本指南可帮助你在 Microsoft Fabric 中的镜像 Azure SQL 数据库中建立数据安全性。
安全要求
如果 Azure SQL 数据库不可公开访问,并且不允许 Azure 服务 连接到它,则可以 创建虚拟网络数据网关 或 安装本地数据网关 来镜像数据。 确保 Azure 虚拟网络或网关计算机的网络可以通过 专用终结点 连接到 Azure SQL Server,或者防火墙规则允许。
必须启用 Azure SQL 逻辑服务器的系统分配托管标识(SAMI)或用户分配的托管标识(UAMI),并且必须作为主要身份。
注释
对用户分配的托管标识(UAMI)的支持目前处于预览阶段。
Fabric 需要连接到 Azure SQL 数据库。 为此,请创建具有有限权限的专用数据库用户,以遵循最低权限原则。 创建具有强密码和已连接用户的登录名,或者创建具有强密码的包含数据库用户。 有关教程,请参阅 教程:从 Azure SQL 数据库配置 Microsoft Fabric 镜像数据库。
重要
如果源表具有精细的安全性,例如行级别安全性、列级安全性或数据掩码配置,则表将镜像,而无需精细的安全性。 必须在 Microsoft Fabric 的镜像数据库中重新配置精细的安全性。 有关详细信息,请参阅 Microsoft Fabric 中的 OneLake 安全性(预览版) 和 SQL 粒度权限入门。
数据保护功能
可以将表上的列筛选器和基于谓词的行筛选器保护到 Microsoft Fabric 中的角色和用户:
还可以使用动态数据掩码从非管理员屏蔽敏感数据: