Предоставление общего доступа к данным и управление разрешениями

Применимо к:✅Warehouse и зеркальной базе данных в Microsoft Fabric

Общий доступ — это удобный способ предоставления пользователям доступа к данным для нижнего потребления. Общий доступ позволяет подчиненным пользователям в организации использовать хранилище с помощью T-SQL, Spark или Power BI. Вы можете настроить уровень разрешений, предоставленных общему получателю, чтобы обеспечить соответствующий уровень доступа.

Начало работы

После идентификации элемента хранилища, который вы хотите поделиться с другим пользователем в рабочей области Fabric, выберите быстрое действие в строке для общего доступа.

В следующем анимированном GIF-файле рассматриваются действия по выбору хранилища для общего доступа, выбор разрешений для назначения, а затем предоставление разрешений другому пользователю.

Общий доступ к хранилищу

1. Вы можете предоставить общий доступ к хранилищу из концентратора данных OneLake или элемента хранилища, выбрав "Общий доступ" из быстрого действия, как показано на следующем рисунке.

   

2. Вам будет предложено выбрать, с кем вы хотите предоставить общий доступ к хранилищу, какие разрешения предоставить им, а также получать уведомления по электронной почте.

3. Заполните все обязательные поля, выберите "Предоставить доступ".

4. Когда общий получатель получает сообщение электронной почты, он может выбрать "Открыть " и перейти на страницу "Центр данных хранилища".

   

5. В зависимости от уровня доступа к общему получателю, общий получатель теперь может подключаться к конечной точке аналитики SQL, запрашивать хранилище, создавать отчеты или читать данные с помощью Spark.

Роли безопасности структуры

Ниже приведены дополнительные сведения о каждом из предоставленных разрешений:

• Если дополнительные разрешения не выбраны. Общий получатель по умолчанию получает разрешение "Чтение", которое позволяет получателю подключаться к конечной точке аналитики SQL, эквивалентным разрешениям CONNECT в SQL Server. Общий получатель не сможет запрашивать любую таблицу или просматривать или выполнять любую функцию или хранимую процедуру, если они не предоставляют доступ к объектам в хранилище с помощью инструкции T-SQL GRANT .

• Выбран параметр "Чтение всех данных с помощью SQL" (разрешения ReadData) — общий получатель может читать все объекты в хранилище. ReadData является эквивалентом роли db_datareader в SQL Server. Общий получатель может считывать данные из всех таблиц и представлений в хранилище. Если вы хотите дополнительно ограничить и предоставить детальный доступ к некоторым объектам в хранилище, это можно сделать с помощью инструкций T-SQLGRANT//REVOKEDENY.

  • В конечной точке аналитики SQL Lakehouse "Чтение всех данных конечной точки SQL" эквивалентно "Чтение всех данных с помощью SQL".

• Выбрано значение "Чтение всех данных с помощью Apache Spark" (разрешения ReadAll). Общий получатель имеет доступ на чтение к базовым файлам parquet в OneLake, которые можно использовать с помощью Spark. ReadAll должен предоставляться только в том случае, если общий получатель хочет получить полный доступ к файлам хранилища с помощью обработчика Spark.

• Установлен флажок "Сборка отчетов на основе набора данных по умолчанию" ("Сборка") — общий получатель может создавать отчеты на основе семантической модели по умолчанию, подключенной к хранилищу. Сборка должна быть предоставлена, если общий получатель хочет разрешения на сборку в семантической модели по умолчанию, чтобы создать отчеты Power BI по этим данным. По умолчанию установлен флажок "Сборка ", но его можно снять.

Разрешения ReadData

С разрешениями ReadData общий получатель может открыть редактор хранилища в режиме только для чтения и запрашивать таблицы и представления в хранилище. Общий получатель также может скопировать конечную точку аналитики SQL, предоставленную и подключиться к клиентскому инструменту для выполнения этих запросов.

Разрешения ReadAll

Общий получатель с разрешениями ReadAll может найти путь к файловой системе BLOB-объектов Azure (ABFS) к конкретному файлу в OneLake из области свойств в редакторе хранилища. Затем общий получатель может использовать этот путь в записной книжке Spark для чтения этих данных.

Например, на следующем снимке экрана пользователь с разрешениями ReadAll может запрашивать данные FactSale в запросе Spark в новой записной книжке.

Разрешения на сборку

С разрешениями на сборку общий получатель может создавать отчеты поверх семантической модели по умолчанию, подключенной к хранилищу. Общий получатель может создавать отчеты Power BI из Центра данных или делать то же самое с помощью Power BI Desktop.

Управление разрешениями

На странице "Управление разрешениями " отображается список пользователей, которым предоставлен доступ, назначая роли рабочей области или разрешения элемента.

Если вы являетесь членом ролей администратора или члена рабочей области, перейдите в рабочую область и выберите дополнительные параметры. Затем выберите "Управление разрешениями".

Для пользователей, которым были предоставлены роли рабочей области, вы увидите соответствующую роль пользователя, роль рабочей области и разрешения. Члены ролей рабочей области "Администратор", "Член" и "Участник" имеют доступ на чтение и запись к элементам в этой рабочей области. Средства просмотра имеют разрешения ReadData и могут запрашивать все таблицы и представления в хранилище в этой рабочей области. Разрешения элемента для чтения, readData и ReadAll можно предоставить пользователям.

Вы можете добавить или удалить разрешения с помощью управления разрешениями:

• Удаление доступа удаляет все разрешения элемента.
• Удаление ReadData удаляет разрешения ReadData .
• Удаление ReadAll удаляет разрешения ReadAll .
• Удаление сборки удаляет разрешения сборки для соответствующей семантической модели по умолчанию.

Функции защиты данных

Хранение данных Microsoft Fabric поддерживает несколько технологий, которые администраторы могут использовать для защиты конфиденциальных данных от несанкционированного просмотра. Защита или скрытие данных от несанкционированных пользователей или ролей обеспечивает защиту данных как в конечной точке хранилища, так и в аналитике SQL без изменений приложения.

• Безопасность на уровне столбцов предотвращает несанкционированное просмотр столбцов в таблицах.
• Безопасность на уровне строк предотвращает несанкционированное просмотр строк в таблицах с помощью знакомых WHERE предикатов фильтра предложений.
• Динамическое маскирование данных предотвращает несанкционированное просмотр конфиденциальных данных с помощью маскировок, чтобы предотвратить доступ к завершению, например адреса электронной почты или номера.

Ограничения

• Если вы предоставляете разрешения на элементы или удаляете пользователей, у которых ранее были разрешения, распространение разрешений может занять до двух часов. Новые разрешения отображаются сразу же в разделе "Управление разрешениями ". Войдите еще раз, чтобы убедиться, что разрешения отражаются в конечной точке аналитики SQL.
• Общие получатели могут получить доступ к хранилищу с помощью удостоверения владельца (делегированный режим). Убедитесь, что владелец хранилища не удаляется из рабочей области.
• Общие получатели имеют доступ только к хранилищу, которые они получают, и не какие-либо другие элементы в той же рабочей области, что и хранилище. Если вы хотите предоставить разрешения другим пользователям в команде для совместной работы в хранилище (доступ на чтение и запись), добавьте их в роли рабочей области, такие как участник или участник.
• В настоящее время при совместном использовании хранилища и выборе " Чтение всех данных с помощью SQL" общий получатель может получить доступ к редактору хранилища в режиме только для чтения. Эти общие получатели могут создавать запросы, но в настоящее время не могут сохранять свои запросы.
• В настоящее время общий доступ к хранилищу доступен только через взаимодействие с пользователем.
• Если вы хотите предоставить подробный доступ к определенным объектам в хранилище, поделитесь хранилищем без дополнительных разрешений, а затем предоставьте детализированный доступ к определенным объектам с помощью инструкции T-SQL GRANT. Дополнительные сведения см. в синтаксисе T-SQL для GRANT, REVOKE и DENY.
• Если вы видите, что разрешения ReadAll и разрешения ReadData отключены в диалоговом окне общего доступа, обновите страницу.
• У общих получателей нет разрешения на повторное предоставление общего доступа к хранилищу.
• Если отчет, построенный на основе хранилища, предоставляется другому получателю, общий получатель должен иметь дополнительные разрешения для доступа к отчету. Это зависит от режима доступа к семантической модели Power BI:
  • Если доступ к ним выполняется через режим прямого запроса, необходимо предоставить разрешения ReadData (или детализированные разрешения SQL для определенных таблиц и представлений).
  • При доступе через режим Direct Lake необходимо предоставить разрешения ReadData (или детализированные разрешения для определенных таблиц и представлений). Режим Direct Lake — это тип подключения по умолчанию для семантических моделей, использующих конечную точку хранилища или аналитики SQL в качестве источника данных. Дополнительные сведения см . в режиме Direct Lake.
  • Если доступ к ней выполняется через режим импорта, дополнительные разрешения не требуются.
  • В настоящее время общий доступ к хранилищу напрямую с помощью имени субъекта-службы не поддерживается.

Связанный контент

• Запрос конечной точки аналитики SQL или хранилища в Microsoft Fabric
• Использование записных книжек Microsoft Fabric
• Сочетания клавиш Access Fabric OneLake в записной книжке Apache Spark
• Навигация по обозревателе Fabric Lakehouse
• GRANT (Transact-SQL)