Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Si applica a:✅Warehouse e Database replicato in Microsoft Fabric
La condivisione è un modo pratico per fornire agli utenti l'accesso in lettura ai dati per l'utilizzo downstream. La condivisione consente agli utenti downstream dell'organizzazione di usare un warehouse usando T-SQL, Spark o Power BI. È possibile personalizzare il livello di autorizzazioni concesse dal destinatario condiviso per fornire il livello di accesso appropriato.
Nota
Per condividere un elemento in Microsoft Fabric, è necessario essere un amministratore o un membro dell'area di lavoro.
Inizia
Dopo aver identificato l'elemento magazzino che si desidera condividere con un altro utente nell'area di lavoro Fabric, selezionare l'azione rapida nella riga su Condividi.
La gif animata seguente esamina i passaggi per selezionare un warehouse da condividere, per selezionare le autorizzazioni da assegnare e, infine, per Concedere le autorizzazioni a un altro utente.
Condividere un magazzino
È possibile condividere il Magazzino dall'elemento OneLake o Warehouse selezionando l'azione rapida Condividi, come evidenziato nell'immagine seguente.
Vengono richieste opzioni per selezionare chi si vuole condividere il warehouse, con quali autorizzazioni concedere e se verranno inviate notifiche tramite posta elettronica.
Compilare tutti i campi obbligatori, selezionare Concedi accesso.
Quando il destinatario condiviso riceve il messaggio di posta elettronica, può selezionare Apri e passare alla pagina del catalogo Warehouse OneLake.
A seconda del livello di accesso concesso al destinatario condiviso, il destinatario condiviso è ora in grado di connettersi all'endpoint di analisi SQL, eseguire query su Warehouse, compilare report o leggere i dati tramite Spark.
Ruoli di sicurezza del fabric
Ecco altri dettagli su ognuna delle autorizzazioni fornite:
Se non sono selezionate autorizzazioni aggiuntive: il destinatario condiviso per impostazione predefinita riceve l'autorizzazione "Lettura", che consente solo al destinatario di connettersi all'endpoint di analisi SQL, equivalente alle autorizzazioni CONNECT in SQL Server. Il destinatario condiviso non sarà in grado di eseguire query su alcuna tabella o visualizzazione, né di eseguire alcuna funzione o procedura memorizzata, a meno che non venga fornito l'accesso agli oggetti tramite l'istruzione T-SQL GRANT nel sistema Warehouse.
Suggerimento
ReadData (usato dal warehouse per le autorizzazioni T-SQL), ReadAll (usato da OneLake e dall'endpoint di analisi SQL) e Build (usato da Power BI) sono autorizzazioni separate che non si sovrappongono.
L'opzione "Read all data using SQL" (autorizzazioni "ReadData") è selezionata - Il destinatario condiviso può visualizzare tutte le tabelle e le viste all'interno del Warehouse in modalità di sola lettura. Inoltre, il destinatario condiviso può scegliere di copiare l'endpoint di analisi SQL fornito e connettersi a uno strumento client per eseguire queste query. ReadData equivale al ruolo db_datareader in SQL Server. Se si vuole limitare ulteriormente e fornire l'accesso granulare ad alcuni oggetti all'interno di Warehouse, è possibile farlo usando istruzioni T-SQL
GRANT/REVOKE/DENY.- Nell'endpoint di analisi SQL di Lakehouse "Leggere tutti i dati dell'endpoint SQL" equivale a "Leggere tutti i dati usando SQL".
L'opzione "Read all data using Apache Spark" (autorizzazioni "ReadAll) è selezionata - Fornire autorizzazioni ReadAll al destinatario condiviso solo se gli/le si vuole concedere accesso completo ai file del warehouse usando il motore Spark. Un destinatario condiviso con autorizzazioni ReadAll può trovare il percorso Azure Blob File System (ABFS) per il file specifico in OneLake dal riquadro Proprietà nell'editor warehouse. Il destinatario condiviso può quindi usare questo percorso all'interno di un notebook Spark per leggere questi dati.
Nello screenshot seguente, ad esempio, un utente con permessi ReadAll può eseguire interrogazioni sui dati in
FactSaleutilizzando una query Spark in un nuovo notebook.
L'opzione "Build reports on the default dataset" (autorizzazioni "Build") è selezionata - iIl destinatario condiviso può compilare report oltre al modello semantico predefinito connesso al warehouse per creare report di Power BI su questi dati dal catalogo di OneLake o da Power BI Desktop. La casella di controllo Compilazione è selezionata per impostazione predefinita, ma può essere deselezionata.
Gestisci autorizzazioni
La pagina Gestisci autorizzazioni mostra l'elenco degli utenti a cui è stato concesso l'accesso tramite l'assegnazione ai ruoli dell'area di lavoro o tramite le autorizzazioni degli elementi.
Se si è membri dei ruoli dell'area di lavoro Amministratore o Membro , passare all'area di lavoro e selezionare Altre opzioni. Quindi selezionare Gestisci autorizzazioni.
Per gli utenti che hanno fornito ruoli dell'area di lavoro, verranno visualizzati l'utente, il ruolo dell'area di lavoro e le autorizzazioni corrispondenti.
Nella tabella seguente sono elencate le autorizzazioni predefinite per ogni ruolo ed è indicato se l'autorizzazione sia condivisibile.
| Autorizzazione | Dato per impostazione predefinita a | Condivisibile |
|---|---|---|
| Leggi | Amministratore, Membro, Contributore, Visualizzatore | Sì |
| LeggiDati | Amministratore, Membro, Contributore, Visualizzatore | Sì |
| LeggiTutto | Amministratore, Membro, Contributore | Sì |
| Costruire | Amministratore, Membro, Contributore | Sì |
| Scrivere | Amministratore, Membro, Contributore | NO |
| Monitoraggio | Amministratore, Membro, Contributore | N/D: non può essere concesso autonomamente |
| Controllo | Amministratore | N/D: non può essere concesso autonomamente |
| Ricondividi | Amministratore, Membro | N/D: non può essere concesso autonomamente |
| Restaurare | Amministratore | NO |
È possibile scegliere di aggiungere o rimuovere autorizzazioni usando Gestisci autorizzazioni:
- Rimuovi accesso rimuove le autorizzazioni per tutti gli elementi.
- Rimuovi ReadData rimuove le autorizzazioni ReadData.
- Rimuovi ReadAll rimuove le autorizzazioni ReadAll.
- Rimuovi Build rimuove le autorizzazioni Build per il modello semantico predefinito corrispondente.
Funzionalità di protezione dei dati
Archiviazione dati di Microsoft Fabric supporta diverse tecnologie che gli amministratori possono usare per proteggere i dati sensibili da visualizzazioni non autorizzate. Proteggendo o offuscando i dati da utenti o ruoli non autorizzati, queste funzionalità di sicurezza possono fornire protezione dei dati in un endpoint warehouse e di analisi SQL senza modifiche dell'applicazione.
- La protezione a livello di colonna impedisce la visualizzazione non autorizzata delle colonne nelle tabelle.
-
La sicurezza a livello di riga impedisce la visualizzazione non autorizzata delle righe nelle tabelle, usando predicati di filtro delle clausole familiari
WHERE. - Maschera dati dinamica (Dynamic data masking) impedisce la visualizzazione non autorizzata dei dati sensibili usando maschere, come indirizzi di posta elettronica o numeri, al fine di impedire il completamento dell'accesso.
Limiti
- Se si forniscono autorizzazioni per gli elementi o si rimuovono gli utenti che in precedenza disponevano delle autorizzazioni, la propagazione delle autorizzazioni può richiedere fino a due ore. Le nuove autorizzazioni sono visibili immediatamente in Gestire le autorizzazioni . Accedere di nuovo per accertarsi che le autorizzazioni vengano riflesse nell'endpoint di analisi SQL.
- I destinatari condivisi possono accedere al warehouse usando l'identità del proprietario (modalità delegata). Assicurarsi che il proprietario del warehouse non venga rimosso dall'area di lavoro.
- I destinatari condivisi hanno accesso solo al magazzino che ricevono e non ad altri articoli all'interno della stessa area di lavoro del magazzino. Se si vogliono fornire autorizzazioni ad altri utenti del team per collaborare al warehouse (accesso in lettura e scrittura), aggiungerle come ruoli dell'area di lavoro, ad esempio Membro o Collaboratore.
- Attualmente, quando si condivide un warehouse e si sceglie Leggere tutti i dati usando SQL, il destinatario condiviso può accedere all'editor del warehouse in modalità di sola lettura. Questi destinatari condivisi possono creare query, ma attualmente non possono salvare le query.
- Al momento, la condivisione di un warehouse è disponibile solo tramite l'esperienza utente.
- Se si vuole fornire un accesso granulare a oggetti specifici all'interno del warehouse, condividere il warehouse senza autorizzazioni aggiuntive, quindi fornire l'accesso granulare a oggetti specifici usando l'istruzione T-SQL GRANT. Per altre informazioni, vedere Sintassi T-SQL per GRANT, REVOKE e DENY.
- Se si nota che le autorizzazioni ReadAll e ReadData sono disabilitate nella finestra di dialogo di condivisione, aggiornare la pagina.
- I destinatari condivisi non dispongono dell'autorizzazione per ricondividere un warehouse.
- Se un report basato su warehouse viene condiviso con un altro destinatario, il destinatario condiviso necessita di più autorizzazioni per accedere al report. Questo dipende dalla modalità di accesso al modello semantico da parte di Power BI:
- Se si accede tramite modalità di query diretta, è necessario fornire i permessi ReadData (o i permessi SQL granulari per tabelle/viste specifiche) al Warehouse.
- Se si accede tramite la modalità Direct Lake, è necessario fornire autorizzazioni ReadData (o autorizzazioni granulari per tabelle/viste specifiche) al warehouse. La modalità Direct Lake è il tipo di connessione predefinito per i modelli semantici che usano un warehouse o un endpoint di analisi SQL come origine dati. Per altre informazioni, vedere Modalità Direct Lake.
- Se si accede tramite Modalità di importazione non sono necessarie autorizzazioni aggiuntive.
- Attualmente, la condivisione di un magazzino direttamente con un SPN non è supportata.