Share via

Microsoft Fabric 中数据仓库的安全性

  • 项目

适用于:SQL 分析终结点和 Microsoft Fabric 中的仓库

本文中的安全主题介绍了如何保护 Microsoft Fabric 中的湖屋和仓库的 SQL 分析终结点。

有关 Microsoft Fabric 安全性的信息,请参阅 Microsoft Fabric 中的安全性

如需了解连接 SQL 分析终结点和仓库的信息,请参阅连接

数据仓库访问模型

Microsoft Fabric 权限和精细 SQL 权限共同管理数据仓库访问权限和连接后的用户权限。

  • 数据仓库连接性取决于是否至少获得 Microsoft Fabric 读取权限。
  • Microsoft Fabric 项权限支持向用户提供 SQL 权限,而无需在 SQL 中授予这些权限。
  • Microsoft Fabric 工作区角色为工作区中的所有数据仓库提供 Microsoft Fabric 权限。
  • 可通过 T-SQL 进一步管理精细用户权限。

工作区角色

工作区角色有助于开发团队在工作区中的相互协作。 角色分配确定用户可用的操作,并应用于工作区中的所有项。

有关通过工作区角色提供的特定数据仓库功能的详细信息,请参阅 Fabric 数据仓库中的工作区角色

项权限

与适用于工作区中的所有项的工作区角色不同,项访问权限可直接分配给单个仓库。 用户将获得对该仓库的访问权限。 这些权限的主要目的是为数据仓库的下游使用启用共享。

有关提供给数据仓库的特定权限的详细信息,请参阅共享数据仓库和管理权限

粒度安全性

工作区角色和项权限便于向用户分配整个仓库的大致权限。 但是,在某些情况下,用户需要更精细的权限。 为此,可以使用标准 T-SQL 构造向用户提供特定权限。

Microsoft Fabric 数据仓库支持多种数据保护技术,管理员可以使用这些技术来保护敏感数据免受未经授权的访问。 通过保护或模糊处理未经授权的用户或角色的数据,这些安全功能可以在仓库和 SQL 分析终结点中提供数据保护,而无需更改应用程序。

  • 对象级安全性控制对特定数据库对象的访问。
  • 列级安全性可防止未经授权的查看表中的列。
  • 行级安全性可防止使用熟悉的 WHERE 子句筛选器谓词在表中未经授权地查看行。
  • 动态数据掩码通过使用掩码防止未经授权的查看敏感数据,以防止访问完成,例如电子邮件地址或数字。

对象级安全性

对象级安全性是一种安全机制,可基于用户权限或角色控制对特定数据库对象(例如表、视图或过程)的访问。 它确保用户或角色只能与被授予权限的对象进行交互和操作,从而保护数据库架构及其关联资源的完整性和机密性。

有关在 SQL 中管理精细权限的详细信息,请参阅 SQL 精细权限

行级别安全性

行级安全性是一项数据库安全功能,可基于指定的条件(例如用户角色或属性)限制对数据库表中单个行或记录的访问。 它确保用户只能查看或操作显式授权其访问的数据,从而增强数据隐私和控制。

有关行级安全性的详细信息,请参阅 Fabric 数据仓库中的行级安全性

列级别安全功能

列级安全性是一项数据库安全措施,可限制对数据库表中特定列或字段的访问,允许用户仅查看授权列并与之交互,同时隐藏敏感或受限信息。 它提供对数据访问的精细控制,从而保护数据库中的机密数据。

有关列级安全性的详细信息,请参阅 Fabric 数据仓库中的列级安全性

动态数据屏蔽

动态数据掩码有助于防止未经授权的查看敏感数据,使管理员能够指定要透露的敏感数据量,对应用程序层的影响最小。 可以在指定的数据库字段上配置动态数据掩码,在查询结果集中隐藏敏感数据。 使用动态数据掩码时,数据库中的数据不会更改,因此它可用于现有应用程序,因为屏蔽规则应用于查询结果。 许多应用程序可以屏蔽敏感数据,而无需修改现有查询。

有关动态数据掩码的详细信息,请参阅 Fabric 数据仓库中的动态数据掩码

共享数据仓库

通过共享这种方式,可以方便地为用户提供对仓库的读取访问权限,以供下游使用。 共享允许组织中的下游用户使用 SQL、Spark 或 Power BI 的数据仓库。 可以自定义向共享对象授予的权限级别,提供适当的访问级别。

有关共享的详细信息,请参阅如何共享数据仓库和管理权限

有关用户访问的指导

评估分配给用户的权限时,请考虑以下指南:

  • 只有当前正在协作处理解决方案的团队成员才需要分配工作区角色(管理员、成员、参与者),因为这样他们才能访问工作区中的所有项。
  • 如果他们主要需要的只读访问权限,请向他们分配“查看者”角色,并通过 T-SQL 授予对特定对象的读取访问权限。 有关详细信息,请参阅管理 SQL 精细权限
  • 如果他们是较高特权用户,请向其分配“管理员”、“成员”或“参与者”角色。 根据他们需要执行的其他操作再分配合适的角色。
  • 对于仅需要访问单个数据仓库或特定 SQL 对象的其他用户,应向其分配“Fabric 项”权限,并通过 SQL 授予对特定对象的访问权限。
  • 还可以管理对 Microsoft Entra ID(前 Azure Active Directory)组的权限,而不是添加每个特定成员。

相关内容