Microsoft Fabric 中的資料倉儲安全性
適用于: 
Microsoft Fabric 中的 SQL 分析端點和倉儲
本文涵蓋保護 Lakehouse 和 Microsoft Fabric 中倉儲之 SQL 分析端點的安全性主題。
如需 Microsoft Fabric 安全性的資訊,請參閱 Microsoft Fabric 中的安全性。
如需連線到 SQL 分析端點和倉儲的資訊,請參閱 連線性 。
倉儲存取模型
Microsoft Fabric 許可權和細微的 SQL 許可權一起運作,以控管倉儲存取權和使用者許可權一旦連線。
- 倉儲連線取決於至少要授與倉儲的 Microsoft Fabric 讀取權限。
- Microsoft Fabric 專案許可權可讓您為使用者提供 SQL 許可權,而不需要在 SQL 中授與這些許可權。
- Microsoft Fabric 工作區角色提供工作區內所有倉儲的 Microsoft Fabric 許可權。
- 您可以透過 T-SQL 進一步管理細微的使用者權限。
工作區角色
工作區角色用於工作區內的開發小組共同作業。 角色指派會決定使用者可用的動作,並套用至工作區內的所有專案。
如需透過工作區角色提供之特定倉儲功能的詳細資訊,請參閱 Fabric 資料倉儲 中的工作區角色。
項目權限
與套用至工作區內所有專案的工作區角色不同,可以將專案許可權直接指派給個別倉儲。 使用者會收到該單一 Warehouse 的指派許可權。 這些許可權的主要用途是啟用倉儲下游耗用量的共用。
如需針對倉儲提供之特定許可權的詳細資訊,請參閱 共用您的倉儲和管理許可權 。
細微的安全性
工作區角色和專案許可權可讓您輕鬆地將粗略的許可權指派給整個倉儲的使用者。 不過,在某些情況下,使用者需要更細微的許可權。 為了達成此目的,標準 T-SQL 建構可用來提供使用者的特定許可權。
Microsoft Fabric 資料倉儲支援數種資料保護技術,系統管理員可用來保護敏感性資料免于未經授權的存取。 藉由保護或混淆未經授權的使用者或角色的資料,這些安全性功能可以在倉儲和 SQL 分析端點中提供資料保護,而不需要變更應用程式。
- 物件層級安全性 可控制特定資料庫物件的存取。
- 資料行層級安全性 可防止未經授權檢視資料表中的資料行。
- 資料列層級安全性 可防止未經授權檢視資料表中的資料列,使用熟悉
WHERE的子句篩選述詞。 - 動態資料遮罩可防止使用遮罩 來未經授權檢視敏感性資料,以防止存取完成,例如電子郵件地址或數位。
物件層級安全性
物件層級安全性是一種安全性機制,可根據使用者許可權或角色控制特定資料庫物件的存取,例如資料表、檢視或程式。 它可確保使用者或角色只能與他們授與許可權的物件互動和操作,以保護資料庫架構及其相關資源的完整性和機密性。
如需在 SQL 中管理細微許可權的詳細資訊,請參閱 SQL 細微許可權 。
資料列層級安全性
資料列層級安全性是資料庫安全性功能,可根據指定的準則,例如使用者角色或屬性,限制對資料庫資料表內個別資料列或記錄的存取。 它可確保使用者只能檢視或操作明確授權其存取的資料,增強資料隱私權和控制。
如需資料列層級安全性的詳細資訊,請參閱 Fabric 資料倉儲中的資料列 層級安全性。
資料行層級安全性
資料行層級安全性是資料庫安全性量值,可限制存取資料庫資料表內的特定資料行或欄位,讓使用者在隱藏敏感性或受限制資訊的同時,只查看授權的資料行並與其互動。 它提供對資料存取的精細控制,以保護資料庫中的機密資料。
如需資料行層級安全性的詳細資訊,請參閱 Fabric 資料倉儲 中的資料行層級安全性。
動態資料遮罩
動態資料遮罩可讓系統管理員指定要顯示多少敏感性資料,以最少影回應用層,協助防止未經授權的敏感性資料檢視。 動態資料遮罩可以在指定的資料庫欄位上設定,以隱藏查詢結果集中的敏感性資料。 使用動態資料遮罩時,資料庫中的資料不會變更,因此可以搭配現有的應用程式使用,因為遮罩規則會套用至查詢結果。 許多應用程式都不需要修改現有查詢,就能遮罩機密資料。
如需動態資料遮罩的詳細資訊,請參閱 網狀架構資料倉儲 中的動態資料遮罩。
共用倉儲
共用是為使用者提供倉儲讀取權限以供下游取用的便利方式。 共用可讓組織中的下游使用者使用 SQL、Spark 或 Power BI 來取用倉儲。 您可以自訂共用收件者授與的許可權層級,以提供適當的存取層級。
如需共用的詳細資訊,請參閱 如何共用您的倉儲和管理許可權 。
使用者存取的指引
評估要指派給使用者的許可權時,請考慮下列指引:
- 只有目前在解決方案上共同作業的小組成員應指派給工作區角色(管理員、成員、參與者),因為這樣會讓他們存取工作區內的所有專案。
- 如果它們主要需要唯讀存取權,請指派給檢視器角色,並透過 T-SQL 授與特定物件的讀取權限。 如需詳細資訊,請參閱 管理 SQL 細微許可權 。
- 如果他們是較高的特殊許可權使用者,請將他們指派給管理員、成員或參與者角色。 適當的角色相依于他們需要執行的其他動作。
- 其他使用者只需要個別倉儲的存取權,或只需要存取特定 SQL 物件的使用者,應該獲得 Fabric 專案許可權,並透過 SQL 授與特定物件的存取權。
- 您也可以管理 Microsoft Entra ID (先前稱為 Azure Active Directory) 群組的許可權,而不是新增每個特定成員。
相關內容
意見反應
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交並檢視相關的意見反應