共用您的倉儲和管理許可權
適用於:Microsoft Fabric 中的倉儲和鏡像資料庫
共用是為使用者提供倉儲讀取許可權以供下游取用的便利方式。 共用可讓組織中的下游使用者使用 SQL、Spark 或 Power BI 來取用倉儲。 您可以自定義共用收件者授與的許可權層級,以提供適當的存取層級。
注意
您必須是工作區中的系統管理員或成員,才能在 Microsoft Fabric 中共用倉儲。
開始使用
識別倉儲之後,您想要與 Fabric 工作區中的其他用戶共用,請選取數據列中的快速動作以 共用 倉儲。
下列動畫 gif 會檢閱選取要共用之倉儲的步驟、選取要指派的許可權,最後再 將許可權授 與其他使用者。
您可以從 OneLake 數據中樞或倉儲項目選擇 [從快速動作共用] 來共用您的倉儲,如下圖所示。
共用倉儲
系統會提示您選擇您要與誰共用倉儲、要授與哪些許可權,以及他們是否會透過電子郵件收到通知。 當您填入所有必要的欄位時,請選取 [ 授與存取權]。
以下是每個提供之權限的詳細資料:
- 如果未選取 其他許可權 - 共用收件者預設會收到「讀取」許可權,這隻允許收件者 連線 到 SQL 分析端點,相當於 SQL Server 中的 CONNECT 許可權。 共用收件者將無法查詢任何數據表或檢視或執行任何函式或預存程式,除非它們可以使用 T-SQL GRANT 語句來存取倉儲中的物件。
注意
ReadData、 ReadAll 和 Build 是不會重疊的不同許可權。
已選取 [使用 SQL 讀取所有數據] (“ReadData” 許可權)- 共用收件者可以讀取倉儲內的所有資料庫物件。 ReadData 相當於 SQL Server 中db_datareader 角色。 共用收件者可以從倉儲內的所有數據表和檢視讀取數據。 如果您想要進一步限制並提供對倉儲內某些對象的細微存取,您可以使用 T-SQL GRANT/REVOKE/DENY 語句來執行這項操作。
- 在 Lakehouse 的 SQL 分析端點中, 「讀取所有 SQL 端點數據」 相當於 「使用 SQL 讀取所有數據」。
已選取 [使用 Apache Spark 讀取所有數據] (“ReadAll” 許可權)- 共用收件者具有 OneLake 中基礎 parquet 檔案的讀取許可權,可使用 Spark 來取用。 只有當共用收件者想要使用 Spark 引擎完整存取倉儲的檔案時,才應該提供 ReadAll 。
已選取 [在默認數據集上建置報表] 複選框 (「建置」許可權)- 共用收件者可以在連線至倉儲的默認語意模型之上建置報表。 如果共用收件者想要默認語意模型的建置許可權,應該提供組建,以建立此數據的Power BI報表。 默認會選取 [ 建置] 複選框,但可以取消核取。
當共用收件者收到電子郵件時,他們可以選取 [ 開啟 ] 並流覽至 [倉儲數據中樞] 頁面。
根據已授與共用收件者的存取層級,共用收件者現在能夠連線到 SQL 分析端點、查詢倉儲、建置報表或透過 Spark 讀取數據。
ReadData 許可權
使用 ReadData 許可權,共用收件者可以在唯讀模式中開啟倉儲編輯器,並查詢倉儲內的數據表和檢視。 共用收件者也可以選擇複製提供的 SQL 分析端點,並連線到用戶端工具來執行這些查詢。
例如,在下列螢幕快照中,具有 ReadData 許可權的使用者可以查詢倉儲。
ReadAll 許可權
具有 ReadAll 許可權的 共用收件者可以從倉儲編輯器的 [屬性] 窗格,找到 OneLake 中特定檔案的 Azure Blob 檔案系統 (ABFS) 路徑 。 然後,共用收件者可以在Spark Notebook內使用此路徑來讀取此數據。
例如,在下列螢幕快照中,具有 ReadAll 許可權的使用者可以在新的筆記本中使用 Spark 查詢來查詢 FactSale
中的數據。
建置許可權
透過 建置 許可權,共用收件者可以在連線至倉儲的預設語意模型之上建立報表。 共用收件者可以從數據中樞建立 Power BI 報表,或使用 Power BI Desktop 執行相同的動作。
例如,在下列螢幕快照中,具有 建 置許可權的使用者可以開始 根據共用倉儲自動建立 Power BI報表。
管理權限
[ 管理許可權] 頁面會顯示已指派給工作區角色或專案許可權的用戶清單。
如果您是 管理員 或成員,請移至您的工作區,然後選取 [更多選項]。 然後,選取 [ 管理許可權]。
針對已提供工作區角色的使用者,它會顯示對應的使用者、工作區角色和許可權。 管理員,成員和參與者對此工作區中的專案具有讀取/寫入存取權。 檢視者具有 ReadData 許可權,而且可以查詢該工作區中 Warehouse 內的所有數據表和檢視。 項目許可權 Read、 ReadData 和 ReadAll 可以提供給使用者。
您可以選擇使用 管理權限來新增或移除權限:
- 拿掉存取 權會移除所有項目許可權。
- 拿掉 ReadData 會 移除 ReadData 許可權。
- 拿掉 ReadAll 會 移除 ReadAll 許可權。
- 拿掉組建 會 移除對應預設語意模型的建 置許可權。
限制
- 如果您提供專案許可權或移除先前擁有許可權的使用者,許可權傳播最多可能需要兩個小時。 新的許可權會立即反映在「管理許可權」中。 再次登入,以確保許可權會反映在 SQL 分析端點中。
- 共用收件者可以使用擁有者的身分識別來存取倉儲(委派模式)。 請確定倉儲的擁有者不會從工作區中移除。
- 共用收件者只能存取所接收的倉儲,而且不能存取與倉儲相同工作區內的任何其他專案。 如果您想要為小組中的其他使用者提供在倉儲上共同作業的許可權(讀取和寫入存取權),請將他們新增為工作區角色,例如「成員」或「參與者」。
- 目前,當您共用倉儲並選擇 [使用 SQL 讀取所有數據] 時,共用收件者可以在只讀模式中存取倉儲編輯器。 這些共用收件者可以建立查詢,但目前無法儲存其查詢。
- 目前,只有透過用戶體驗才能共用倉儲。
- 如果您想要提供對倉儲內特定對象的細微存取,請使用 T-SQL GRANT 語句來共用倉儲,而不需要額外的許可權,即可對特定物件提供細微存取權。 如需詳細資訊,請參閱 GRANT、REVOKE 和 DENY 的 T-SQL 語法。
- 如果您在共用對話框中看到 ReadAll 許可權和 ReadData 許可權已停用,請重新整理頁面。
- 共用收件者沒有重新共用倉儲的許可權。
- 如果建置在倉儲之上的報表與其他收件者共用,則共用收件者需要更多許可權才能存取報表。 這取決於 Power BI 對語意模型的存取模式:
- 如果透過 直接查詢模式 存取, 則必須將 ReadData 許可權(或 特定數據表/檢視的細微 SQL 許可權 )提供給倉儲。
- 如果透過 Direct Lake 模式存取, 則必須將 ReadData 許可權(或 特定資料表/檢視的細微許可權 )提供給倉儲。 Direct Lake 模式是使用倉儲或 SQL 分析端點做為數據源之語意模型的預設連接類型。 如需詳細資訊,請參閱 Direct Lake 模式。
- 如果透過匯入 模式 存取,則不需要其他許可權。
- 目前不支援直接與SPN共用倉儲。
數據保護功能
Microsoft Fabric 數據倉儲支持數種技術,系統管理員可用來保護敏感數據免於未經授權的檢視。 藉由保護或混淆未經授權的使用者或角色的數據,這些安全性功能可以在倉儲和 SQL 分析端點中提供數據保護,而不需要變更應用程式。
- 數據行層級安全性 可防止未經授權檢視數據表中的數據行。
- 數據列層級安全性 可防止未經授權檢視數據表中的數據列,使用熟悉
WHERE
的子句篩選述詞。 - 動態數據遮罩可防止使用遮罩 來未經授權檢視敏感數據,以防止存取完成,例如電子郵件地址或數位。
相關內容
意見反應
https://aka.ms/ContentUserFeedback。
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:提交並檢視相關的意見反應