適用於:✅ Microsoft Fabric 中的倉儲
Fabric Data Warehouse 提供企業數據倉儲解決方案,完全管理並完全整合在 Microsoft Fabric 中。 不過,在儲存敏感和關鍵業務資料時,您必須採取步驟,將倉庫及其中儲存的資料的安全性最大化。
本文提供如何在 Microsoft Fabric 中以最佳方式保護倉儲的指引。
倉儲存取模型
Microsoft Fabric 許可權和細微 SQL 許可權會共同運作,以控管倉儲存取和連線後的使用者許可權。
- 倉儲連線取決於至少授與倉儲的 Microsoft Fabric 讀取權限。
- Microsoft Fabric 項目權限可讓您為使用者提供 SQL 權限,而不需要在 SQL 中授與這些權限。
- Microsoft Fabric 工作區角色可為工作區內的所有倉儲提供Microsoft Fabric 權限。
- 可以透過 T-SQL 進一步管理細微的使用者權限。
工作區角色
工作區角色可用於工作區內的開發團隊共同作業。 角色指派會判定使用者可用的動作,並套用至工作區內的所有項目。
- 如需 Microsoft Fabric 工作區角色的概觀,請參閱 Microsoft Fabric 中工作區中的角色。
- 如需指派工作區角色的指示,請參閱 授與使用者工作區的存取權。
如需透過工作區角色提供之特定倉儲功能的詳細資訊,請參閱 Fabric Data Warehouse 中的工作區角色。
項目權限
與適用於工作區內所有品項的工作區角色相比,品項權限可以直接指派給個別倉庫。
授與許可權和角色成員資格時,一律遵循最小權限原則。 評估要指派給使用者的權限時,請考慮下列指導:
- 如果它們主要需要唯讀存取權,請將其指派至檢視人員角色,並透過 T-SQL 授與特定物件的讀取存取。 如需詳細資訊,請參閱管理 SQL 細微權限。
- 只有目前在解決方案上共同作業的小組成員才應該指派給工作區角色管理員、成員和參與者,因為他們提供工作區內所有專案的存取權。
- 如果他們是較高的特殊許可權使用者,請將他們指派給系統管理員、成員或參與者角色。 適當的角色相依於他們需要執行的其他動作。
- 其他僅需要存取個別倉儲或僅只需要存取特定 SQL 物件的使用者,應該獲得 Fabric 項目權限,並透過 SQL 授與對特定物件的存取權。
- 您也可以管理 Microsoft Entra ID 群組的許可權,而不是新增每個特定成員。 如需詳細資訊,請參閱 Microsoft Fabric 中作為 SQL 驗證替代方案的 Microsoft Entra 驗證。
- 使用 使用者稽核日誌稽核倉儲中的使用者活動。
如需共用的詳細資訊,請參閱 共用您的數據和管理許可權。
細微的安全性
工作區角色和項目權限可讓您輕鬆地將廣泛權限指派給整個倉儲的使用者。 不過,在某些情況下,使用者需要更細微的權限。 若要達成此目的,標準 T-SQL 建構可用來為使用者提供特定權限。
Microsoft Fabric 資料倉儲支援數種資料保護技術,系統管理員可用來保護敏感資料免於未經授權的存取。 藉由保護或混淆未經授權的使用者或角色的資料,這些安全性功能可以在倉儲和 SQL 分析端點中提供資料保護,而不需要變更應用程式。
- 物件層級安全性可控制對特定資料庫物件的存取。
- 資料行層級安全性可防止未經授權檢視資料表中的資料行。
-
資料列層級安全性可使用熟悉的
WHERE子句篩選述詞,防止未經授權檢視資料表中的資料列。 - 動態資料遮罩可透過使用遮罩來阻止存取完成,防止未經授權檢視敏感資料,例如電子郵件地址或號碼。
物件層級安全性
物件層級安全性是一種安全性機制,可根據使用者權限或角色控制對特定資料庫物件的存取,例如資料表、檢視或程序。 其可確保使用者或角色只能與他們授與權限的物件互動和操作,以保護資料庫結構描述及其關聯的資源的完整性和機密性。
如需在 SQL 中管理精細權限的詳細資訊,請參閱 Microsoft Fabric 中的 SQL 精細權限。
資料列層級安全性
資料列層級安全性是資料庫安全性功能,可根據指定的準則 (例如使用者角色或屬性),限制對資料庫資料表內個別資料列或記錄的存取。 其可確保使用者只能檢視或操作明確授權其存取的資料,增強資料隱私權和控制。
如需有關資料列層級安全性的詳細資訊,請參閱 Fabric 資料倉儲中的資料列層級安全性。
資料行層級安全性
資料行層級安全性是資料庫安全性量值,可限制存取資料庫資料表內的特定資料行或欄位,讓使用者在隱藏敏感性或受限資訊的同時,只查看授權的資料行並與其互動。 其可提供對資料存取的精細控制,以保護資料庫中的機密資料。
如需有關資料行層級安全性的詳細資訊,請參閱 Fabric 資料倉儲中的資料行層級安全性。
動態資料遮罩
動態資料遮罩讓系統管理員能夠指定要顯示多少敏感性資料,藉此協助防止未經授權檢視敏感性資料,同時盡可能減少對應用程式層的影響。 可以在指定資料庫欄位上設定動態資料遮罩,以隱藏查詢結果集中的敏感性資料。 使用動態資料遮罩時,資料庫中的資料不會變更,因此可以搭配現有的應用程式使用,因為遮罩規則會套用至查詢結果。 許多應用程式都不需要修改現有查詢,就能遮罩機密資料。
如需有關動態資料遮罩的詳細資訊,請參閱 Fabric 資料倉儲中的動態資料遮罩。
使用者稽核記錄
若要追蹤倉儲和 SQL 分析端點中的用戶活動,以符合法規合規性和記錄管理需求,可透過 Purview 和 PowerShell Microsoft存取一組稽核活動。
- 您可以使用使用者稽核記錄來識別誰正在對 Fabric 項目採取哪些動作。
- 若要開始使用,請瞭解 如何在 Fabric Data Warehouse (預覽版) 中設定 SQL 稽核記錄。
- 您可以 追蹤 Microsoft Fabric 中的使用者活動。 如需詳細資訊,請參閱 作業清單。
SQL 分析端點安全性
如需 SQL 分析端點安全性的詳細資訊,請參閱 SQL 分析端點的 OneLake 安全性。
客戶管理金鑰 (CMK) 加密
您可以使用客戶管理的金鑰 (CMK) 來增強安全性狀態,讓您直接控制保護資料和中繼資料的加密金鑰。 當您為包含 Fabric Data Warehouse 的工作區啟用 CMK 時,OneLake 資料和倉儲中繼資料都會使用 Azure Key Vault 裝載的加密金鑰來保護。 如需詳細資訊,請參閱 Fabric Data Warehouse 中的資料加密。