安全性概述(数据挖掘)
适用于:SQL Server 2019 及更早版本的 Analysis Services Azure Analysis Services Fabric/Power BI Premium
重要
数据挖掘在 SQL Server 2017 Analysis Services 中已弃用,现在在 SQL Server 2022 Analysis Services 中已停止使用。 对于已弃用和停止使用的功能,文档不会更新。 若要了解详细信息,请参阅 Analysis Services 后向兼容性。
保护 Microsoft SQL Server SQL Server Analysis Services的过程在多个级别进行。 必须保护SQL Server Analysis Services及其数据源的每个实例,以确保只有经过授权的用户才对所选维度、挖掘模型和数据源具有读取/写入权限。 您还必须保护基础数据源以防止未经授权的用户恶意破坏敏感商业信息。 以下主题介绍了保护 SQL Server Analysis Services 实例的过程。
安全体系结构
请参阅以下资源,了解SQL Server Analysis Services实例的基本安全体系结构,包括SQL Server Analysis Services如何使用 Microsoft Windows 身份验证对用户访问进行身份验证。
为 Analysis Services 配置登录帐户
必须为SQL Server Analysis Services选择合适的登录帐户,并为此帐户指定权限。 必须确保SQL Server Analysis Services登录帐户仅具有执行必要任务所需的权限,包括对基础数据源的适当权限。
对于数据挖掘,与查看或查询模型相比,您需要一组不同的权限来生成和处理模型。 针对模型进行预测是一种查询,不需要管理权限。
保护 Analysis Services 实例
接下来,必须保护SQL Server Analysis Services计算机、SQL Server Analysis Services计算机上的 Windows 操作系统、SQL Server Analysis Services本身以及该计算机的数据源SQL Server Analysis Services使用。
配置对 Analysis Services 的访问权限
为 SQL Server Analysis Services 实例设置和定义授权用户时,需要确定哪些用户还应具有管理特定数据库对象的权限、哪些用户可以查看对象定义或浏览模型,以及哪些用户能够直接访问数据源。
数据挖掘的特殊注意事项
若要使分析人员或开发人员能够创建和测试数据挖掘模型,必须向分析人员或开发人员授予对存储挖掘模型的数据库的管理权限。 这样,数据挖掘分析人员或开发人员就可以创建或删除与数据挖掘无关的其他对象,包括由其他分析人员或开发人员创建并要使用的数据挖掘对象或数据挖掘解决方案中不包含的 OLAP 对象。
相应地,在创建数据挖掘解决方案时,您必须平衡好分析人员或开发人员开发、测试和优化模型的需要与其他用户的需要,并采取措施对现有数据库对象进行保护。 一种可能的方法是创建独立的数据挖掘专用数据库或为每位分析人员创建单独的数据库。
尽管创建模型需要最高级别的权限,但您可以使用基于角色的安全措施,控制用户为进行其他操作而访问数据挖掘模型,例如处理、浏览或查询。 创建角色时,您可设置特定于数据挖掘对象的权限。 任何角色成员用户都将自动具有与该角色关联的所有权限。
此外,数据挖掘模型还会经常引用包含敏感信息的数据源。 如果挖掘结构和挖掘模型已配置为允许用户从模型钻取结构中的数据,则您必须采取预防措施来屏蔽敏感信息,或限制具有基础数据的访问权限的用户。
如果使用 Integration Services 包清理数据、更新挖掘模型或进行预测,则必须确保 Integration Services 服务拥有存储有模型的数据库的相应权限,以及源数据的相应权限。