Microsoft Fabric 中的資料倉儲安全性

適用於：✅ Microsoft Fabric 中的 SQL 分析端點和倉儲

本文涵蓋保護 Microsoft Fabric 中的 lakehouse 的 SQL 分析端點和倉儲的安全性主題。

如需有關 Microsoft Fabric 安全性的詳細資訊，請參閱 Microsoft Fabric 中的安全性。

如需連線至 SQL 分析端點和倉儲的資訊，請參閱連線性。

倉儲存取模型

Microsoft Fabric 權限和細微的 SQL 權限共同運作，以控管倉儲存取權和連線後的使用者權限。

• 倉儲連線取決於至少授與倉儲的 Microsoft Fabric 讀取權限。
• Microsoft Fabric 項目權限可讓您為使用者提供 SQL 權限，而不需要在 SQL 中授與這些權限。
• Microsoft Fabric 工作區角色可為工作區內的所有倉儲提供Microsoft Fabric 權限。
• 可以透過 T-SQL 進一步管理細微的使用者權限。

工作區角色

工作區角色可用於工作區內的開發團隊共同作業。 角色指派會判定使用者可用的動作，並套用至工作區內的所有項目。

• 如需 Microsoft Fabric 工作區角色的概觀，請參閱工作區中的角色。
• 如需指派工作區角色的指示，請參閱授與工作區存取權。

如需透過工作區角色提供的特定倉儲功能的詳細資訊，請參閱 Fabric 資料倉儲中的工作區角色。

項目權限

與套用至工作區內所有項目的工作區角色不同，項目權限可以直接指派給個別倉儲。 使用者會收到該單一倉儲的指派許可權。 這些權限的主要用途是啟用倉儲下游使用量的共用。

如需針對倉儲提供的特定權限的詳細資訊，請參閱共用您的倉儲和管理權限。

細微的安全性

工作區角色和項目權限可讓您輕鬆地將廣泛權限指派給整個倉儲的使用者。 不過，在某些情況下，使用者需要更細微的權限。 若要達成此目的，標準 T-SQL 建構可用來為使用者提供特定權限。

Microsoft Fabric 資料倉儲支援數種資料保護技術，系統管理員可用來保護敏感資料免於未經授權的存取。 藉由保護或混淆未經授權的使用者或角色的資料，這些安全性功能可以在倉儲和 SQL 分析端點中提供資料保護，而不需要變更應用程式。

• 物件層級安全性可控制對特定資料庫物件的存取。
• 資料行層級安全性可防止未經授權檢視資料表中的資料行。
• 資料列層級安全性可使用熟悉的 WHERE 子句篩選述詞，防止未經授權檢視資料表中的資料列。
• 動態資料遮罩可透過使用遮罩來阻止存取完成，防止未經授權檢視敏感資料，例如電子郵件地址或號碼。

物件層級安全性

物件層級安全性是一種安全性機制，可根據使用者權限或角色控制對特定資料庫物件的存取，例如資料表、檢視或程序。 其可確保使用者或角色只能與他們授與權限的物件互動和操作，以保護資料庫結構描述及其關聯的資源的完整性和機密性。

如需有關在 SQL 中管理細微權限的詳細資訊，請參閱 SQL 細微權限。

資料列層級安全性

資料列層級安全性是資料庫安全性功能，可根據指定的準則 (例如使用者角色或屬性)，限制對資料庫資料表內個別資料列或記錄的存取。 其可確保使用者只能檢視或操作明確授權其存取的資料，增強資料隱私權和控制。

如需有關資料列層級安全性的詳細資訊，請參閱 Fabric 資料倉儲中的資料列層級安全性。

資料行層級安全性

資料行層級安全性是資料庫安全性量值，可限制存取資料庫資料表內的特定資料行或欄位，讓使用者在隱藏敏感性或受限資訊的同時，只查看授權的資料行並與其互動。 其可提供對資料存取的精細控制，以保護資料庫中的機密資料。

如需有關資料行層級安全性的詳細資訊，請參閱 Fabric 資料倉儲中的資料行層級安全性。

動態資料遮罩

動態資料遮罩讓系統管理員能夠指定要顯示多少敏感性資料，藉此協助防止未經授權檢視敏感性資料，同時盡可能減少對應用程式層的影響。 可以在指定資料庫欄位上設定動態資料遮罩，以隱藏查詢結果集中的敏感性資料。 使用動態資料遮罩時，資料庫中的資料不會變更，因此可以搭配現有的應用程式使用，因為遮罩規則會套用至查詢結果。 許多應用程式都不需要修改現有查詢，就能遮罩機密資料。

如需有關動態資料遮罩的詳細資訊，請參閱 Fabric 資料倉儲中的動態資料遮罩。

共用倉儲

共用是為使用者提供倉儲讀取存取權以供下游取用的便利方式。 共用可讓組織中的下游使用者使用 SQL、Spark 或 Power BI 來取用倉儲。 您可以自訂共用收件者授與的權限層級，以提供適當的存取層級。

如需有關共用的詳細資訊，請參閱如何共用您的倉儲和管理權限。

使用者存取的指導

評估要指派給使用者的權限時，請考慮下列指導：

• 只有目前在解決方案上共同作業的小組成員應指派至工作區角色 (管理員、成員、參與者)，因為這樣會讓他們存取工作區內的所有項目。
• 如果它們主要需要唯讀存取權，請將其指派至檢視人員角色，並透過 T-SQL 授與特定物件的讀取存取。 如需詳細資訊，請參閱管理 SQL 細微權限。
• 如果他們是較高的特殊許可權使用者，請將他們指派給系統管理員、成員或參與者角色。 適當的角色相依於他們需要執行的其他動作。
• 其他僅需要存取個別倉儲或僅只需要存取特定 SQL 物件的使用者，應該獲得 Fabric 項目權限，並透過 SQL 授與對特定物件的存取權。
• 您也可以管理 Microsoft Entra ID (先前稱為 Azure Active Directory) 群組的權限，而不是新增每個特定成員。 如需詳細資訊，請參閱 Microsoft Fabric 中作為 SQL 驗證替代方案的 Microsoft Entra 驗證。

使用者稽核記錄

若要追蹤倉儲和 SQL 分析端點中的用戶活動，以符合法規合規性和記錄管理需求，可透過 Purview 和 PowerShell Microsoft存取一組稽核活動。 您可以使用使用者稽核記錄來識別誰正在對 Fabric 項目採取哪些動作。

如需如何存取使用者稽核記錄的詳細資訊，請參閱 追蹤Microsoft網狀 架構和 作業清單中的用戶活動。

相關內容

• 連線性
• Microsoft Fabric 中的 SQL 細微權限
• 如何共用您的倉儲並管理權限
• Microsoft Fabric 中作為 SQL 驗證替代方案的 Microsoft Entra 驗證