Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Применимо к:✅ Хранилище данных в Microsoft Fabric
Хранилище данных Fabric предоставляет корпоративное решение для хранения данных, полностью управляемое и полностью интегрированное в Microsoft Fabric. Однако при хранении конфиденциальных и критически важных для бизнеса данных необходимо предпринять шаги, чтобы максимально повысить безопасность ваших хранилищ и данных, хранящихся в них.
В этой статье приводятся рекомендации по обеспечению безопасности хранилища в Microsoft Fabric.
Модель доступа к хранилищу
Разрешения Microsoft Fabric и детализированные разрешения SQL работают вместе для управления доступом к хранилищу и разрешениями пользователей после подключения.
- Подключение к хранилищу зависит от предоставления разрешения на чтение Microsoft Fabric, как минимум, для хранилища.
- Разрешения элементов Microsoft Fabric позволяют предоставить пользователю разрешения SQL без предоставления этих разрешений в SQL.
- Роли рабочей области Microsoft Fabric предоставляют разрешения Microsoft Fabric для всех хранилищ в рабочей области.
- Детализированные разрешения пользователей можно управлять с помощью T-SQL.
Роли рабочей области
Роли рабочей области используются для совместной работы группы разработчиков в рабочей области. Назначение ролей определяет действия, доступные пользователю, и применяется ко всем элементам в рабочей области.
- Общие сведения о ролях рабочей области Microsoft Fabric см. в разделе "Роли в рабочих областях" в Microsoft Fabric.
- Инструкции по назначению ролей рабочей области см. в статье "Предоставление пользователям доступа к рабочим областям".
Дополнительные сведения о конкретных возможностях хранилища, предоставляемых с помощью ролей рабочей области, см. в разделе " Роли рабочей области" в хранилище данных Fabric.
Разрешения элемента
В отличие от ролей рабочей области, которые применяются ко всем элементам в рабочей области, разрешения элементов могут быть назначены непосредственно отдельным хранилищам.
Всегда следуйте принципу минимально необходимых привилегий при предоставлении разрешений и назначения членства в ролях. При оценке разрешений, назначенных пользователю, рассмотрите следующее руководство.
- Если они в основном требуют доступа только для чтения, назначьте их роли средства просмотра и предоставьте доступ на чтение для определенных объектов через T-SQL. Дополнительные сведения см. в разделе "Управление подробными разрешениями SQL".
- Только участникам группы, которые в настоящее время работают над решением, следует назначать роли рабочей области Администратор, Участник и Автор, так как эти роли предоставляют доступ ко всем элементам в рабочей области.
- Если они являются более привилегированными пользователями, назначьте их роли администратора, участника или участника. Соответствующая роль зависит от других действий, которые они должны выполнять.
- Другие пользователи, которым требуется доступ только к отдельному хранилищу или которым требуется доступ только к определенным объектам SQL, должны быть предоставлены разрешения Fabric Item и предоставлен доступ через SQL к определенным объектам.
- Вы также можете управлять разрешениями в группах идентификаторов Microsoft Entra, а не добавлять каждого конкретного члена. Дополнительные сведения см. в статье "Проверка подлинности Microsoft Entra" в качестве альтернативы проверке подлинности SQL в Microsoft Fabric.
- Аудит действий пользователей в хранилище с помощью журналов аудита пользователей.
Дополнительные сведения о совместном доступе см. в статье "Общий доступ к данным" и управление ими.
Детальная безопасность
Роли рабочей области и разрешения элементов предоставляют простой способ назначения пользователю грубого разрешения для всего хранилища. Однако в некоторых случаях для пользователя требуются более детализированные разрешения. Для этого можно использовать стандартные конструкции T-SQL для предоставления определенных разрешений пользователям.
Хранилище данных Microsoft Fabric поддерживает несколько технологий защиты данных, которые администраторы могут использовать для защиты конфиденциальных данных от несанкционированного доступа. Защита или скрытие данных от несанкционированных пользователей или ролей обеспечивает защиту данных как в конечной точке хранилища, так и в аналитике SQL без изменений приложения.
- Управление доступом к определенным объектам базы данных на уровне объекта.
- Безопасность на уровне столбцов предотвращает несанкционированное просмотр столбцов в таблицах.
-
Безопасность на уровне строк предотвращает несанкционированное просмотр строк в таблицах с помощью знакомых
WHEREпредикатов фильтра предложений. - Динамическое маскирование данных предотвращает несанкционированное просмотр конфиденциальных данных с помощью маскировок, чтобы предотвратить доступ к завершению, например адреса электронной почты или номера.
Безопасность на уровне объекта
Безопасность на уровне объектов — это механизм безопасности, который управляет доступом к определенным объектам базы данных, таким как таблицы, представления или процедуры, на основе привилегий пользователей или ролей. Это гарантирует, что пользователи или роли могут взаимодействовать только с объектами, которыми они предоставили разрешения, защищая целостность и конфиденциальность схемы базы данных и связанные с ней ресурсы.
Дополнительные сведения об управлении подробными разрешениями в SQL см. в разделе "Детализированные разрешения SQL" в Microsoft Fabric.
Безопасность на уровне строк
Безопасность на уровне строк — это функция безопасности базы данных, которая ограничивает доступ к отдельным строкам или записям в таблице базы данных на основе указанных критериев, таких как роли пользователя или атрибуты. Это гарантирует, что пользователи могут просматривать или управлять данными, которые явно авторизованы для их доступа, повышая конфиденциальность и контроль данных.
Дополнительные сведения о безопасности на уровне строк см. в разделе "Безопасность на уровне строк" в хранилище данных Fabric.
Защита на уровне столбцов
Безопасность на уровне столбцов — это мера безопасности базы данных, которая ограничивает доступ к определенным столбцам или полям в таблице базы данных, позволяя пользователям просматривать и взаимодействовать только с авторизованными столбцами при скрытии конфиденциальной или ограниченной информации. Она обеспечивает точное управление доступом к данным, защищая конфиденциальные данные в базе данных.
Дополнительные сведения о безопасности на уровне столбцов см. в разделе "Безопасность на уровне столбцов" в хранилище данных Fabric.
Динамическое маскирование данных
Динамическое маскирование данных помогает предотвратить несанкционированное просмотр конфиденциальных данных, позволяя администраторам указать, сколько конфиденциальных данных необходимо выявить, с минимальным воздействием на уровень приложений. Динамическое маскирование данных можно настроить на указанных полях базы данных, чтобы скрыть конфиденциальные данные в результирующих наборах запросов. При динамической маскировке данных данные в базе данных не изменяются, поэтому их можно использовать с существующими приложениями, так как правила маскирования применяются к результатам запроса. Многие приложения могут маскировать конфиденциальные данные без изменения существующих запросов.
Дополнительные сведения о динамической маскировке данных см. в статье "Динамическое маскирование данных" в хранилище данных Fabric.
Журналы аудита пользователей
Для отслеживания действий пользователей в хранилище и конечной точке аналитики SQL для соответствия нормативным требованиям и управлению записями набор действий аудита доступен через Microsoft Purview и PowerShell.
- Журналы аудита пользователей можно использовать для определения того, кто принимает какие действия для элементов Fabric.
- Чтобы приступить к работе, узнайте, как настроить журналы аудита SQL в хранилище данных Fabric (предварительная версия).
- Вы можете отслеживать действия пользователей в Microsoft Fabric. Дополнительные сведения см. в списке операций.