Реализация безопасности на уровне столбцов в хранилище данных Fabric

Область применения:✅ конечная точка аналитики SQL и хранилище в Microsoft Fabric

Безопасность на уровне столбцов (CLS) в Microsoft Fabric позволяет управлять доступом к столбцам в таблице на основе конкретных грантов в этих таблицах. Дополнительные сведения см. в разделе "Безопасность на уровне столбцов" в хранилище данных Fabric.

В этом руководстве описаны шаги по реализации безопасности на уровне столбцов в конечной точке хранилища или аналитики SQL.

Необходимые компоненты

Прежде чем начать, убедитесь, что у вас есть следующее:

  1. Рабочая область Fabric с активной емкостью или пробной емкостью.
  2. Конечная точка хранилища Fabric или аналитики SQL в Lakehouse.
  3. Права администратора, члена или участника в рабочей области или повышенные разрешения на конечную точку хранилища или аналитики SQL.

1. Подключение

  1. Войдите с помощью учетной записи с повышенными привилегиями в конечной точке хранилища или аналитики SQL. (Роль администратора или участника в рабочей области или разрешения на управление в конечной точке хранилища или аналитики SQL).
  2. Откройте рабочую область Fabric и перейдите к конечной точке хранилища или аналитики SQL, где необходимо применить безопасность на уровне столбцов.

2. Определение доступа на уровне столбцов для таблиц

  1. Определите пользователей или ролей и таблицы данных, которые необходимо защитить с помощью безопасности на уровне столбцов.

  2. Реализуйте безопасность на уровне столбцов с помощью инструкции GRANT T-SQL и списка столбцов. Для простоты управления назначение разрешений ролям предпочтительнее использовать отдельных лиц.

    -- Grant select to subset of columns of a table
    GRANT SELECT ON YourSchema.YourTable 
    (Column1, Column2, Column3, Column4, Column5) 
    TO [SomeGroup];
    
  3. Замените YourSchema на имя схемы и YourTable имя целевой таблицы.

  4. Замените SomeGroup именем пользователя или группы.

  5. Замените список столбцов с разделителями-запятыми столбцами, к которым требуется предоставить доступ к роли.

  6. Повторите эти действия, чтобы предоставить доступ к определенным столбцам для других таблиц при необходимости.

3. Проверка доступа на уровне столбца

  1. Войдите в систему как пользователь, который является членом роли с связанной инструкцией GRANT.
  2. Запросите таблицы базы данных, чтобы убедиться, что безопасность на уровне столбцов работает должным образом. Пользователи должны видеть только столбцы, к которых у них есть доступ, и должны быть заблокированы от других столбцов. Например:
    SELECT * FROM YourSchema.YourTable;
    
  3. Аналогичные результаты для пользователя будут отфильтрованы другими приложениями, используюющими проверку подлинности Microsoft Entra для доступа к базе данных. Дополнительные сведения см. в статье "Проверка подлинности Microsoft Entra" в качестве альтернативы проверке подлинности SQL в Microsoft Fabric.

4. Мониторинг и поддержание безопасности на уровне столбцов

Регулярно отслеживайте и обновляйте политики безопасности на уровне столбцов по мере развития требований безопасности. Следите за назначениями ролей и убедитесь, что у пользователей есть соответствующий доступ.