Sdílení dat a správa oprávnění
Platí pro:✅Warehouse a Zrcadlené databáze v Microsoft Fabric
Sdílení je pohodlný způsob, jak uživatelům poskytnout přístup ke čtení dat pro příjem dat. Sdílení umožňuje podřízeným uživatelům ve vaší organizaci využívat sklad pomocí T-SQL, Sparku nebo Power BI. Můžete přizpůsobit úroveň oprávnění, která je sdílenému příjemci udělena, a poskytnout tak odpovídající úroveň přístupu.
Poznámka:
Abyste mohli sdílet položku v Microsoft Fabric, musíte být ve svém pracovním prostoru správcem nebo členem.
Začínáme
Po identifikaci položky Skladu, kterou chcete sdílet s jiným uživatelem v pracovním prostoru Prostředky infrastruktury, vyberte rychlou akci na řádku, kterou chcete sdílet.
Následující animovaný gif zkontroluje kroky k výběru skladu, který chcete sdílet, vyberte oprávnění k přiřazení a nakonec udělte oprávnění jinému uživateli.
Sdílení skladu
Sklad můžete sdílet z datového centra OneLake nebo položky Skladu tak, že zvolíte Možnost Sdílet z rychlé akce, jak je zvýrazněno na následujícím obrázku.
Zobrazí se výzva s možnostmi, jak vybrat, s kým chcete sdílet sklad, jaká oprávnění jim udělit a jestli budou upozorněni e-mailem.
Vyplňte všechna povinná pole a vyberte Udělit přístup.
Když sdílený příjemce obdrží e-mail, může vybrat Otevřít a přejít na stránku Datového centra skladu.
V závislosti na úrovni přístupu sdíleného příjemce se teď může sdílený příjemce připojit ke koncovému bodu analýzy SQL, dotazovat se na Sklad, sestavovat sestavy nebo číst data prostřednictvím Sparku.
Role zabezpečení prostředků infrastruktury
Tady je další podrobnosti o jednotlivých zadaných oprávněních:
- Pokud nejsou vybrána žádná další oprávnění – Sdílený příjemce ve výchozím nastavení obdrží oprávnění Číst, což příjemci umožňuje připojit se pouze ke koncovému bodu analýzy SQL, což je ekvivalent oprávnění CONNECT na SQL Serveru. Sdílený příjemce nebude moct zadávat dotazy na žádnou tabulku ani zobrazit ani spustit žádnou funkci nebo uloženou proceduru, pokud jim není poskytnut přístup k objektům v rámci skladu pomocí příkazu T-SQL GRANT .
Tip
ReadData (používaný skladem pro oprávnění T-SQL), ReadAll (používá OneLake a koncový bod analýzy SQL) a Sestavení (používané Power BI) jsou samostatná oprávnění, která se nepřekrývají.
Je vybrána možnost Číst všechna data pomocí SQL (oprávnění ReadData) – Sdílený příjemce může číst všechny objekty v rámci skladu. ReadData je ekvivalentem role db_datareader v SQL Serveru. Sdílený příjemce může číst data ze všech tabulek a zobrazení v rámci skladu. Pokud chcete dále omezit a poskytnout podrobný přístup k některým objektům v rámci skladu, můžete to provést pomocí příkazů T-SQL
GRANT
DENY
/REVOKE
/.- V koncovém bodu analýzy SQL ve službě Lakehouse je "Čtení všech dat koncového bodu SQL" ekvivalentní hodnotě Čtení všech dat pomocí SQL.
Je vybrána možnost Číst všechna data pomocí Apache Sparku (oprávnění ReadAll) – Sdílený příjemce má přístup pro čtení k podkladovým souborům parquet ve OneLake, které je možné využívat pomocí Sparku. Funkci ReadAll byste měli poskytnout jenom v případě, že sdílený příjemce chce úplný přístup k souborům vašeho skladu pomocí modulu Spark.
Zaškrtávací políčko Vytvořit sestavy pro výchozí datovou sadu je zaškrtnuté (oprávnění Sestavení) – Sdílený příjemce může vytvářet sestavy nad výchozím sémantickým modelem, který je připojený k vašemu skladu. Sestavení by se mělo poskytnout, pokud sdílený příjemce chce mít oprávnění k sestavení výchozího sémantického modelu, aby vytvořil sestavy Power BI pro tato data. Ve výchozím nastavení je zaškrtnuté políčko Sestavení, ale můžete ho zrušit.
Oprávnění ReadData
S oprávněními ReadData může sdílený příjemce otevřít editor skladu v režimu jen pro čtení a dotazovat se na tabulky a zobrazení v rámci skladu. Sdílený příjemce se také může rozhodnout zkopírovat zadaný koncový bod analýzy SQL a připojit se ke klientskému nástroji pro spuštění těchto dotazů.
Oprávnění ReadAll
Sdílený příjemce s oprávněními ReadAll může najít cestu systému souborů Azure Blob (ABFS) ke konkrétnímu souboru v OneLake z podokna Vlastnosti v editoru skladu. Sdílený příjemce pak může tuto cestu použít v poznámkovém bloku Sparku ke čtení těchto dat.
Například na následujícím snímku obrazovky může uživatel s oprávněním ReadAll dotazovat data v FactSale
dotazu Spark v novém poznámkovém bloku.
Oprávnění k sestavení
S oprávněními k sestavení může sdílený příjemce vytvářet sestavy nad výchozím sémantickým modelem, který je připojený ke skladu. Sdílený příjemce může vytvářet sestavy Power BI z datového centra nebo také provádět totéž pomocí Power BI Desktopu.
Spravovat oprávnění
Na stránce Spravovat oprávnění se zobrazí seznam uživatelů, kterým byl udělen přístup, buď přiřazením k rolím pracovního prostoru, nebo oprávněním k položce.
Pokud jste členem rolí správce nebo člena pracovního prostoru, přejděte do svého pracovního prostoru a vyberte Další možnosti. Pak vyberte Spravovat oprávnění.
U uživatelů, kteří měli k dispozici role pracovního prostoru, uvidíte odpovídajícího uživatele, roli pracovního prostoru a oprávnění. Členové role pracovního prostoru Správce, Člen a Přispěvatel mají přístup pro čtení a zápis k položkám v tomto pracovním prostoru. Čtenáři mají oprávnění ReadData a můžou dotazovat všechny tabulky a zobrazení v rámci skladu v daném pracovním prostoru. Uživatelům lze poskytnout oprávnění Ke čtení, ČteníData a ReadAll .
Oprávnění můžete přidat nebo odebrat pomocí možnosti Spravovat oprávnění:
- Odebrání přístupu odebere všechna oprávnění k položce.
- Odebrání ReadData odebere oprávnění ReadData.
- Odebrání readAll odebere oprávnění ReadAll .
- Odebrání sestavení odebere oprávnění k sestavení u odpovídajícího výchozího sémantického modelu.
Funkce ochrany dat
Datové sklady Microsoft Fabric podporují několik technologií, které můžou správci použít k ochraně citlivých dat před neoprávněným prohlížením. Zabezpečením nebo obfuzením dat před neoprávněnými uživateli nebo rolemi můžou tyto funkce zabezpečení poskytovat ochranu dat v koncovém bodu služby Warehouse i SQL Analytics bez změn aplikací.
- Zabezpečení na úrovni sloupců zabraňuje neoprávněnému zobrazení sloupců v tabulkách.
- Zabezpečení na úrovni řádků brání neoprávněnému zobrazení řádků v tabulkách pomocí známých
WHERE
predikátů filtru klauzulí. - Dynamické maskování dat zabraňuje neoprávněnému zobrazení citlivých dat pomocí masek, aby se zabránilo přístupu k dokončení, jako jsou e-mailové adresy nebo čísla.
Omezení
- Pokud zadáte oprávnění k položce nebo odeberete uživatele, kteří už oprávnění měli, může šíření oprávnění trvat až dvě hodiny. Nová oprávnění jsou okamžitě viditelná v části Spravovat oprávnění . Znovu se přihlaste, abyste měli jistotu, že se oprávnění projeví v koncovém bodu analýzy SQL.
- Sdílené příjemce mají přístup k skladu pomocí identity vlastníka (delegovaný režim). Ujistěte se, že vlastník skladu není z pracovního prostoru odebrán.
- Sdílené příjemce mají přístup pouze k skladu, který obdrží, a ne k žádným dalším položkám ve stejném pracovním prostoru jako Sklad. Pokud chcete ostatním uživatelům ve vašem týmu poskytnout oprávnění ke spolupráci na skladu (přístup pro čtení a zápis), přidejte je jako role pracovního prostoru, jako je člen nebo přispěvatel.
- Když v současné době sdílíte sklad a zvolíte Možnost Číst všechna data pomocí SQL, bude mít sdílený příjemce přístup k editoru skladu v režimu jen pro čtení. Tito sdílení příjemci mohou vytvářet dotazy, ale v současné době nemůžou ukládat své dotazy.
- Sdílení skladu je v současné době dostupné jenom prostřednictvím uživatelského prostředí.
- Pokud chcete poskytnout podrobný přístup ke konkrétním objektům v rámci skladu, sdílejte sklad bez dalších oprávnění a pak pomocí příkazu T-SQL GRANT poskytněte podrobný přístup ke konkrétním objektům. Další informace naleznete v tématu Syntaxe T-SQL pro GRANT, REVOKE a DENY.
- Pokud se v dialogovém okně sdílení zobrazí oprávnění ReadAll a oprávnění ReadData , aktualizujte stránku.
- Sdílené příjemce nemají oprávnění k opětovnému sdílení skladu.
- Pokud se sestava založená na skladu sdílí s jiným příjemcem, potřebuje sdílený příjemce pro přístup k sestavě více oprávnění. To závisí na režimu přístupu k sémantickému modelu pomocí Power BI:
- Pokud se k němu přistupuje prostřednictvím režimu přímého dotazu, musí se službě Warehouse poskytnout oprávnění ReadData (nebo podrobná oprávnění SQL ke konkrétním tabulkám a zobrazením).
- Pokud se k němu přistupuje prostřednictvím režimu Direct Lake, musí se do skladu poskytnout oprávnění ReadData (nebo podrobná oprávnění ke konkrétním tabulkám nebo zobrazením). Režim Direct Lake je výchozím typem připojení pro sémantické modely, které jako zdroj dat používají koncový bod služby Warehouse nebo SQL Analytics. Další informace najdete v režimu Direct Lake.
- Pokud se k němu přistupuje prostřednictvím režimu importu, nepotřebujete žádná další oprávnění.
- Sdílení skladu přímo s hlavním název služby (SPN) se v současné době nepodporuje.