Безопасность хранения данных в Microsoft Fabric
Область применения:✅ конечная точка аналитики SQL и хранилище в Microsoft Fabric
В этой статье рассматриваются разделы безопасности для защиты конечной точки аналитики SQL в lakehouse и хранилище в Microsoft Fabric.
Сведения о безопасности Microsoft Fabric см. в разделе "Безопасность" в Microsoft Fabric.
Сведения о подключении к конечной точке аналитики SQL и хранилищу см. в разделе "Подключение".
Модель доступа к хранилищу
Разрешения Microsoft Fabric и детализированные разрешения SQL работают вместе для управления доступом к хранилищу и разрешениями пользователей после подключения.
- Подключение к хранилищу зависит от предоставления разрешения на чтение Microsoft Fabric, как минимум, для хранилища.
- Разрешения элементов Microsoft Fabric позволяют предоставить пользователю разрешения SQL без предоставления этих разрешений в SQL.
- Роли рабочей области Microsoft Fabric предоставляют разрешения Microsoft Fabric для всех хранилищ в рабочей области.
- Детализированные разрешения пользователей можно управлять с помощью T-SQL.
Роли рабочей области
Роли рабочей области используются для совместной работы группы разработчиков в рабочей области. Назначение ролей определяет действия, доступные пользователю, и применяется ко всем элементам в рабочей области.
- Общие сведения о ролях рабочей области Microsoft Fabric см. в разделе "Роли в рабочих областях".
- Инструкции по назначению ролей рабочей области см. в разделе "Предоставление доступа к рабочей области".
Дополнительные сведения о конкретных возможностях хранилища, предоставляемых с помощью ролей рабочей области, см. в разделе "Роли рабочей области" в хранилище данных Fabric.
Разрешения элемента
В отличие от ролей рабочей области, которые применяются ко всем элементам в рабочей области, разрешения элементов могут быть назначены непосредственно отдельным хранилищам. Пользователь получит назначенное разрешение на одно хранилище. Основной целью этих разрешений является предоставление общего доступа для потребления нижестоящего объема хранилища.
Дополнительные сведения о конкретных разрешениях, предоставленных для складов, см. в статье "Предоставление общего доступа к хранилищу" и управление разрешениями.
Детальная безопасность
Роли рабочей области и разрешения элементов предоставляют простой способ назначения пользователю грубого разрешения для всего хранилища. Однако в некоторых случаях для пользователя требуются более детализированные разрешения. Для этого можно использовать стандартные конструкции T-SQL для предоставления определенных разрешений пользователям.
Хранилище данных Microsoft Fabric поддерживает несколько технологий защиты данных, которые администраторы могут использовать для защиты конфиденциальных данных от несанкционированного доступа. Защита или скрытие данных от несанкционированных пользователей или ролей обеспечивает защиту данных как в конечной точке хранилища, так и в аналитике SQL без изменений приложения.
- Управление доступом к определенным объектам базы данных на уровне объекта.
- Безопасность на уровне столбцов предотвращает несанкционированное просмотр столбцов в таблицах.
- Безопасность на уровне строк предотвращает несанкционированное просмотр строк в таблицах с помощью знакомых
WHERE
предикатов фильтра предложений. - Динамическое маскирование данных предотвращает несанкционированное просмотр конфиденциальных данных с помощью маскировок, чтобы предотвратить доступ к завершению, например адреса электронной почты или номера.
Безопасность на уровне объекта
Безопасность на уровне объектов — это механизм безопасности, который управляет доступом к определенным объектам базы данных, таким как таблицы, представления или процедуры, на основе привилегий пользователей или ролей. Это гарантирует, что пользователи или роли могут взаимодействовать только с объектами, которыми они предоставили разрешения, защищая целостность и конфиденциальность схемы базы данных и связанные с ней ресурсы.
Дополнительные сведения об управлении подробными разрешениями в SQL см . в разделе "Подробные разрешения SQL".
Безопасность на уровне строк
Безопасность на уровне строк — это функция безопасности базы данных, которая ограничивает доступ к отдельным строкам или записям в таблице базы данных на основе указанных критериев, таких как роли пользователя или атрибуты. Это гарантирует, что пользователи могут просматривать или управлять данными, которые явно авторизованы для их доступа, повышая конфиденциальность и контроль данных.
Дополнительные сведения о безопасности на уровне строк см. в разделе "Безопасность на уровне строк" в хранилище данных Fabric.
Защита на уровне столбцов
Безопасность на уровне столбцов — это мера безопасности базы данных, которая ограничивает доступ к определенным столбцам или полям в таблице базы данных, позволяя пользователям просматривать и взаимодействовать только с авторизованными столбцами при скрытии конфиденциальной или ограниченной информации. Она обеспечивает точное управление доступом к данным, защищая конфиденциальные данные в базе данных.
Дополнительные сведения о безопасности на уровне столбцов см. в разделе "Безопасность на уровне столбцов" в хранилище данных Fabric.
Динамическое маскирование данных
Динамическое маскирование данных помогает предотвратить несанкционированное просмотр конфиденциальных данных, позволяя администраторам указать, сколько конфиденциальных данных необходимо выявить, с минимальным воздействием на уровень приложений. Динамическое маскирование данных можно настроить на указанных полях базы данных, чтобы скрыть конфиденциальные данные в результирующих наборах запросов. При динамической маскировке данных данные в базе данных не изменяются, поэтому их можно использовать с существующими приложениями, так как правила маскирования применяются к результатам запроса. Многие приложения могут маскировать конфиденциальные данные без изменения существующих запросов.
Дополнительные сведения о динамической маскировке данных см. в статье "Динамическое маскирование данных" в хранилище данных Fabric.
Общий доступ к хранилищу
Общий доступ — это удобный способ предоставления пользователям доступа на чтение к хранилищу для потребления нижестоящего потока. Общий доступ позволяет подчиненным пользователям в организации использовать хранилище с помощью SQL, Spark или Power BI. Вы можете настроить уровень разрешений, предоставленных общему получателю, чтобы обеспечить соответствующий уровень доступа.
Дополнительные сведения о совместном использовании см. в статье "Предоставление общего доступа к хранилищу" и управление разрешениями.
Руководство по доступу пользователей
При оценке разрешений, назначенных пользователю, рассмотрите следующее руководство.
- Только участники группы, которые в настоящее время совместно работают над решением, должны быть назначены ролям рабочей области (администратор, член, участник), так как это обеспечивает им доступ ко всем элементам в рабочей области.
- Если они в основном требуют доступа только для чтения, назначьте их роли средства просмотра и предоставьте доступ на чтение для определенных объектов через T-SQL. Дополнительные сведения см. в разделе "Управление подробными разрешениями SQL".
- Если они являются более привилегированными пользователями, назначьте их роли администратора, участника или участника. Соответствующая роль зависит от других действий, которые они должны выполнять.
- Другие пользователи, которым требуется доступ только к отдельному хранилищу или которым требуется доступ только к определенным объектам SQL, должны быть предоставлены разрешения Fabric Item и предоставлен доступ через SQL к определенным объектам.
- Вы также можете управлять разрешениями для групп Microsoft Entra ID (ранее Azure Active Directory), а не добавлять каждого конкретного члена. Дополнительные сведения см. в статье "Проверка подлинности Microsoft Entra" в качестве альтернативы проверке подлинности SQL в Microsoft Fabric.
Журналы аудита пользователей
Для отслеживания действий пользователей в хранилище и конечной точке аналитики SQL для соответствия нормативным требованиям и управлению записями набор действий аудита доступен через Microsoft Purview и PowerShell. Журналы аудита пользователей можно использовать для определения того, кто принимает какие действия для элементов Fabric.
Дополнительные сведения о том, как получить доступ к журналам аудита пользователей, см. в разделе "Отслеживание действий пользователей" в списке операций Microsoft Fabric и Operations.