本指南可協助您在 Microsoft Fabric 中的鏡像 Azure SQL 受控執行個體資料庫中建立資料安全性。
安全性需求
如果您的 Azure SQL 受控執行個體無法公開存取,請 建立虛擬網路資料閘道 或 內部部署資料閘道 來鏡像資料。 請確定 Azure 虛擬網路或閘道伺服器的網路可以透過 私人端點連線到 Azure SQL 受控執行個體。
必須啟用 Azure SQL 受控執行個體的系統指派受控識別 (SAMI),而且必須是主要身分識別。 若要設定或確認已啟用 SAMI,請移至 Azure 入口網站中的 SQL 受控執行個體。 在資源功能表的 [安全性] 底下,選取 [身分識別]。 在 [系統指派的受控識別] 下,選取 [狀態] 為 [開啟]。
- 啟用 SAMI 後,如果 SAMI 被停用或移除,Azure SQL 管理實例與 Fabric OneLake 的鏡像將失敗。
- 啟用 SAMI 後,若新增使用者指派管理身份(UAMI),該身份將成為主要身份,取代 SAMI 作為主要身份。 這會導致複寫失敗。 若要解決此問題,請移除 UAMI。
Fabric 必須連線到 Azure SQL 受控執行個體。 為此,請建立具有有限許可權的專用資料庫使用者,以遵循最低許可權原則。 如需教學課程,請參閱 教學課程:從 Azure SQL 受控執行個體設定 Microsoft Fabric 鏡像資料庫。
這很重要
若來源資料表具備細緻安全性,例如列級安全、欄級安全或資料遮蔽技術,這些資料表將被鏡像,但不會保留上述的細緻安全性。 細緻的安全必須在 Microsoft Fabric 的鏡像資料庫中重新配置。 更多資訊請參閱 Microsoft Fabric 中的 OneLake 安全(預覽) 及 SQL 細化權限入門。
Microsoft Fabric 中的資料保護功能
您可以將資料表上的資料行篩選和述詞型資料列篩選保護至 Microsoft Fabric 中的角色和使用者:
您也可以使用動態資料遮罩來遮罩非管理員的敏感資料:
相關內容
- 什麼是 Fabric 中的鏡像?
- Microsoft Fabric 中的 SQL 細微許可權