Sunucusuz SQL havuzundaki eşitlenmiş nesnelerde erişim denetimini ayarlama

Tip

Microsoft Fabric Data Warehouse geleceğe hazır mimariye, yerleşik yapay zekaya ve yeni özelliklere sahip data lake foundation üzerinde kurumsal ölçekli ilişkisel bir ambardır. Veri ambarı konusunda yeniyseniz Fabric Data Warehouse ile başlayın. Mevcut özel SQL havuzu iş yükleri, veri bilimi, gerçek zamanlı analiz ve raporlama genelinde yeni özelliklere erişmek için Fabric yükseltilebilir.

• Fabric ücretsiz deneme başlatın.
• Fabric Veri Ambarı için Taşıma Asistanı

Azure Synapse Analytics'te Spark veritabanları ve tabloları sunucusuz SQL havuzu ile paylaşılır. Spark ile oluşturulan Lake veritabanları, Parquet ve CSV destekli tablolar sunucusuz SQL havuzunda otomatik olarak kullanılabilir. Bu özellik, Spark havuzları kullanılarak hazırlanan verileri keşfetmek ve sorgulamak için sunucusuz SQL havuzunun kullanılmasına olanak tanır. Aşağıdaki diyagramda, bu özelliği kullanmak için üst düzey bir mimariye genel bakış görebilirsiniz. İlk olarak, Azure Synapse İşlem Hatları verileri şirket içi (veya başka) depolamadan Azure Data Lake Storage'a taşır. Spark artık verileri zenginleştirebilir ve sunucusuz Synapse SQL ile eşitlenen veritabanları ve tablolar oluşturabilir. Daha sonra, kullanıcı zenginleştirilmiş verilerin üzerinde ad-hoc sorgular yürütebilir veya verileri Power BI'a sunabilir, örneğin.

Tam yönetici erişimi(sysadmin)

Bu veritabanları ve tablolar Spark'tan sunucusuz SQL havuzuna eşitlendikten sonra sunucusuz SQL havuzundaki bu dış tablolar aynı verilere erişmek için kullanılabilir. Ancak, Sunucusuz SQL havuzundaki nesneler, Spark havuzları nesneleriyle tutarlılık sağlama nedeniyle salt okunur durumdadır. Sınırlama yalnızca Synapse SQL Yöneticisi veya Synapse Yöneticisi rollerine sahip kullanıcıların sunucusuz SQL havuzunda bu nesnelere erişmesini sağlar. Yönetici olmayan bir kullanıcı eşitlenmiş veritabanında/tablosunda sorgu yürütmeye çalışırsa aşağıdaki gibi bir hata alır: External table '<table>' is not accessible because content of directory cannot be listed. temeldeki depolama hesaplarına ilişkin verilere erişim sahibi olmalarına rağmen.

Sunucusuz SQL havuzundaki eşitlenmiş veritabanları salt okunur olduğundan, değiştirilemezler. Kullanıcı oluşturma veya başka izinler verme girişimi başarısız olur. Eşitlenmiş veritabanlarını okumak için ayrıcalıklı sunucu düzeyinde izinlere (sysadmin gibi) sahip olmak gerekir. Bu sınırlama, Azure Synapse Link for Dataverse ve lake databases tabloları kullanılırken sunucusuz SQL havuzundaki dış tablolarda da mevcuttur.

Eşitlenmiş veritabanlarına yönetici olmayan erişim

Verileri okuması ve rapor oluşturması gereken bir kullanıcının genellikle tam yönetici erişimi (sysadmin) yoktur. Bu kullanıcı genellikle mevcut tabloları kullanarak verileri okuması ve çözümlemesi gereken veri analistidir. Yeni nesneler oluşturmaları gerekmez.

En az izne sahip bir kullanıcı aşağıdakilere sahip olmalıdır:

• Spark'tan çoğaltılmış bir veritabanına bağlanın
• Dış tablolar aracılığıyla verileri seçin ve temel alınan ADLS verilerine erişin.

Aşağıdaki kod betiğini yürüttkten sonra, yönetici olmayan kullanıcıların herhangi bir veritabanına bağlanmak için sunucu düzeyinde izinlere sahip olmasını sağlar. Ayrıca, kullanıcıların tablolar veya görünümler gibi tüm şema düzeyindeki nesnelerdeki verileri görüntülemesine de olanak sağlar. Veri erişim güvenliği depolama katmanında yönetilebilir.

-- Creating Azure AD login (same can be achieved for Azure AD app)
    CREATE LOGIN [login@contoso.com] FROM EXTERNAL PROVIDER;
    go;
    
    GRANT CONNECT ANY DATABASE to [login@contoso.com];
    GRANT SELECT ALL USER SECURABLES to [login@contoso.com];
    GO;

Uyarı

Bunların tümü sunucu düzeyinde izinler olduğundan, bu deyimler ana veritabanında yürütülmelidir.

Oturum açma bilgileri oluşturup izin verdikten sonra, kullanıcılar eşitlenmiş dış tabloların üzerinde sorgular çalıştırabilir. Bu azaltma, Microsoft Entra güvenlik gruplarına da uygulanabilir.

Nesneler üzerinde daha fazla güvenlik, belirli şemalar aracılığıyla yönetilebilir ve belirli bir şemaya erişimi kilitleyebilir. Geçici çözüm için fazladan DDL gerekir. Bu senaryo için, ADLS'de Spark tablo verilerini işaret edecek yeni sunucusuz veritabanı, şemalar ve görünümler oluşturabilirsiniz.

Depolama hesabındaki verilere erişim, Microsoft Entra kullanıcıları/grupları için ACL veya normal Depolama Blob Veri Sahibi/Okuyucu/Katkıda Bulunan rolleri aracılığıyla yönetilebilir. Hizmet İlkeleri (Microsoft Entra uygulamaları) için ACL kurulumunu kullandığınızdan emin olun.

Uyarı

• Verilerin üzerinde OPENROWSET kullanımını yasaklamak istiyorsanız, Daha fazla bilgi için DENY ADMINISTER BULK OPERATIONS to [login@contoso.com]; ziyaret edin.
• Belirli şemaları kullanmayı yasaklamak istiyorsanız, DENY Şema İzinleri hakkında daha fazla bilgi için adresini ziyaret edin.

Sonraki adımlar

Daha fazla bilgi için bkz. SQL Kimlik Doğrulaması.