Реализация безопасности на уровне столбцов в хранилище данных Fabric
Область применения:✅ конечная точка аналитики SQL и хранилище в Microsoft Fabric
Безопасность на уровне столбцов (CLS) в Microsoft Fabric позволяет управлять доступом к столбцам в таблице на основе конкретных грантов в этих таблицах. Дополнительные сведения см. в разделе "Безопасность на уровне столбцов" в хранилище данных Fabric.
В этом руководстве описаны шаги по реализации безопасности на уровне столбцов в конечной точке хранилища или аналитики SQL.
Прежде чем начать, убедитесь, что у вас есть следующее:
- Рабочая область Fabric с активной емкостью или пробной емкостью.
- Конечная точка хранилища Fabric или аналитики SQL в Lakehouse.
- Права администратора, члена или участника в рабочей области или повышенные разрешения на конечную точку хранилища или аналитики SQL.
- Войдите с помощью учетной записи с повышенными привилегиями в конечной точке хранилища или аналитики SQL. (Роль администратора или участника в рабочей области или разрешения на управление в конечной точке хранилища или аналитики SQL).
- Откройте рабочую область Fabric и перейдите к конечной точке хранилища или аналитики SQL, где необходимо применить безопасность на уровне столбцов.
Определите пользователей или ролей и таблицы данных, которые необходимо защитить с помощью безопасности на уровне столбцов.
Реализуйте безопасность на уровне столбцов с помощью инструкции GRANT T-SQL и списка столбцов. Для простоты управления назначение разрешений ролям предпочтительнее использовать отдельных лиц.
-- Grant select to subset of columns of a table GRANT SELECT ON YourSchema.YourTable (Column1, Column2, Column3, Column4, Column5) TO [SomeGroup];
Замените
YourSchema
на имя схемы иYourTable
имя целевой таблицы.Замените
SomeGroup
именем пользователя или группы.Замените список столбцов с разделителями-запятыми столбцами, к которым требуется предоставить доступ к роли.
Повторите эти действия, чтобы предоставить доступ к определенным столбцам для других таблиц при необходимости.
- Войдите в систему как пользователь, который является членом роли с связанной инструкцией GRANT.
- Запросите таблицы базы данных, чтобы убедиться, что безопасность на уровне столбцов работает должным образом. Пользователи должны видеть только столбцы, к которых у них есть доступ, и должны быть заблокированы от других столбцов. Например:
SELECT * FROM YourSchema.YourTable;
- Аналогичные результаты для пользователя будут отфильтрованы другими приложениями, используюющими проверку подлинности Microsoft Entra для доступа к базе данных. Дополнительные сведения см. в статье "Проверка подлинности Microsoft Entra" в качестве альтернативы проверке подлинности SQL в Microsoft Fabric.
Регулярно отслеживайте и обновляйте политики безопасности на уровне столбцов по мере развития требований безопасности. Следите за назначениями ролей и убедитесь, что у пользователей есть соответствующий доступ.