som de tar emot och inte andra objekt på samma arbetsyta som lagret. Om du vill ge andra användare i ditt team behörighet att samarbeta i informationslagret (läs- och skrivåtkomst) lägger du till dem som arbetsyteroller som "Medlem" eller "Deltagare".
- När du delar ett lager och väljer Läs alla data med SQL kan den delade mottagaren för närvarande komma åt Warehouse-redigeraren i skrivskyddat läge. Dessa delade mottagare kan skapa frågor, men kan för närvarande inte spara sina frågor.
- För närvarande är delning av ett lager endast tillgängligt via användarupplevelsen.
- Om du vill ge detaljerad åtkomst till specifika objekt i lagret delar du lagret utan ytterligare behörigheter och ger sedan detaljerad åtkomst till specifika objekt med hjälp av T-SQL GRANT-instruktionen. Mer information finns i T-SQL-syntax för GRANT, REVOKE och DENY.
- Om du ser att behörigheterna ReadAll och ReadData är inaktiverade i delningsdialogrutan uppdaterar du sidan.
- Delade mottagare har inte behörighet att dela ett lager på nytt.
- Om en rapport som bygger på lagret delas med en annan mottagare behöver den delade mottagaren fler behörigheter för att få åtkomst till rapporten. Detta beror på läget för åtkomst till den semantiska modellen av Power BI:
- Om läsdatabehörigheter (eller detaljerade SQL-behörigheter till specifika tabeller/vyer) nås via direktfrågeläge måste de tillhandahållas till informationslagret.
- Om du använder direct lake-läget måste ReadData-behörigheter (eller detaljerade behörigheter till specifika tabeller/vyer) tillhandahållas till informationslagret. Direct Lake-läge är standardanslutningstypen för semantiska modeller som använder en slutpunkt för lager- eller SQL-analys som datakälla. Mer information finns i Direct Lake-läge.
- Om du använder importläget behövs inga ytterligare behörigheter.
- För närvarande stöds inte delning av ett lager direkt med ett SPN.
Dataskyddsfunktioner
Microsoft Fabric-datalager stöder flera tekniker som administratörer kan använda för att skydda känsliga data från obehörig visning. Genom att skydda eller dölja data från obehöriga användare eller roller kan dessa säkerhetsfunktioner ge dataskydd i både en slutpunkt för lager- och SQL-analys utan programändringar.
- Säkerhet på kolumnnivå förhindrar obehörig visning av kolumner i tabeller.
- Säkerhet på radnivå förhindrar obehörig visning av rader i tabeller med hjälp av välbekanta
WHERE
satsfilterpredikat. - Dynamisk datamaskning förhindrar obehörig visning av känsliga data med hjälp av masker för att förhindra åtkomst till fullständiga, till exempel e-postadresser eller siffror.