Condividere i dati e gestire le autorizzazioni

Si applica a:Warehouse e Database con mirroring in Microsoft Fabric

La condivisione è un modo pratico per fornire agli utenti l'accesso in lettura ai dati per l'utilizzo downstream. La condivisione consente agli utenti downstream dell'organizzazione di usare un warehouse usando T-SQL, Spark o Power BI. È possibile personalizzare il livello di autorizzazioni concesse dal destinatario condiviso per fornire il livello di accesso appropriato.

Nota

Per condividere un elemento in Microsoft Fabric, è necessario essere un amministratore o un membro dell'area di lavoro.

Operazioni preliminari

Dopo aver identificato l'elemento Warehouse che si vuole condividere con un altro utente nell'area di lavoro Infrastruttura, selezionare l'azione rapida nella riga su Condividi.

La gif animata seguente esamina i passaggi per selezionare un warehouse da condividere, per selezionare le autorizzazioni da assegnare e, infine, per Concedere le autorizzazioni a un altro utente.

Gif animata che mostra l'interazione con il portale di Fabric in cui un utente condivide un warehouse in Microsoft Fabric con un altro utente.

Condividere un warehouse

  1. È possibile condividere il warehouse dall'hub dati di OneLake o dall'elemento Warehouse scegliendo Condividere dall'azione rapida, come evidenziato nell'immagine seguente.

    Screenshot che mostra come condividere un warehouse nella pagina dell'hub dati di OneLake.

  2. Vengono richieste opzioni per selezionare chi si vuole condividere il warehouse, con quali autorizzazioni concedere e se verranno inviate notifiche tramite posta elettronica.

  3. Compilare tutti i campi obbligatori, selezionare Concedi accesso.

  4. Quando il destinatario condiviso riceve il messaggio di posta elettronica, può selezionare Apri e passare alla pagina Hub dati warehouse.

    Screenshot che mostra la notifica tramite posta elettronica dell'utente condiviso di un warehouse condiviso.

  5. A seconda del livello di accesso concesso al destinatario condiviso, il destinatario condiviso è ora in grado di connettersi all'endpoint di analisi SQL, eseguire query su Warehouse, compilare report o leggere i dati tramite Spark.

Ruoli di sicurezza dell'infrastruttura

Ecco altri dettagli su ognuna delle autorizzazioni fornite:

  • Se non sono selezionate autorizzazioni aggiuntive: il destinatario condiviso per impostazione predefinita riceve l'autorizzazione "Lettura", che consente solo al destinatario di connettersi all'endpoint di analisi SQL, equivalente alle autorizzazioni CONNECT in SQL Server. Il destinatario condiviso non sarà in grado di eseguire query su alcuna tabella o vista o eseguire alcuna funzione o stored procedure, a meno che non venga fornito l'accesso agli oggetti all'interno del Warehouse usando l'istruzione T-SQL GRANT .

Suggerimento

ReadData (usato dal warehouse per le autorizzazioni T-SQL), ReadAll (usato da OneLake e dall'endpoint di analisi SQL) e Build (usato da Power BI) sono autorizzazioni separate che non si sovrappongono.

  • È selezionata l'opzione "Read all data using SQL" (Autorizzazioni "ReadData") - Il destinatario condiviso può leggere tutti gli oggetti all'interno del Warehouse. ReadData equivale al ruolo db_datareader in SQL Server. Il destinatario condiviso può leggere i dati da tutte le tabelle e le viste all'interno del warehouse. Se si vuole limitare ulteriormente e fornire l'accesso granulare ad alcuni oggetti all'interno di Warehouse, è possibile farlo usando istruzioni T-SQLGRANTDENY/REVOKE/.

    • Nell'endpoint di analisi SQL di Lakehouse "Leggere tutti i dati dell'endpoint SQL" equivale a "Leggere tutti i dati usando SQL".
  • L'opzione "Lettura di tutti i dati con Apache Spark" è selezionata (Autorizzazioni “ReadAll"): il destinatario condiviso ha accesso in lettura ai file Parquet sottostanti in OneLake, che possono essere utilizzati tramite Spark. ReadAll deve essere fornito solo se il destinatario condiviso vuole completare l'accesso ai file del warehouse utilizzando il motore Spark.

  • La casella di controllo "Compila report nel set di dati predefinito" è selezionata ("Autorizzazioni di compilazione"): il destinatario condiviso può compilare report sopra il modello semantico predefinito connesso al warehouse. La compilazione deve essere fornita se il destinatario condiviso desidera autorizzazioni di compilazione per il modello semantico predefinito, per creare report di Power BI su questi dati. La casella di controllo Compilazione è selezionata per impostazione predefinita, ma può essere deselezionata.

Autorizzazioni ReadData

Grazie alle autorizzazioni ReadData il destinatario condiviso può aprire l'editor warehouse in modalità di sola lettura ed eseguire query su tabelle e viste all'interno del warehouse. Inoltre, il destinatario condiviso può scegliere di copiare l'endpoint di analisi SQL fornito e connettersi a uno strumento client per eseguire queste query.

Autorizzazioni ReadAll

Un destinatario condiviso con autorizzazioni ReadAll può trovare il percorso Azure Blob File System (ABFS) per il file specifico in OneLake dal riquadro Proprietà nell'editor warehouse. Il destinatario condiviso può quindi usare questo percorso all'interno di un notebook Spark per leggere questi dati.

Nello screenshot seguente, ad esempio, un utente con autorizzazioni ReadAll può eseguire query sui dati in FactSale con una query Spark in un nuovo notebook.

Screenshot del portale di Fabric in cui un utente apre un notebook Spark per eseguire una query sul collegamento warehouse.

Autorizzazioni di compilazione

Grazie alle autorizzazioni Compilazione, il destinatario condiviso può creare report sopra il modello semantico predefinito connesso al warehouse. Il destinatario condiviso può creare report di Power BI dall'hub dati oppure eseguire le stesse operazioni anche usando Power BI Desktop.

Gestisci autorizzazioni

La pagina Gestisci autorizzazioni mostra l'elenco degli utenti a cui è stato concesso l'accesso assegnando ai ruoli dell'area di lavoro o alle autorizzazioni degli elementi.

Se si è membri dei ruoli dell'area di lavoro Amministratore o Membro , passare all'area di lavoro e selezionare Altre opzioni. Quindi selezionare Gestisci autorizzazioni.

Screenshot che mostra un utente che seleziona Gestisci autorizzazioni nel menu contestuale del warehouse.

Per gli utenti che hanno fornito ruoli dell'area di lavoro, verranno visualizzati l'utente, il ruolo dell'area di lavoro e le autorizzazioni corrispondenti. I membri dei ruoli dell'area di lavoro Amministratore, Membro e Collaboratore hanno accesso in lettura/scrittura agli elementi in questa area di lavoro. I visualizzatori dispongono delle autorizzazioni ReadData e possono eseguire query su tutte le tabelle e le viste all'interno del warehouse in tale area di lavoro. Le autorizzazioni per gli elementi Read, ReadData e ReadAll possono essere fornite agli utenti.

Screenshot che mostra la pagina Gestisci autorizzazioni del warehouse nel portale di Fabric.

È possibile scegliere di aggiungere o rimuovere autorizzazioni usando Gestisci autorizzazioni:

  • Rimuovi accesso rimuove le autorizzazioni per tutti gli elementi.
  • Rimuovi ReadData rimuove le autorizzazioni ReadData.
  • Rimuovi ReadAll rimuove le autorizzazioni ReadAll.
  • Rimuovi la compilazione rimuove le autorizzazioni di compilazione per il modello semantico predefinito corrispondente.

Screenshot che mostra un utente che rimuove l'autorizzazione ReadAll di un destinatario condiviso.

Funzionalità di protezione dei dati

Archiviazione dati di Microsoft Fabric supporta diverse tecnologie che gli amministratori possono usare per proteggere i dati sensibili da visualizzazioni non autorizzate. Proteggendo o offuscando i dati da utenti o ruoli non autorizzati, queste funzionalità di sicurezza possono fornire protezione dei dati in un endpoint warehouse e di analisi SQL senza modifiche dell'applicazione.

Limiti

  • Se si forniscono autorizzazioni per gli elementi o si rimuovono gli utenti che in precedenza disponevano delle autorizzazioni, la propagazione delle autorizzazioni può richiedere fino a due ore. Le nuove autorizzazioni sono visibili immediatamente in Gestire le autorizzazioni . Accedere di nuovo per accertarsi che le autorizzazioni vengano riflesse nell'endpoint di analisi SQL.
  • I destinatari condivisi possono accedere al warehouse usando l'identità del proprietario (modalità delegata). Assicurarsi che il proprietario del warehouse non venga rimosso dall'area di lavoro.
  • I destinatari condivisi hanno accesso solo al warehouse che ricevono e non ad altri elementi all'interno della stessa area di lavoro del warehouse. Se si vogliono fornire autorizzazioni ad altri utenti del team per collaborare al warehouse (accesso in lettura e scrittura), aggiungerle come ruoli dell'area di lavoro, ad esempio Membro o Collaboratore.
  • Attualmente, quando si condivide un warehouse e si sceglie Leggere tutti i dati usando SQL, il destinatario condiviso può accedere all'editor del warehouse in modalità di sola lettura. Questi destinatari condivisi possono creare query, ma attualmente non possono salvare le query.
  • Al momento, la condivisione di un warehouse è disponibile solo tramite l'esperienza utente.
  • Se si vuole fornire un accesso granulare a oggetti specifici all'interno del warehouse, condividere il warehouse senza autorizzazioni aggiuntive, quindi fornire l'accesso granulare a oggetti specifici usando l'istruzione T-SQL GRANT. Per altre informazioni, vedere Sintassi T-SQL per GRANT, REVOKE e DENY.
  • Se si nota che le autorizzazioni ReadAll e ReadData sono disabilitate nella finestra di dialogo di condivisione, aggiornare la pagina.
  • I destinatari condivisi non dispongono dell'autorizzazione per ricondividere un warehouse.
  • Se un report basato su warehouse viene condiviso con un altro destinatario, il destinatario condiviso necessita di più autorizzazioni per accedere al report. Questo dipende dalla modalità di accesso al modello semantico da parte di Power BI:
    • Se si accede tramite Modalità di query Direct, è necessario fornire le autorizzazioni ReadData (o autorizzazioni SQL granulari per tabelle/viste specifiche) al warehouse.
    • Se si accede tramite la modalità Direct Lake, è necessario fornire autorizzazioni ReadData (o autorizzazioni granulari per tabelle/viste specifiche) al warehouse. La modalità Direct Lake è il tipo di connessione predefinito per i modelli semantici che usano un warehouse o un endpoint di analisi SQL come origine dati. Per altre informazioni, vedere Modalità Direct Lake.
    • Se si accede tramite Modalità di importazione non sono necessarie autorizzazioni aggiuntive.
    • Attualmente, la condivisione di un magazzino direttamente con un nome SPN non è supportata.