保护 Fabric 数据仓库

适用于：✅ Microsoft Fabric 中的仓库

Fabric 数据仓库提供企业级数据仓库解决方案，完全由 Microsoft Fabric 管理并完全集成。 但是，存储敏感和业务关键型数据时，必须采取措施，最大限度地提高仓库的安全性及其中存储的数据。

本文提供有关如何在 Microsoft Fabric 中最好地保护仓库的指导。

数据仓库访问模型

Microsoft Fabric 权限和精细 SQL 权限协同工作，在连接后管理仓库访问和用户权限。

• 数据仓库连接性取决于是否至少获得 Microsoft Fabric 读取权限。
• Microsoft Fabric 项权限支持向用户提供 SQL 权限，而无需在 SQL 中授予这些权限。
• Microsoft Fabric 工作区角色为工作区中的所有数据仓库提供 Microsoft Fabric 权限。
• 可通过 T-SQL 进一步管理精细用户权限。

工作区角色

工作区角色有助于开发团队在工作区中的相互协作。 角色分配确定用户可用的操作，并应用于工作区中的所有项。

• 有关 Microsoft Fabric 工作区角色的概述，请参阅 Microsoft Fabric 中的工作区中的角色。
• 有关分配工作区角色的说明，请参阅 授予用户对工作区的访问权限。

有关通过工作区角色提供的特定仓库功能的详细信息，请参阅 Fabric 数据仓库中的工作区角色。

项权限

与适用于工作区内所有项目的工作区角色不同，项权限可以直接分配给各个单独的仓库。

始终遵循最小特权原则授予权限和角色成员资格。 评估分配给用户的权限时，请考虑以下指南：

• 如果他们主要需要的只读访问权限，请向他们分配“查看者”角色，并通过 T-SQL 授予对特定对象的读取访问权限。 有关详细信息，请参阅管理 SQL 精细权限。
• 只有当前正在对解决方案进行协作的团队成员才应分配给工作区角色管理员、成员和参与者，因为他们提供对工作区中所有项目的访问权限。
• 如果他们是较高特权用户，请向其分配“管理员”、“成员”或“参与者”角色。 根据他们需要执行的其他操作再分配合适的角色。
• 对于仅需要访问单个数据仓库或特定 SQL 对象的其他用户，应向其分配“Fabric 项”权限，并通过 SQL 授予对特定对象的访问权限。
• 还可以管理对 Microsoft Entra ID 组的权限，而不是添加每个特定成员。 有关详细信息，请参阅 Microsoft Entra 身份验证作为 Microsoft Fabric 中 SQL 身份验证的替代方法。
• 使用 用户审核日志审核仓库中的用户活动。

有关共享的详细信息，请参阅共享数据和管理权限。

粒度安全性

工作区角色和项权限便于向用户分配整个仓库的大致权限。 但是，在某些情况下，用户需要更精细的权限。 为此，可以使用标准 T-SQL 构造向用户提供特定权限。

Microsoft Fabric 数据仓库支持多种数据保护技术，管理员可以使用这些技术来保护敏感数据免受未经授权的访问。 通过保护或模糊处理未经授权的用户或角色的数据，这些安全功能可以在仓库和 SQL 分析终结点中提供数据保护，而无需更改应用程序。

• 对象级安全性控制对特定数据库对象的访问。
• 列级安全性可防止未经授权的查看表中的列。
• 行级安全性可防止使用熟悉的 WHERE 子句筛选器谓词在表中未经授权地查看行。
• 动态数据掩码通过使用掩码防止未经授权的查看敏感数据，以防止访问完成，例如电子邮件地址或数字。

对象级安全性

对象级安全性是一种安全机制，可基于用户权限或角色控制对特定数据库对象（例如表、视图或过程）的访问。 它确保用户或角色只能与被授予权限的对象进行交互和操作，从而保护数据库架构及其关联资源的完整性和机密性。

有关在 SQL 中管理精细权限的详细信息，请参阅 Microsoft Fabric 中的 SQL 精细权限。

行级别安全性

行级安全性是一项数据库安全功能，可基于指定的条件（例如用户角色或属性）限制对数据库表中单个行或记录的访问。 它确保用户只能查看或操作显式授权其访问的数据，从而增强数据隐私和控制。

有关行级安全性的详细信息，请参阅 Fabric 数据仓库中的行级安全性。

列级别安全功能

列级安全性是一项数据库安全措施，可限制对数据库表中特定列或字段的访问，允许用户仅查看授权列并与之交互，同时隐藏敏感或受限信息。 它提供对数据访问的精细控制，从而保护数据库中的机密数据。

有关列级安全性的详细信息，请参阅 Fabric 数据仓库中的列级安全性。

动态数据屏蔽

动态数据掩码有助于防止未经授权的查看敏感数据，使管理员能够指定要透露的敏感数据量，对应用程序层的影响最小。 可以在指定的数据库字段上配置动态数据掩码，在查询结果集中隐藏敏感数据。 使用动态数据掩码时，数据库中的数据不会更改，因此它可用于现有应用程序，因为屏蔽规则应用于查询结果。 许多应用程序可以屏蔽敏感数据，而无需修改现有查询。

有关动态数据掩码的详细信息，请参阅 Fabric 数据仓库中的动态数据掩码。

用户审核日志

要跟踪仓库和 SQL 分析终结点中的用户活动以满足法规合规性和记录管理要求，可通过 Microsoft Purview 和 PowerShell 访问一组审核活动。

• 可以使用用户审核日志来确定哪些人正在对 Fabric 项执行哪些操作。
• 若要开始，请了解如何在 Fabric 数据仓库中配置 SQL 审核日志（预览版）。
• 可以在 Microsoft Fabric 中跟踪用户活动。 有关详细信息，请参阅 操作列表。

SQL 分析端点安全性

有关 SQL 分析终结点中的安全性的详细信息，请参阅 适用于 SQL 分析终结点的 OneLake 安全性。

客户管理的密钥 （CMK） 加密

可以使用客户管理的密钥（CMK）来增强安全态势，从而直接控制保护数据和元数据的加密密钥。 为包含 Fabric 数据仓库的工作区启用 CMK 时，OneLake 数据和仓库元数据均使用 Azure Key Vault 托管的加密密钥进行保护。 有关详细信息，请参阅 Fabric 数据仓库中的数据加密。

相关内容

• Microsoft Fabric 中的仓库连接
• Fabric 数据仓库中的工作区角色
• Microsoft Fabric 中的 SQL 精细权限