開始使用 SQL 資料庫動態資料遮罩 (Azure 入口網站)

  • 發行項

適用於:Azure SQL Database

本文說明如何使用 Azure 入口網站 來實現 動態數據遮罩。 您也可以使用 Azure SQL 資料庫 CmdletREST API 來實作動態數據遮罩。

注意

針對 SQL 受控執行個體 (使用 PowerShell 或 REST API),無法使用入口網站來設定這項功能。 如需相關資訊,請參閱 Dynamic Data Masking

啟用動態資料遮罩

  1. https://portal.azure.com 上啟動 Azure 入口網站。

  2. 在 Azure 入口網站中移至您的資料庫資源。

  3. 安全性 區段中,選取 動態資料遮罩

    Screenshot that shows the Security section with Dynamic Data Masking highlighted.

  4. 動態數據遮罩 頁面中,您可能會看到建議引擎已標示為遮罩的一些資料庫數據行。 為了接受建議,只要按一個或多個數據行的 新增遮罩 ,就會根據此數據行的默認類型建立遮罩。 您可以按下遮罩規則,並將遮罩字段格式編輯為您選擇的不同格式,以變更遮罩函式。 按一下 儲存 以儲存您的設定。

    Screenshot that shows the Dynamic Data Masking configuration page.

  5. 若要為資料庫中的任何數據行新增遮罩,請在 動態數據遮罩組態 頁面頂端,按兩下 新增遮罩 以開啟 新增遮罩規則 設定頁面。

    Screenshot that shows the Add Masking Rule configuration page.

  6. 選取 架構資料表資料行 ,以定義遮罩的指定字段。

  7. 從敏感數據遮罩類別清單中選取如何遮罩

    Screenshot that shows the sensitive data masking categories under the Select how to mask section.

  8. 按兩下資料遮罩規則頁面中的 新增 ,以更新動態數據遮罩原則中的遮罩規則集。

  9. 輸入應該從遮罩排除的 Microsoft Entra ID(先前稱為 Azure Active Directory)的 SQL 已驗證使用者或已驗證的身分識別,並存取未遮罩的敏感數據。 這應該是以分號分隔的用戶清單。 具有系統管理員許可權的使用者一律可以存取原始未遮罩的數據。

    Navigation pane

    提示

    若要讓應用層能夠顯示應用程式特殊許可權使用者的敏感數據,請新增應用程式用來查詢資料庫的 SQL 使用者或 Microsoft Entra 身分識別。 強烈建議此清單包含最少數目的特殊許可權使用者,以將敏感數據的暴露程度降到最低。

  10. 按兩下資料遮罩組態頁面中的 儲存 ,以儲存新的或更新的遮罩原則。

下一步