Säkerhet för datalagerhantering i Microsoft Fabric
Gäller för:✅ SQL-analysslutpunkt och lager i Microsoft Fabric
Den här artikeln beskriver säkerhetsämnen för att skydda SQL-analysslutpunkten för lakehouse och warehouse i Microsoft Fabric.
Information om Microsoft Fabric-säkerhet finns i Säkerhet i Microsoft Fabric.
Information om hur du ansluter till SQL-analysslutpunkten och informationslagret finns i Anslutning.
Åtkomstmodell för lager
Microsoft Fabric-behörigheter och detaljerade SQL-behörigheter fungerar tillsammans för att styra åtkomsten till informationslagret och användarbehörigheterna när de är anslutna.
- Informationslageranslutningen är beroende av att ha behörigheten Microsoft Fabric Read, som minst, för lagret.
- Med Microsoft Fabric-objektbehörigheter kan du ge en användare SQL-behörighet utan att behöva bevilja dessa behörigheter i SQL.
- Microsoft Fabric-arbetsyteroller ger Microsoft Fabric-behörigheter för alla lager på en arbetsyta.
- Detaljerade användarbehörigheter kan hanteras ytterligare via T-SQL.
Arbetsyteroller
Arbetsyteroller används för samarbete med utvecklingsteamet på en arbetsyta. Rolltilldelning avgör vilka åtgärder som är tillgängliga för användaren och gäller för alla objekt på arbetsytan.
- En översikt över Microsoft Fabric-arbetsyteroller finns i Roller i arbetsytor.
- Anvisningar om hur du tilldelar arbetsyteroller finns i Ge arbetsyteåtkomst.
Mer information om de specifika informationslagerfunktioner som tillhandahålls via arbetsyteroller finns i Arbetsyteroller i Informationslager för infrastrukturresurser.
Objektbehörigheter
Till skillnad från arbetsyteroller, som gäller för alla objekt i en arbetsyta, kan objektbehörigheter tilldelas direkt till enskilda lager. Användaren får den tilldelade behörigheten för det enskilda lagret. Det primära syftet med dessa behörigheter är att aktivera delning för nedströmsförbrukning av lagret.
Mer information om de specifika behörigheter som tillhandahålls för lager finns i Dela ditt lager och hantera behörigheter.
Detaljerad säkerhet
Arbetsyteroller och objektbehörigheter är ett enkelt sätt att tilldela grova behörigheter till en användare för hela lagret. I vissa fall behövs dock mer detaljerade behörigheter för en användare. För att uppnå detta kan standard-T-SQL-konstruktioner användas för att ge specifika behörigheter till användare.
Microsoft Fabric-datalager stöder flera dataskyddstekniker som administratörer kan använda för att skydda känsliga data från obehörig åtkomst. Genom att skydda eller dölja data från obehöriga användare eller roller kan dessa säkerhetsfunktioner ge dataskydd i både en slutpunkt för lager- och SQL-analys utan programändringar.
- Säkerhetskontroller på objektnivå kontrollerar åtkomsten till specifika databasobjekt.
- Säkerhet på kolumnnivå förhindrar obehörig visning av kolumner i tabeller.
- Säkerhet på radnivå förhindrar obehörig visning av rader i tabeller med hjälp av välbekanta
WHERE
satsfilterpredikat. - Dynamisk datamaskning förhindrar obehörig visning av känsliga data med hjälp av masker för att förhindra åtkomst till fullständiga, till exempel e-postadresser eller siffror.
Säkerhet på objektnivå
Säkerhet på objektnivå är en säkerhetsmekanism som styr åtkomsten till specifika databasobjekt, till exempel tabeller, vyer eller procedurer, baserat på användarbehörigheter eller roller. Det säkerställer att användare eller roller bara kan interagera med och manipulera de objekt som de har beviljats behörighet för, vilket skyddar integriteten och konfidentialiteten för databasschemat och dess associerade resurser.
Mer information om hur du hanterar detaljerade behörigheter i SQL finns i SQL-detaljerade behörigheter.
Säkerhet på radnivå
Säkerhet på radnivå är en databassäkerhetsfunktion som begränsar åtkomsten till enskilda rader eller poster i en databastabell baserat på angivna villkor, till exempel användarroller eller attribut. Det säkerställer att användare endast kan visa eller manipulera data som uttryckligen har behörighet för deras åtkomst, vilket förbättrar datasekretessen och kontrollen.
Mer information om säkerhet på radnivå finns i Säkerhet på radnivå i Informationslager för infrastrukturresurser.
Säkerhet på kolumnnivå
Säkerhet på kolumnnivå är ett databassäkerhetsmått som begränsar åtkomsten till specifika kolumner eller fält i en databastabell, så att användarna bara kan se och interagera med de auktoriserade kolumnerna samtidigt som känslig eller begränsad information döljs. Det ger detaljerad kontroll över dataåtkomst och skyddar konfidentiella data i en databas.
Mer information om säkerhet på kolumnnivå finns i Säkerhet på kolumnnivå i informationslager för infrastrukturresurser.
Dynamisk datamaskning
Dynamisk datamaskning hjälper till att förhindra obehörig visning av känsliga data genom att göra det möjligt för administratörer att ange hur mycket känsliga data som ska avslöjas, med minimal effekt på programskiktet. Dynamisk datamaskning kan konfigureras för avsedda databasfält för att dölja känsliga data i resultatuppsättningarna med frågor. Med dynamisk datamaskering ändras inte data i databasen, så de kan användas med befintliga program eftersom maskeringsregler tillämpas på frågeresultat. Många program kan maskera känsliga data utan att ändra befintliga frågor.
Mer information om dynamisk datamaskning finns i Dynamisk datamaskning i Fabric-datalager.
Dela ett lager
Delning är ett bekvämt sätt att ge användarna läsåtkomst till ditt lager för nedströmsförbrukning. Delning gör att nedströmsanvändare i din organisation kan använda ett lager med hjälp av SQL, Spark eller Power BI. Du kan anpassa den behörighetsnivå som den delade mottagaren beviljas för att ge lämplig åtkomstnivå.
Mer information om delning finns i Så här delar du ditt lager och hanterar behörigheter.
Vägledning om användaråtkomst
När du utvärderar behörigheterna för att tilldela till en användare bör du överväga följande vägledning:
- Endast gruppmedlemmar som för närvarande samarbetar med lösningen bör tilldelas till arbetsyteroller (administratör, medlem, deltagare), eftersom detta ger dem åtkomst till alla objekt på arbetsytan.
- Om de främst kräver skrivskyddad åtkomst tilldelar du dem till rollen Läsare och beviljar läsbehörighet för specifika objekt via T-SQL. Mer information finns i Hantera SQL-detaljerade behörigheter.
- Om de är högre privilegierade användare tilldelar du dem till administratörs-, medlems- eller deltagarroller. Lämplig roll är beroende av de andra åtgärder som de behöver utföra.
- Andra användare, som bara behöver åtkomst till ett enskilt lager eller endast behöver åtkomst till specifika SQL-objekt, bör ges behörigheter för infrastrukturobjekt och beviljas åtkomst via SQL till de specifika objekten.
- Du kan också hantera behörigheter för Microsoft Entra-ID-grupper (tidigare Azure Active Directory) i stället för att lägga till varje specifik medlem. Mer information finns i Microsoft Entra-autentisering som ett alternativ till SQL-autentisering i Microsoft Fabric.
Användargranskningsloggar
En uppsättning granskningsaktiviteter är tillgängliga via Microsoft Purview och PowerShell för att spåra användaraktiviteten i lager- och SQL-analysslutpunkten för att uppfylla kraven för regelefterlevnad och arkivhandlingar. Du kan använda användargranskningsloggar för att identifiera vem som vidtar vilken åtgärd som ska utföras på dina infrastrukturobjekt.
Mer information om hur du får åtkomst till användargranskningsloggar finns i Spåra användaraktiviteter i Microsoft Fabric and Operations-listan.