ความปลอดภัยสําหรับคลังข้อมูลใน Microsoft Fabric
นําไปใช้กับ:✅ จุดสิ้นสุดการวิเคราะห์ SQL และ Warehouse ใน Microsoft Fabric
บทความนี้ครอบคลุมหัวข้อด้านความปลอดภัยสําหรับการรักษาความปลอดภัยจุดสิ้นสุดการวิเคราะห์ SQL ของเลคเฮ้าส์และคลังสินค้าใน Microsoft Fabric
สําหรับข้อมูลเกี่ยวกับการรักษาความปลอดภัย Microsoft Fabric ดูที่การรักษาความปลอดภัยใน Microsoft Fabric
สําหรับข้อมูลเกี่ยวกับการเชื่อมต่อกับจุดสิ้นสุดการวิเคราะห์ SQL และ Warehouse ให้ดู การเชื่อมต่อ
สิทธิ์ของ Microsoft Fabric และสิทธิ์ SQL ระดับแยกย่อยทํางานร่วมกันเพื่อควบคุมการเข้าถึงคลังสินค้าและสิทธิ์ผู้ใช้เมื่อเชื่อมต่อแล้ว
- การเชื่อมต่อคลังสินค้าขึ้นอยู่กับการให้สิทธิ์ Microsoft Fabric Read อย่างน้อยที่สุดสําหรับคลังสินค้า
- สิทธิ์รายการ Microsoft Fabric ช่วยให้ผู้ใช้สามารถให้สิทธิ์ SQL โดยไม่จําเป็นต้องให้สิทธิ์เหล่านั้นภายใน SQL
- บทบาทพื้นที่ทํางาน Microsoft Fabric ให้สิทธิ์ Microsoft Fabric สําหรับคลังสินค้าทั้งหมดภายในพื้นที่ทํางาน
- สิทธิ์ผู้ใช้ระดับแยกย่อยสามารถจัดการเพิ่มเติมได้ผ่านทาง T-SQL
บทบาทพื้นที่ทํางานใช้สําหรับการทํางานร่วมกันของทีมพัฒนาภายในพื้นที่ทํางาน การกําหนดบทบาทจะกําหนดการดําเนินการที่พร้อมใช้งานสําหรับผู้ใช้ และนําไปใช้กับรายการทั้งหมดภายในพื้นที่ทํางาน
- สําหรับภาพรวมของบทบาทพื้นที่ทํางาน Microsoft Fabric ดูบทบาทในพื้นที่ทํางาน
- สําหรับคําแนะนําเกี่ยวกับการกําหนดบทบาทพื้นที่ทํางาน ให้ดู ให้สิทธิ์การเข้าถึงพื้นที่ทํางาน
สําหรับรายละเอียดเกี่ยวกับความสามารถของคลังสินค้าเฉพาะที่ให้มาผ่านบทบาทพื้นที่ทํางาน โปรดดู บทบาทพื้นที่ทํางานในคลังข้อมูล Fabric
ซึ่งตรงกันข้ามกับบทบาทพื้นที่ทํางาน ซึ่งนําไปใช้กับรายการทั้งหมดภายในพื้นที่ทํางาน สามารถกําหนดสิทธิ์รายการให้กับคลังสินค้าแต่ละคลังได้โดยตรง ผู้ใช้จะได้รับสิทธิ์ที่กําหนดบนคลังสินค้าเดียว วัตถุประสงค์หลักสําหรับสิทธิ์เหล่านี้คือ เพื่อเปิดใช้งานการแชร์สําหรับปริมาณการใช้ปลายทางของคลังสินค้า
สําหรับรายละเอียดเกี่ยวกับสิทธิ์เฉพาะที่มีให้สําหรับคลังสินค้า ดูแชร์ข้อมูลของคุณและจัดการสิทธิ์
บทบาทพื้นที่ทํางานและสิทธิ์รายการมอบวิธีง่าย ๆ ในการกําหนดสิทธิ์ที่หยาบให้กับผู้ใช้สําหรับคลังสินค้าทั้งหมด อย่างไรก็ตาม ในบางกรณี ผู้ใช้จําเป็นต้องมีสิทธิ์ที่ละเอียดมากขึ้น เพื่อให้บรรลุเป้าหมายนี้ โครงสร้าง T-SQL มาตรฐานสามารถใช้เพื่อให้สิทธิ์เฉพาะแก่ผู้ใช้ได้
คลังข้อมูล Microsoft Fabric สนับสนุนเทคโนโลยีการป้องกันข้อมูลหลายอย่างที่ผู้ดูแลระบบสามารถใช้เพื่อปกป้องข้อมูลที่ละเอียดอ่อนจากการเข้าถึงโดยไม่ได้รับอนุญาต ด้วยการรักษาความปลอดภัยหรือการขัดขวางข้อมูลจากผู้ใช้หรือบทบาทที่ไม่ได้รับอนุญาต คุณลักษณะการรักษาความปลอดภัยเหล่านี้สามารถให้การป้องกันข้อมูลทั้งในจุดสิ้นสุดการวิเคราะห์คลังสินค้าและ SQL โดยไม่มีการเปลี่ยนแปลงของแอปพลิเคชัน
- ความปลอดภัย ระดับวัตถุควบคุมการเข้าถึงวัตถุฐานข้อมูลที่เฉพาะเจาะจง
- การรักษาความปลอดภัย ระดับคอลัมน์ป้องกันการดูคอลัมน์ในตารางโดยไม่ได้รับอนุญาต
- การรักษาความปลอดภัยระดับแถวป้องกันการดูแถวในตารางโดยไม่ได้รับอนุญาตโดยใช้เพรดิเคตตัวกรองส่วนคําสั่งที่คุ้นเคย
WHERE
- การมาสก์ข้อมูลแบบไดนามิกจะป้องกันการ ดูข้อมูลที่สําคัญโดยไม่ได้รับอนุญาตโดยใช้รูปแบบเพื่อป้องกันการเข้าถึงให้เสร็จสมบูรณ์ เช่น ที่อยู่อีเมลหรือตัวเลข
การรักษาความปลอดภัยระดับวัตถุเป็นกลไกการรักษาความปลอดภัยที่ควบคุมการเข้าถึงวัตถุฐานข้อมูลที่เฉพาะเจาะจง เช่น ตาราง มุมมอง หรือกระบวนงานที่ยึดตามสิทธิพิเศษของผู้ใช้หรือบทบาท ซึ่งทําให้แน่ใจว่าผู้ใช้หรือบทบาทสามารถโต้ตอบและจัดการวัตถุที่พวกเขาได้รับสิทธิ์เท่านั้น เพื่อปกป้องความสมบูรณ์และความลับของ Schema ฐานข้อมูลและทรัพยากรที่เกี่ยวข้อง
สําหรับรายละเอียดเกี่ยวกับการจัดการสิทธิ์ที่ละเอียดใน SQL ดู สิทธิ์แบบแยกย่อยของ SQL
การรักษาความปลอดภัยระดับแถวเป็นคุณลักษณะความปลอดภัยของฐานข้อมูลที่จํากัดการเข้าถึงแต่ละแถวหรือระเบียนภายในตารางฐานข้อมูลตามเกณฑ์ที่ระบุ เช่น บทบาทหรือแอตทริบิวต์ของผู้ใช้ ตรวจสอบให้แน่ใจว่าผู้ใช้สามารถดูหรือจัดการข้อมูลที่ได้รับอนุญาตให้เข้าถึง เพิ่มความเป็นส่วนตัวและการควบคุมข้อมูลได้อย่างชัดเจน
สําหรับรายละเอียดเกี่ยวกับการรักษาความปลอดภัยระดับแถว โปรดดู การรักษาความปลอดภัยระดับแถวในคลังข้อมูล Fabric
การรักษาความปลอดภัยระดับคอลัมน์คือ หน่วยวัดความปลอดภัยของฐานข้อมูลที่จํากัดการเข้าถึงคอลัมน์หรือเขตข้อมูลที่ระบุภายในตารางฐานข้อมูล ซึ่งอนุญาตให้ผู้ใช้สามารถดูและโต้ตอบกับเฉพาะคอลัมน์ที่ได้รับอนุญาตเท่านั้นในขณะที่เก็บข้อมูลที่สําคัญหรือข้อมูลที่ถูกจํากัด มีการควบคุมการเข้าถึงข้อมูลอย่างละเอียด ปกป้องข้อมูลที่เป็นความลับภายในฐานข้อมูล
สําหรับรายละเอียดเกี่ยวกับการรักษาความปลอดภัยระดับคอลัมน์ โปรดดู การรักษาความปลอดภัยระดับคอลัมน์ในคลังข้อมูล Fabric
การมาสก์ข้อมูลแบบไดนามิกช่วยป้องกันการดูข้อมูลที่สําคัญโดยไม่ได้รับอนุญาตโดยเปิดให้ผู้ดูแลระบบระบุปริมาณข้อมูลที่ละเอียดอ่อนที่จะเปิดเผย โดยมีผลน้อยที่สุดในเลเยอร์ของแอปพลิเคชัน สามารถกําหนดค่าการมาสก์ข้อมูลแบบไดนามิกบนเขตข้อมูลฐานข้อมูลที่กําหนดเพื่อซ่อนข้อมูลที่ละเอียดอ่อนในชุดผลลัพธ์ของคิวรี ด้วยการมาสก์ข้อมูลแบบไดนามิก ข้อมูลในฐานข้อมูลจะไม่ถูกเปลี่ยนแปลง ดังนั้นจึงสามารถใช้กับแอปพลิเคชันที่มีอยู่ได้เนื่องจากมีการใช้กฎการมาสก์กับผลลัพธ์ของคิวรี แอปพลิเคชันจํานวนมากสามารถซ่อนตัวข้อมูลที่สําคัญได้โดยไม่ต้องปรับเปลี่ยนคิวรีที่มีอยู่
สําหรับรายละเอียดเกี่ยวกับการมาสก์ข้อมูลแบบไดนามิก โปรดดู คลังข้อมูลแบบไดนามิกในคลังข้อมูล Fabric
การแชร์เป็นวิธีที่สะดวกเพื่อให้ผู้ใช้สามารถเข้าถึงการอ่านคลังสินค้าของคุณสําหรับปริมาณการใช้ปลายทางได้ การแชร์อนุญาตให้ผู้ใช้ปลายทางในองค์กรของคุณใช้ Warehouse โดยใช้ SQL, Spark หรือ Power BI คุณสามารถกําหนดระดับของสิทธิ์ที่ได้รับสิทธิ์ให้กําหนดระดับการเข้าถึงที่เหมาะสมให้กับผู้รับที่แชร์ได้
สําหรับข้อมูลเพิ่มเติมเกี่ยวกับการแชร์ ให้ดู แชร์ข้อมูลของคุณและจัดการสิทธิ์
เมื่อประเมินสิทธิ์ในการกําหนดให้ผู้ใช้ ให้พิจารณาคําแนะนําต่อไปนี้:
- เฉพาะสมาชิกในทีมที่กําลังทํางานร่วมกันในโซลูชันในขณะนี้เท่านั้นที่ควรได้รับการกําหนดบทบาทพื้นที่ทํางาน (ผู้ดูแลระบบ สมาชิก ผู้สนับสนุน) เนื่องจากจะให้พวกเขาเข้าถึงรายการทั้งหมดภายในพื้นที่ทํางาน
- ถ้าพวกเขาจําเป็นต้องมีการเข้าถึงแบบอ่านอย่างเดียวเป็นหลัก ให้กําหนดให้กับบทบาทผู้ชม และอนุญาตให้เข้าถึงแบบอ่านบนวัตถุเฉพาะผ่านทาง T-SQL สําหรับข้อมูลเพิ่มเติม ให้ดู จัดการสิทธิ์แบบแยกย่อยของ SQL
- ถ้าพวกเขาเป็นผู้ใช้ที่มีสิทธิ์สูงกว่า ให้กําหนดสิทธิ์เหล่านั้นให้กับบทบาทผู้ดูแลระบบ สมาชิก หรือผู้สนับสนุน บทบาทที่เหมาะสมจะขึ้นอยู่กับการดําเนินการอื่น ๆ ที่พวกเขาจําเป็นต้องดําเนินการ
- ผู้ใช้รายอื่นที่ต้องการเข้าถึงเฉพาะคลังสินค้าแต่ละอันหรือต้องการเข้าถึงเฉพาะออบเจ็กต์ SQL เท่านั้นควรได้รับสิทธิ์รายการ Fabric และให้สิทธิ์การเข้าถึงผ่าน SQL ไปยังออบเจ็กต์เฉพาะ
- คุณสามารถจัดการสิทธิ์บน Microsoft Entra ID (ชื่อเดิมคือกลุ่ม Azure Active Directory) ได้เช่นกัน แทนที่จะเพิ่มสมาชิกเฉพาะราย สําหรับข้อมูลเพิ่มเติม ดูการรับรองความถูกต้องของ Microsoft Entra เป็นทางเลือกในการรับรองความถูกต้อง SQL ใน Microsoft Fabric
เพื่อติดตามกิจกรรมของผู้ใช้ในคลังสินค้าและจุดสิ้นสุดการวิเคราะห์ SQL สําหรับการปฏิบัติตามกฎระเบียบและข้อกําหนดการจัดการบันทึก จึงสามารถเข้าถึงชุดกิจกรรมการตรวจสอบได้ผ่านทาง Microsoft Purview และ PowerShell คุณสามารถใช้บันทึกการตรวจสอบผู้ใช้เพื่อระบุบุคคลที่ดําเนินการกับรายการ Fabric ของคุณ
สําหรับข้อมูลเพิ่มเติมเกี่ยวกับวิธีการเข้าถึงบันทึกการตรวจสอบผู้ใช้ ดูติดตามกิจกรรมของผู้ใช้ในรายการ Microsoft Fabric และ Operations