แชร์ผ่าน

ความปลอดภัยสําหรับคลังข้อมูลใน Microsoft Fabric

  • บทความ

นําไปใช้กับ: จุดสิ้นสุดการวิเคราะห์ SQL และ Warehouse ใน Microsoft Fabric

บทความนี้ครอบคลุมหัวข้อด้านความปลอดภัยสําหรับการรักษาความปลอดภัยจุดสิ้นสุดการวิเคราะห์ SQL ของเลคเฮ้าส์และคลังสินค้าใน Microsoft Fabric

สําหรับข้อมูลเกี่ยวกับการรักษาความปลอดภัย Microsoft Fabric ดูที่การรักษาความปลอดภัยใน Microsoft Fabric

สําหรับข้อมูลเกี่ยวกับการเชื่อมต่อกับจุดสิ้นสุดการวิเคราะห์ SQL และ Warehouse ให้ดู การเชื่อมต่อ

แบบจําลองการเข้าถึงคลังสินค้า

สิทธิ์ของ Microsoft Fabric และสิทธิ์ SQL ระดับแยกย่อยทํางานร่วมกันเพื่อควบคุมการเข้าถึงคลังสินค้าและสิทธิ์ผู้ใช้เมื่อเชื่อมต่อแล้ว

  • การเชื่อมต่อคลังสินค้าขึ้นอยู่กับการให้สิทธิ์ Microsoft Fabric Read อย่างน้อยที่สุดสําหรับคลังสินค้า
  • สิทธิ์รายการ Microsoft Fabric ช่วยให้ผู้ใช้สามารถให้สิทธิ์ SQL โดยไม่จําเป็นต้องให้สิทธิ์เหล่านั้นภายใน SQL
  • บทบาทพื้นที่ทํางาน Microsoft Fabric ให้สิทธิ์ Microsoft Fabric สําหรับคลังสินค้าทั้งหมดภายในพื้นที่ทํางาน
  • สิทธิ์ผู้ใช้ระดับแยกย่อยสามารถจัดการเพิ่มเติมได้ผ่านทาง T-SQL

บทบาทพื้นที่ทํางาน

บทบาทพื้นที่ทํางานใช้สําหรับการทํางานร่วมกันของทีมพัฒนาภายในพื้นที่ทํางาน การกําหนดบทบาทจะกําหนดการดําเนินการที่พร้อมใช้งานสําหรับผู้ใช้ และนําไปใช้กับรายการทั้งหมดภายในพื้นที่ทํางาน

สําหรับรายละเอียดเกี่ยวกับความสามารถของคลังสินค้าเฉพาะที่ให้มาผ่านบทบาทพื้นที่ทํางาน โปรดดู บทบาทพื้นที่ทํางานในคลังข้อมูล Fabric

การอนุญาตรายการ

ซึ่งตรงกันข้ามกับบทบาทพื้นที่ทํางาน ซึ่งนําไปใช้กับรายการทั้งหมดภายในพื้นที่ทํางาน สามารถกําหนดสิทธิ์รายการให้กับคลังสินค้าแต่ละคลังได้โดยตรง ผู้ใช้จะได้รับสิทธิ์ที่กําหนดบนคลังสินค้าเดี่ยวนั้น วัตถุประสงค์หลักสําหรับสิทธิ์เหล่านี้คือ เพื่อเปิดใช้งานการแชร์สําหรับปริมาณการใช้ปลายทางของคลังสินค้า

สําหรับรายละเอียดเกี่ยวกับสิทธิ์เฉพาะที่ระบุไว้สําหรับคลังสินค้า โปรดดู แชร์คลังสินค้าของคุณ และจัดการสิทธิ์

การรักษาความปลอดภัยระดับแยกย่อย

บทบาทพื้นที่ทํางานและสิทธิ์รายการมอบวิธีง่าย ๆ ในการกําหนดสิทธิ์ที่หยาบให้กับผู้ใช้สําหรับคลังสินค้าทั้งหมด อย่างไรก็ตาม ในบางกรณี ผู้ใช้จําเป็นต้องมีสิทธิ์ที่ละเอียดมากขึ้น เพื่อให้บรรลุเป้าหมายนี้ โครงสร้าง T-SQL มาตรฐานสามารถใช้เพื่อให้สิทธิ์เฉพาะแก่ผู้ใช้ได้

คลังข้อมูล Microsoft Fabric สนับสนุนเทคโนโลยีการป้องกันข้อมูลหลายอย่างที่ผู้ดูแลระบบสามารถใช้เพื่อปกป้องข้อมูลที่ละเอียดอ่อนจากการเข้าถึงโดยไม่ได้รับอนุญาต ด้วยการรักษาความปลอดภัยหรือการขัดขวางข้อมูลจากผู้ใช้หรือบทบาทที่ไม่ได้รับอนุญาต คุณลักษณะการรักษาความปลอดภัยเหล่านี้สามารถให้การป้องกันข้อมูลทั้งในจุดสิ้นสุดการวิเคราะห์คลังสินค้าและ SQL โดยไม่มีการเปลี่ยนแปลงของแอปพลิเคชัน

การรักษาความปลอดภัยระดับออบเจ็กต์

การรักษาความปลอดภัยระดับวัตถุเป็นกลไกการรักษาความปลอดภัยที่ควบคุมการเข้าถึงวัตถุฐานข้อมูลที่เฉพาะเจาะจง เช่น ตาราง มุมมอง หรือกระบวนงานที่ยึดตามสิทธิพิเศษของผู้ใช้หรือบทบาท ซึ่งทําให้แน่ใจว่าผู้ใช้หรือบทบาทสามารถโต้ตอบและจัดการวัตถุที่พวกเขาได้รับสิทธิ์เท่านั้น เพื่อปกป้องความสมบูรณ์และความลับของ Schema ฐานข้อมูลและทรัพยากรที่เกี่ยวข้อง

สําหรับรายละเอียดเกี่ยวกับการจัดการสิทธิ์ที่ละเอียดใน SQL ดู สิทธิ์แบบแยกย่อยของ SQL

การรักษาความปลอดภัยระดับต่ำ

การรักษาความปลอดภัยระดับแถวเป็นคุณลักษณะความปลอดภัยของฐานข้อมูลที่จํากัดการเข้าถึงแต่ละแถวหรือระเบียนภายในตารางฐานข้อมูลตามเกณฑ์ที่ระบุ เช่น บทบาทหรือแอตทริบิวต์ของผู้ใช้ ตรวจสอบให้แน่ใจว่าผู้ใช้สามารถดูหรือจัดการข้อมูลที่ได้รับอนุญาตให้เข้าถึง เพิ่มความเป็นส่วนตัวและการควบคุมข้อมูลได้อย่างชัดเจน

สําหรับรายละเอียดเกี่ยวกับการรักษาความปลอดภัยระดับแถว โปรดดู การรักษาความปลอดภัยระดับแถวในคลังข้อมูล Fabric

ความปลอดภัยระดับคอลัมน์

การรักษาความปลอดภัยระดับคอลัมน์คือ หน่วยวัดความปลอดภัยของฐานข้อมูลที่จํากัดการเข้าถึงคอลัมน์หรือเขตข้อมูลที่ระบุภายในตารางฐานข้อมูล ซึ่งอนุญาตให้ผู้ใช้สามารถดูและโต้ตอบกับเฉพาะคอลัมน์ที่ได้รับอนุญาตเท่านั้นในขณะที่เก็บข้อมูลที่สําคัญหรือข้อมูลที่ถูกจํากัด มีการควบคุมการเข้าถึงข้อมูลอย่างละเอียด ปกป้องข้อมูลที่เป็นความลับภายในฐานข้อมูล

สําหรับรายละเอียดเกี่ยวกับการรักษาความปลอดภัยระดับคอลัมน์ โปรดดู การรักษาความปลอดภัยระดับคอลัมน์ในคลังข้อมูล Fabric

การมาสก์ข้อมูลแบบไดนามิก

การมาสก์ข้อมูลแบบไดนามิกช่วยป้องกันการดูข้อมูลที่สําคัญโดยไม่ได้รับอนุญาตโดยเปิดให้ผู้ดูแลระบบระบุปริมาณข้อมูลที่ละเอียดอ่อนที่จะเปิดเผย โดยมีผลน้อยที่สุดในเลเยอร์ของแอปพลิเคชัน สามารถกําหนดค่าการมาสก์ข้อมูลแบบไดนามิกบนเขตข้อมูลฐานข้อมูลที่กําหนดเพื่อซ่อนข้อมูลที่ละเอียดอ่อนในชุดผลลัพธ์ของคิวรี ด้วยการมาสก์ข้อมูลแบบไดนามิก ข้อมูลในฐานข้อมูลจะไม่ถูกเปลี่ยนแปลง ดังนั้นจึงสามารถใช้กับแอปพลิเคชันที่มีอยู่ได้เนื่องจากมีการใช้กฎการมาสก์กับผลลัพธ์ของคิวรี แอปพลิเคชันจํานวนมากสามารถซ่อนตัวข้อมูลที่สําคัญได้โดยไม่ต้องปรับเปลี่ยนคิวรีที่มีอยู่

สําหรับรายละเอียดเกี่ยวกับการมาสก์ข้อมูลแบบไดนามิก โปรดดู คลังข้อมูลแบบไดนามิกในคลังข้อมูล Fabric

แชร์คลังสินค้า

การแชร์เป็นวิธีที่สะดวกเพื่อให้ผู้ใช้สามารถเข้าถึงการอ่านคลังสินค้าของคุณสําหรับปริมาณการใช้ปลายทางได้ การแชร์อนุญาตให้ผู้ใช้ปลายทางในองค์กรของคุณใช้ Warehouse โดยใช้ SQL, Spark หรือ Power BI คุณสามารถกําหนดระดับของสิทธิ์ที่ได้รับสิทธิ์ให้กําหนดระดับการเข้าถึงที่เหมาะสมให้กับผู้รับที่แชร์ได้

สําหรับข้อมูลเพิ่มเติมเกี่ยวกับการแชร์ โปรดดูวิธีการแชร์คลังและจัดการสิทธิ์

คําแนะนําเกี่ยวกับการเข้าถึงของผู้ใช้

เมื่อประเมินสิทธิ์ในการกําหนดให้ผู้ใช้ ให้พิจารณาคําแนะนําต่อไปนี้:

  • เฉพาะสมาชิกในทีมที่กําลังทํางานร่วมกันในโซลูชันในขณะนี้เท่านั้นที่ควรได้รับการกําหนดบทบาทพื้นที่ทํางาน (ผู้ดูแลระบบ สมาชิก ผู้สนับสนุน) เนื่องจากจะให้พวกเขาเข้าถึงรายการทั้งหมดภายในพื้นที่ทํางาน
  • ถ้าพวกเขาจําเป็นต้องมีการเข้าถึงแบบอ่านอย่างเดียวเป็นหลัก ให้กําหนดให้กับบทบาทผู้ชม และอนุญาตให้เข้าถึงแบบอ่านบนวัตถุเฉพาะผ่านทาง T-SQL สําหรับข้อมูลเพิ่มเติม ให้ดู จัดการสิทธิ์แบบแยกย่อยของ SQL
  • ถ้าพวกเขาเป็นผู้ใช้ที่มีสิทธิ์สูงกว่า ให้กําหนดให้กับบทบาทผู้ดูแลระบบ สมาชิก หรือผู้สนับสนุน บทบาทที่เหมาะสมจะขึ้นอยู่กับการดําเนินการอื่น ๆ ที่พวกเขาจําเป็นต้องดําเนินการ
  • ผู้ใช้รายอื่นที่ต้องการเข้าถึงเฉพาะคลังสินค้าแต่ละอันหรือต้องการเข้าถึงเฉพาะออบเจ็กต์ SQL เท่านั้นควรได้รับสิทธิ์รายการ Fabric และให้สิทธิ์การเข้าถึงผ่าน SQL ไปยังออบเจ็กต์เฉพาะ
  • คุณสามารถจัดการสิทธิ์บน Microsoft Entra ID (ชื่อเดิมคือกลุ่ม Azure Active Directory) ได้เช่นกัน แทนที่จะเพิ่มสมาชิกเฉพาะราย

เนื้อหาที่เกี่ยวข้อง