開始使用 SQL 資料庫動態資料遮罩 (Azure 入口網站)
適用於:
Azure SQL 資料庫
本文說明如何使用 Azure 入口網站 來實現 動態數據遮罩。 您也可以使用 Azure SQL 資料庫 Cmdlet 或 REST API 來實作動態數據遮罩。
注意
針對 SQL 受控執行個體 (使用 PowerShell 或 REST API),無法使用入口網站來設定這項功能。 如需相關資訊,請參閱 Dynamic Data Masking。
啟用動態資料遮罩
在 https://portal.azure.com 上啟動 Azure 入口網站。
在 Azure 入口網站中移至您的資料庫資源。
在 安全性 區段中,選取 動態資料遮罩 。
![顯示 [安全性] 區段的螢幕擷取畫面,其中已醒目提示動態資料遮罩。](media/dynamic-data-masking-configure-portal/dynamic-data-masking-in-portal.png?view=azuresql)
在 動態數據遮罩 頁面中,您可能會看到建議引擎已標示為遮罩的一些資料庫數據行。 為了接受建議,只要按一個或多個數據行的 新增遮罩 ,就會根據此數據行的默認類型建立遮罩。 您可以按下遮罩規則,並將遮罩字段格式編輯為您選擇的不同格式,以變更遮罩函式。 按一下 儲存 以儲存您的設定。
![顯示 [動態資料遮罩] 設定頁面的螢幕擷取畫面。](media/dynamic-data-masking-configure-portal/5_ddm_recommendations.png?view=azuresql)
若要為資料庫中的任何數據行新增遮罩,請在 動態數據遮罩組態 頁面頂端,按兩下 新增遮罩 以開啟 新增遮罩規則 設定頁面。
![顯示 [新增遮罩規則設定] 頁面的螢幕擷取畫面。](media/dynamic-data-masking-configure-portal/6_ddm_add_mask.png?view=azuresql)
選取 架構 、 資料表 和 資料行 ,以定義遮罩的指定字段。
從敏感數據遮罩類別清單中選取如何遮罩 。
![顯示 [選取如何遮罩] 區段下敏感資料遮罩類別的螢幕擷取畫面。](media/dynamic-data-masking-configure-portal/7_ddm_mask_field_format.png?view=azuresql)
按兩下資料遮罩規則頁面中的 新增 ,以更新動態數據遮罩原則中的遮罩規則集。
輸入應該從遮罩排除的 Microsoft Entra ID(先前稱為 Azure Active Directory)的 SQL 已驗證使用者或已驗證的身分識別,並存取未遮罩的敏感數據。 這應該是以分號分隔的用戶清單。 具有系統管理員許可權的使用者一律可以存取原始未遮罩的數據。
提示
若要讓應用層能夠顯示應用程式特殊許可權使用者的敏感數據,請新增應用程式用來查詢資料庫的 SQL 使用者或 Microsoft Entra 身分識別。 強烈建議此清單包含最少數目的特殊許可權使用者,以將敏感數據的暴露程度降到最低。
按兩下資料遮罩組態頁面中的 儲存 ,以儲存新的或更新的遮罩原則。
下一步
- 如需動態數據遮罩的概觀,請參閱 動態數據遮罩。
- 您也可以使用 Azure SQL 資料庫 Cmdlet 或 REST API 來實作動態數據遮罩。