แชร์ข้อมูลของคุณและจัดการสิทธิ์

นําไปใช้กับ:✅Warehouse และ มิเรอร์ฐานข้อมูล ใน Microsoft Fabric

การแชร์เป็นวิธีที่สะดวกในการให้ผู้ใช้อ่านการเข้าถึงข้อมูลของคุณสําหรับปริมาณการใช้ปลายทาง การแชร์อนุญาตให้ผู้ใช้ปลายทางในองค์กรของคุณใช้ Warehouse โดยใช้ T-SQL, Spark หรือ Power BI คุณสามารถกําหนดระดับของสิทธิ์ที่ได้รับสิทธิ์ให้กําหนดระดับการเข้าถึงที่เหมาะสมให้กับผู้รับที่แชร์ได้

เริ่มต้นใช้งาน

หลังจากระบุรายการ Warehouse ที่คุณต้องการแชร์กับผู้ใช้รายอื่นในพื้นที่ทํางาน Fabric ของคุณแล้ว ให้เลือกการดําเนินการด่วนในแถวเพื่อแชร์

gif ภาพเคลื่อนไหวต่อไปนี้จะตรวจทานขั้นตอนในการเลือกคลังสินค้าที่จะแชร์ เลือกสิทธิ์ที่จะกําหนด จากนั้น จึงให้ สิทธิ์แก่ผู้ใช้อื่น

แชร์คลังสินค้า

1. คุณสามารถแชร์ Warehouse ของคุณจาก ฮับ ข้อมูล OneLake หรือรายการ Warehouse โดยเลือก แชร์ จากการดําเนินการด่วน ตามที่ไฮไลต์ในรูปภาพต่อไปนี้

   

2. คุณได้รับพร้อมท์พร้อมตัวเลือกเพื่อเลือกผู้ที่คุณต้องการแชร์ Warehouse สิทธิ์ใดและสิทธิ์ใดและพวกเขาจะได้รับการแจ้งเตือนทางอีเมลหรือไม่

3. กรอกเขตข้อมูลที่จําเป็นทั้งหมด เลือก ให้สิทธิ์การเข้าถึง

4. เมื่อผู้รับที่แชร์ได้รับอีเมล พวกเขาสามารถเลือก เปิด และนําทางไปยังหน้าฮับข้อมูลคลังสินค้าได้

   

5. ทั้งนี้ขึ้นอยู่กับระดับการเข้าถึงผู้รับที่ใช้ร่วมกันที่ได้รับอนุญาต ขณะนี้ผู้รับที่แชร์สามารถเชื่อมต่อกับจุดสิ้นสุดการวิเคราะห์ SQL คิวรี Warehouse สร้างรายงาน หรืออ่านข้อมูลผ่าน Spark

บทบาทความปลอดภัยของผ้า

นี่คือรายละเอียดเพิ่มเติมเกี่ยวกับแต่ละสิทธิ์ที่ให้ไว้:

• ถ้าไม่มีการเลือก สิทธิ์เพิ่มเติม - ผู้รับที่ใช้ร่วมกันตามค่าเริ่มต้นจะได้รับสิทธิ์ "อ่าน" ซึ่งอนุญาตให้ผู้รับ เชื่อมต่อกับ จุดสิ้นสุดการวิเคราะห์ SQL เท่านั้น ซึ่งเป็นการเทียบเท่าสิทธิ์ CONNECT ใน SQL Server ผู้รับที่ใช้ร่วมกันจะไม่สามารถสอบถามตารางหรือมุมมองใด ๆ หรือดําเนินการฟังก์ชันหรือกระบวนงานที่เก็บไว้ใด ๆ เว้นแต่ว่าจะสามารถเข้าถึงวัตถุภายในคลังสินค้าโดยใช้คําสั่ง T-SQL GRANT

• "อ่านข้อมูลทั้งหมดโดยใช้ SQL" ถูกเลือก (สิทธิ์ ReadData") - ผู้รับที่ใช้ร่วมกันสามารถอ่านวัตถุทั้งหมดภายในคลังสินค้า ReadData เทียบเท่ากับ บทบาท db_datareader ใน SQL Server ผู้รับที่ใช้ร่วมกันสามารถอ่านข้อมูลจากตารางและมุมมองทั้งหมดภายใน Warehouse ถ้าคุณต้องการจํากัดเพิ่มเติมและให้การเข้าถึงออบเจ็กต์บางอย่างภายในคลังสินค้าที่ละเอียด คุณสามารถทําเช่นนี้ได้โดยใช้คําสั่ง T-SQL GRANT/REVOKE/DENY

  • ในจุดสิ้นสุดการวิเคราะห์ SQL ของ Lakehouse "อ่านข้อมูลจุดสิ้นสุด SQL ทั้งหมด" เทียบเท่ากับ "อ่านข้อมูลทั้งหมดโดยใช้ SQL"

• "อ่านข้อมูลทั้งหมดโดยใช้ Apache Spark" ถูกเลือก (สิทธิ์ "ReadAll") - ผู้รับที่ใช้ร่วมกันได้อ่านการเข้าถึงไฟล์ parquet พื้นฐานใน OneLake ซึ่งสามารถใช้ได้โดยใช้ Spark ควรมี ReadAll เฉพาะเมื่อผู้รับที่แชร์ต้องการเข้าถึงไฟล์ของคลังสินค้าของคุณให้เสร็จสมบูรณ์โดยใช้โปรแกรม Spark

• กล่องกาเครื่องหมาย "สร้างรายงานบนชุดข้อมูลเริ่มต้น" ถูกเลือก (สิทธิ์ "สร้าง") - ผู้รับที่ใช้ร่วมกันสามารถสร้างรายงานที่ด้านบนของแบบจําลองความหมายเริ่มต้นที่เชื่อมต่อกับคลังสินค้าของคุณ ควรระบุรุ่น ถ้าผู้รับที่ใช้ร่วมกันต้องการ สิทธิ์ในการสร้าง บนแบบจําลองความหมายเริ่มต้น เพื่อสร้างรายงาน Power BI เกี่ยวกับข้อมูลนี้ ระบบจะ เลือกกล่องกาเครื่องหมายบิ ลด์ไว้ตามค่าเริ่มต้น แต่สามารถยกเลิกการเลือกกล่องกาเครื่องหมายได้

สิทธิ์การอ่านข้อมูล

ด้วย สิทธิ์การอ่านข้อมูล ผู้รับที่แชร์สามารถเปิดตัวแก้ไข Warehouse ในโหมดอ่านอย่างเดียว และสอบถามตารางและมุมมองภายใน Warehouse ได้ ผู้รับที่ใช้ร่วมกันยังสามารถเลือกที่จะคัดลอกจุดสิ้นสุดการวิเคราะห์ SQL ที่ให้มา และเชื่อมต่อกับเครื่องมือไคลเอ็นต์เพื่อเรียกใช้คิวรี่เหล่านี้ได้

สิทธิ์ ReadAll

ผู้รับที่ใช้ร่วมกันที่มีสิทธิ์ ReadAll สามารถค้นหา เส้นทาง Azure Blob File System (ABFS) ไปยังไฟล์ที่ระบุใน OneLake จากบานหน้าต่างคุณสมบัติในตัวแก้ไข Warehouse ได้ ผู้รับที่ใช้ร่วมกันสามารถใช้เส้นทางนี้ภายในสมุดบันทึก Spark เพื่ออ่านข้อมูลนี้ได้

ตัวอย่างเช่น ในสกรีนช็อตต่อไปนี้ ผู้ใช้ ที่มีสิทธิ์ ReadAll สามารถคิวรีข้อมูลใน FactSale ด้วยคิวรี Spark ในสมุดบันทึกใหม่ได้

สิทธิ์ในการสร้าง

ด้วยสิทธิ์ในการสร้าง ผู้รับที่แชร์สามารถสร้างรายงานที่ด้านบนของแบบจําลองความหมายเริ่มต้นที่เชื่อมต่อกับ Warehouse ได้ ผู้รับที่แชร์สามารถสร้างรายงาน Power BI จากฮับข้อมูล หรือทําเช่นเดียวกันโดยใช้ Power BI Desktop ได้

จัดการสิทธิ์

หน้า จัดการสิทธิ์ จะแสดงรายการผู้ใช้ที่ได้รับสิทธิ์การเข้าถึงโดยกําหนดบทบาทพื้นที่ทํางานหรือสิทธิ์รายการ

หากคุณเป็นสมาชิกของ บทบาทผู้ดูแลระบบ หรือ สมาชิก พื้นที่ทํางาน ให้ไปที่พื้นที่ทํางานของคุณและเลือก ตัวเลือกเพิ่มเติม จากนั้นเลือก จัดการสิทธิ์

สําหรับผู้ใช้ที่ได้รับบทบาทพื้นที่ทํางาน คุณจะเห็นผู้ใช้ บทบาทพื้นที่ทํางาน และสิทธิ์ที่สอดคล้องกัน สมาชิกของบทบาทผู้ดูแลระบบ สมาชิก และผู้สนับสนุนของพื้นที่ทํางานมีการเข้าถึงแบบอ่าน/เขียนในพื้นที่ทํางานนี้ ผู้ชมมีสิทธิ์ ReadData และสามารถคิวรีตารางและมุมมองทั้งหมดภายในคลังสินค้าในพื้นที่ทํางานนั้นได้ สิทธิ์รายการการอ่าน ReadData และ ReadAll สามารถมอบให้กับผู้ใช้ได้

คุณสามารถเลือกที่จะเพิ่มหรือลบสิทธิ์โดยใช้ จัดการสิทธิ์:

• ลบการเข้าถึง จะลบสิทธิ์ของรายการทั้งหมด
• เอา ReadData ออก เพื่อ เอาสิทธิ์ ReadData ออก
• ลบ ReadAll เอา สิทธิ์ ReadAll ออก
• ลบสิทธิ์ในการสร้าง จะ ลบสิทธิ์ในการสร้าง บนแบบจําลองความหมายเริ่มต้นที่สอดคล้องกัน

คุณลักษณะการป้องกันข้อมูล

คลังข้อมูล Microsoft Fabric สนับสนุนเทคโนโลยีหลายอย่างที่ผู้ดูแลระบบสามารถใช้เพื่อปกป้องข้อมูลที่สําคัญจากการดูโดยไม่ได้รับอนุญาต ด้วยการรักษาความปลอดภัยหรือการขัดขวางข้อมูลจากผู้ใช้หรือบทบาทที่ไม่ได้รับอนุญาต คุณลักษณะการรักษาความปลอดภัยเหล่านี้สามารถให้การป้องกันข้อมูลทั้งในจุดสิ้นสุดการวิเคราะห์คลังสินค้าและ SQL โดยไม่มีการเปลี่ยนแปลงของแอปพลิเคชัน

• การรักษาความปลอดภัย ระดับคอลัมน์ป้องกันการดูคอลัมน์ในตารางโดยไม่ได้รับอนุญาต
• การรักษาความปลอดภัยระดับแถวป้องกันการดูแถวในตารางโดยไม่ได้รับอนุญาตโดยใช้เพรดิเคตตัวกรองส่วนคําสั่งที่คุ้นเคยWHERE
• การมาสก์ข้อมูลแบบไดนามิกจะป้องกันการ ดูข้อมูลที่สําคัญโดยไม่ได้รับอนุญาตโดยใช้รูปแบบเพื่อป้องกันการเข้าถึงให้เสร็จสมบูรณ์ เช่น ที่อยู่อีเมลหรือตัวเลข

ข้อจำกัด

• ถ้าคุณให้สิทธิ์รายการหรือลบผู้ใช้ที่มีสิทธิ์ก่อนหน้านี้การเผยแพร่สิทธิ์อาจใช้เวลาถึงสองชั่วโมง สิทธิ์ใหม่จะปรากฏใน จัดการสิทธิ์ ทันที ลงชื่อเข้าใช้อีกครั้งเพื่อให้แน่ใจว่าสิทธิ์จะแสดงอยู่ในจุดสิ้นสุดการวิเคราะห์ SQL ของคุณ
• ผู้รับที่ใช้ร่วมกันสามารถเข้าถึง Warehouse ได้โดยใช้ข้อมูลประจําตัวของเจ้าของ (โหมดที่ได้รับมอบสิทธิ์) ตรวจสอบให้แน่ใจว่าเจ้าของคลังสินค้าไม่ได้ถูกลบออกจากพื้นที่ทํางาน
• ผู้รับที่ใช้ร่วมกันเท่านั้นที่มีสิทธิ์เข้าถึงคลังสินค้าที่ได้รับและไม่ใช่รายการอื่นใดภายในพื้นที่ทํางานเดียวกันกับคลังสินค้า หากคุณต้องการให้สิทธิ์สําหรับผู้ใช้รายอื่นในทีมของคุณเพื่อทํางานร่วมกันบน Warehouse (อ่านและเขียนการเข้าถึง) ให้เพิ่มผู้ใช้เหล่านั้นเป็นบทบาทของพื้นที่ทํางาน เช่น สมาชิก หรือ ผู้สนับสนุน
• ขณะนี้ เมื่อคุณแชร์ Warehouse และเลือก อ่านข้อมูลทั้งหมดโดยใช้ SQL ผู้รับที่แชร์สามารถเข้าถึงตัวแก้ไข Warehouse ในโหมดอ่านอย่างเดียวได้ ผู้รับที่ใช้ร่วมกันเหล่านี้สามารถสร้างคิวรีได้ แต่ไม่สามารถบันทึกคิวรีของตนได้ในขณะนี้
• ในขณะนี้ การแชร์ Warehouse จะพร้อมใช้งานผ่านประสบการณ์ของผู้ใช้เท่านั้น
• ถ้าคุณต้องการกําหนดการเข้าถึงที่ละเอียดของออบเจ็กต์ที่เฉพาะเจาะจงภายใน Warehouse ให้แชร์ Warehouse โดยไม่มีสิทธิ์เพิ่มเติม จากนั้นกําหนดการเข้าถึงออบเจ็กต์เฉพาะแบบแยกย่อยโดยใช้คําสั่ง T-SQL GRANT สําหรับข้อมูลเพิ่มเติม โปรดดูไวยากรณ์ T-SQL สําหรับ GRANT, REVOKE และ DENY
• ถ้าคุณเห็นว่า สิทธิ์ ReadAll และ สิทธิ์ ReadData ถูกปิดใช้งานในกล่องโต้ตอบการแชร์ ให้รีเฟรชหน้า
• ผู้รับที่ใช้ร่วมกันไม่มีสิทธิ์ในการแชร์คลังสินค้าต่อ
• ถ้ามีการแชร์รายงานที่สร้างขึ้นที่ด้านบนของ Warehouse กับผู้รับอื่น ผู้รับที่แชร์จะต้องมีสิทธิ์เพิ่มเติมในการเข้าถึงรายงาน ขึ้นอยู่กับโหมดของ การเข้าถึงแบบจําลองความหมายโดย Power BI:
  • ถ้าเข้าถึงผ่านโหมดคิวรีโดยตรง จะต้องมีการกําหนดสิทธิ์ ReadData (หรือสิทธิ์ SQL ระดับแยกย่อยไปยังตาราง/มุมมองที่เฉพาะเจาะจง) ให้กับคลังสินค้า
  • ถ้าเข้าถึงผ่าน โหมด Direct Lake จะต้องมี การอนุญาต ReadData (หรือ สิทธิ์ ที่แยกย่อยไปยังตาราง/มุมมองที่เฉพาะเจาะจง) ไปยังคลังสินค้า โหมด Direct Lake เป็นชนิดการเชื่อมต่อเริ่มต้นสําหรับแบบจําลองความหมายที่ใช้จุดสิ้นสุดคลังสินค้าหรือการวิเคราะห์ SQL เป็นแหล่งข้อมูล สําหรับข้อมูลเพิ่มเติม โปรดดู โหมด Direct Lake
  • ถ้าเข้าถึงผ่าน โหมด การนําเข้า จะไม่จําเป็นต้องมีสิทธิ์เพิ่มเติม
  • ในขณะนี้ การแชร์คลังสินค้าโดยตรงด้วย SPN ไม่ได้รับการสนับสนุน

เนื้อหาที่เกี่ยวข้อง

• คิวรีจุดสิ้นสุดการวิเคราะห์ SQL หรือ Warehouse ใน Microsoft Fabric
• วิธีใช้สมุดบันทึก Microsoft Fabric
• เข้าถึงทางลัด Fabric OneLake ในสมุดบันทึก Apache Spark
• นําทางไปยังตัวสํารวจ Fabric Lakehouse
• GRANT (ทําธุรกรรม-SQL)