Microsoft Fabric'te veri ambarı güvenliği

Şunlar için geçerlidir:✅ Microsoft Fabric'te SQL analiz uç noktası ve Ambarı

Bu makale, lakehouse ve Microsoft Fabric'teki Warehouse'un SQL analiz uç noktasının güvenliğini sağlamaya yönelik güvenlik konularını kapsar.

Microsoft Fabric güvenliği hakkında bilgi için bkz . Microsoft Fabric'te güvenlik.

SQL analytics uç noktasına ve Ambarı'na bağlanma hakkında bilgi için bkz . Bağlantı.

Ambar erişim modeli

Microsoft Fabric izinleri ve ayrıntılı SQL izinleri, bağlandıktan sonra Ambar erişimini ve kullanıcı izinlerini idare etmek için birlikte çalışır.

  • Ambar bağlantısı, En azından Ambar için Microsoft Fabric Okuma izninin verilmesine bağlıdır.
  • Microsoft Fabric öğe izinleri, sql içinde bu izinleri vermek zorunda kalmadan bir kullanıcıya SQL izinleri sağlama olanağı sağlar.
  • Microsoft Fabric çalışma alanı rolleri, çalışma alanı içindeki tüm ambarlar için Microsoft Fabric izinleri sağlar.
  • Ayrıntılı kullanıcı izinleri T-SQL aracılığıyla daha fazla yönetilebilir.

Çalışma alanı rolleri

Çalışma alanı rolleri, bir çalışma alanı içinde geliştirme ekibi işbirliği için kullanılır. Rol ataması, kullanıcının kullanabileceği eylemleri belirler ve çalışma alanı içindeki tüm öğelere uygulanır.

Çalışma alanı rolleri aracılığıyla sağlanan belirli Ambar özellikleri hakkında ayrıntılı bilgi için bkz . Doku veri ambarında çalışma alanı rolleri.

Öğe izinleri

Çalışma alanı içindeki tüm öğeler için geçerli olan çalışma alanı rollerinin aksine, öğe izinleri doğrudan tek tek Ambarlara atanabilir. Kullanıcı, bu tek ambarda atanan izni alır. Bu izinlerin birincil amacı, Ambar'ın aşağı akış tüketimi için paylaşımı etkinleştirmektir.

Ambarlar için sağlanan belirli izinler hakkında ayrıntılı bilgi için bkz . Ambarınızı paylaşma ve izinleri yönetme.

Ayrıntılı güvenlik

Çalışma alanı rolleri ve öğe izinleri, kullanıcıya ambarın tamamı için kaba izinler atamanın kolay bir yolunu sağlar. Ancak bazı durumlarda kullanıcı için daha ayrıntılı izinler gerekir. Bunu başarmak için standart T-SQL yapıları, kullanıcılara belirli izinler sağlamak için kullanılabilir.

Microsoft Fabric veri ambarı, yöneticilerin hassas verileri yetkisiz erişimden korumak için kullanabileceği çeşitli veri koruma teknolojilerini destekler. Yetkisiz kullanıcıların veya rollerin verilerinin güvenliğini sağlayarak veya gizleyerek, bu güvenlik özellikleri uygulama değişiklikleri olmadan hem Ambar hem de SQL analiz uç noktasında veri koruması sağlayabilir.

  • Nesne düzeyinde güvenlik , belirli veritabanı nesnelerine erişimi denetler.
  • Sütun düzeyinde güvenlik , tablolardaki sütunların yetkisiz görüntülenmesini engeller.
  • Satır düzeyi güvenlik , tanıdık WHERE yan tümce filtresi koşullarını kullanarak tablolardaki satırların yetkisiz görüntülenmesini önler.
  • Dinamik veri maskeleme , e-posta adresleri veya numaralar gibi erişimin tamamlanmasını önlemek için maskeler kullanarak hassas verilerin yetkisiz görüntülenmesini önler.

Nesne düzeyinde güvenlik

Nesne düzeyinde güvenlik, kullanıcı ayrıcalıklarına veya rollerine göre tablolar, görünümler veya yordamlar gibi belirli veritabanı nesnelerine erişimi denetleyan bir güvenlik mekanizmasıdır. Kullanıcıların veya rollerin yalnızca izin verilen nesnelerle etkileşim kurabilmesini ve bunları işleyebilmesini, veritabanı şemasının ve ilişkili kaynaklarının bütünlüğünü ve gizliliğini korumasını sağlar.

SQL'de ayrıntılı izinleri yönetme hakkında ayrıntılı bilgi için bkz . SQL ayrıntılı izinleri.

Satır düzeyi güvenlik

Satır düzeyi güvenlik, kullanıcı rolleri veya öznitelikleri gibi belirtilen ölçütlere göre veritabanı tablosundaki tek tek satırlara veya kayıtlara erişimi kısıtlayan bir veritabanı güvenlik özelliğidir. Kullanıcıların yalnızca erişimleri için açıkça yetkilendirilmiş verileri görüntüleyebilmesini veya işleyebilmesini sağlayarak veri gizliliğini ve denetimini geliştirebilir.

Satır düzeyi güvenlikle ilgili ayrıntılar için bkz . Doku veri ambarında satır düzeyi güvenlik.

Sütun düzeyi güvenlik

Sütun düzeyinde güvenlik, bir veritabanı tablosundaki belirli sütunlara veya alanlara erişimi sınırlayan, kullanıcıların hassas veya kısıtlanmış bilgileri gizlerken yalnızca yetkili sütunları görmesine ve bunlarla etkileşim kurmasına olanak sağlayan bir veritabanı güvenlik önlemidir. Veri erişimi üzerinde ayrıntılı denetim sağlayarak bir veritabanındaki gizli verileri korur.

Sütun düzeyinde güvenlikle ilgili ayrıntılar için bkz . Doku veri ambarında sütun düzeyinde güvenlik.

Dinamik veri maskeleme

Dinamik veri maskeleme, yöneticilerin uygulama katmanı üzerinde en az etkiyle ne kadar hassas veri ortaya çıkaracağını belirtmesine olanak tanıyarak hassas verilerin yetkisiz görüntülenmesini önlemeye yardımcı olur. Dinamik veri maskeleme, sorgu sonuç kümelerindeki hassas verileri gizlemek için belirlenen veritabanı alanlarında yapılandırılabilir. Dinamik veri maskeleme ile veritabanındaki veriler değiştirilmez, bu nedenle maskeleme kuralları sorgu sonuçlarına uygulandığından mevcut uygulamalarla kullanılabilir. Birçok uygulama, var olan sorguları değiştirmeden hassas verileri maskeleyebilir.

Dinamik veri maskeleme hakkında ayrıntılı bilgi için bkz . Doku veri ambarında dinamik veri maskeleme.

Ambarı paylaşma

Paylaşım, kullanıcılara aşağı akış tüketimi için Ambarınıza okuma erişimi sağlamanın kullanışlı bir yoludur. Paylaşım, kuruluşunuzdaki aşağı akış kullanıcılarının SQL, Spark veya Power BI kullanarak bir Ambar kullanmasına olanak tanır. Uygun erişim düzeyini sağlamak için paylaşılan alıcıya verilen izin düzeyini özelleştirebilirsiniz.

Paylaşım hakkında daha fazla bilgi için bkz . Ambarınızı paylaşma ve izinleri yönetme.

Kullanıcı erişimiyle ilgili kılavuz

Kullanıcıya atama izinlerini değerlendirirken aşağıdaki yönergeleri göz önünde bulundurun:

  • Yalnızca şu anda çözüm üzerinde işbirliği yapan ekip üyeleri Çalışma Alanı rollerine (Yönetici, Üye, Katkıda Bulunan) atanmalıdır, bu da çalışma alanı içindeki tüm Öğelere erişim sağlar.
  • Birincil olarak salt okunur erişime ihtiyaç duyuyorlarsa, bunları Görüntüleyici rolüne atayın ve T-SQL aracılığıyla belirli nesnelere okuma erişimi verin. Daha fazla bilgi için bkz . SQL ayrıntılı izinlerini yönetme.
  • Daha yüksek ayrıcalıklı kullanıcılarsa, bunları Yönetici, Üye veya Katkıda Bulunan rollerine atayın. Uygun rol, gerçekleştirmesi gereken diğer eylemlere bağlıdır.
  • Yalnızca tek bir ambara erişmesi gereken veya yalnızca belirli SQL nesnelerine erişim gerektiren diğer kullanıcılara Yapı Öğesi izinleri verilmelidir ve sql üzerinden belirli nesnelere erişim verilmelidir.
  • Belirli üyeleri eklemek yerine Microsoft Entra Id (eski adıYla Azure Active Directory) gruplarında izinleri yönetebilirsiniz. Daha fazla bilgi için bkz . Microsoft Fabric'te SQL kimlik doğrulamasına alternatif olarak Microsoft Entra kimlik doğrulaması.

Kullanıcı denetim günlükleri

Mevzuat uyumluluğu ve kayıt yönetimi gereksinimlerini karşılamak üzere ambar ve SQL analiz uç noktasındaki kullanıcı etkinliğini izlemek için, microsoft Purview ve PowerShell aracılığıyla bir dizi denetim etkinliğine erişilebilir. Doku öğelerinizde kimin hangi eylemi yaptığını belirlemek için kullanıcı denetim günlüklerini kullanabilirsiniz.

Kullanıcı denetim günlüklerine erişme hakkında daha fazla bilgi için bkz . Microsoft Fabric ve Operations'ta kullanıcı etkinliklerini izleme listesi.