Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Применимо к:✅базе данных SQL в Microsoft Fabric
Microsoft Purview — это семейство решений по управлению данными, рисками и соответствием требованиям, которые помогут вашей организации управлять всей инфраструктурой данных, а также защищать и контролировать ее. Среди других преимуществ Microsoft Purview позволяет пометить элементы базы данных SQL метками конфиденциальности и определить политики защиты, которые управляют доступом на основе меток конфиденциальности.
В этой статье объясняется, как политики защиты Microsoft Purview работают вместе с элементами управления доступом Microsoft Fabric и средствами управления доступом SQL в базе данных SQL в Microsoft Fabric.
Общие сведения о возможностях Microsoft Purview для Microsoft Fabric, включая базу данных SQL, см. в статьях, перечисленных в связанном содержимом.
Как работают политики защиты в базе данных SQL
Каждая политика защиты для Microsoft Fabric связана с меткой конфиденциальности. Политика защиты управляет доступом к элементам с связанной меткой с помощью двух элементов управления доступом:
Разрешить пользователям сохранять доступ для чтения. При включении указанным пользователям (или пользователям, принадлежащим указанным группам) сохраняется разрешение на чтение на обозначенных элементах, если у них уже имеется данное разрешение. Все другие разрешения, которые указанные пользователи имеют на элементе, удаляются. В базе данных SQL разрешение на чтение элемента требуется для подключения пользователя к базе данных. Таким образом, если пользователь не указан в этом элементе управления доступом, пользователь не может подключиться к базе данных.
Разрешить пользователям сохранять полный контроль . При включении указанные пользователи (или пользователи, принадлежащие указанным группам), могут сохранять полный контроль над помеченным элементом, если у указанных пользователей уже есть разрешения или другие разрешения, которые у них могут быть. Для элементов базы данных SQL этот элемент управления позволяет пользователям сохранять разрешение на запись элемента, что означает, что пользователь сохраняет полный административный доступ в базе данных. Если пользователь не указан в управлении доступом, разрешение на запись фактически удаляется для пользователя. Этот элемент управления не влияет на нативные разрешения SQL пользователя в базе данных - для получения дополнительной информации смотрите Пример 4 и Ограничения.
Примеры
Примеры в этом разделе используют следующую конфигурацию:
- Организация имеет рабочую область Microsoft Fabric, называемую Production.
- Рабочая область содержит элемент базы данных SQL с именем Sales, имеющий метку конфиденциальности.
- В Microsoft Purview существует политика защиты, применимая к Microsoft Fabric. Политика связана с меткой уровня конфиденциальности.
Пример 1
- Пользователь является членом роли Контрибьютор в рабочей области Production.
- Параметр управления доступом Разрешить пользователям сохранять доступ на чтение включен, но он не распространяется на данного пользователя.
- Параметр Разрешить пользователям сохранять полный доступный контроль отключен или неактивен.
Политика удаляет разрешение на чтение элементов у пользователя, поэтому пользователь не может подключиться к базе данных Sales. Таким образом, пользователь не может считывать или получать доступ к данным в базе данных.
Пример 2
- У пользователя есть разрешение на чтение элемента для базы данных Sales.
- Пользователь входит в роль db_owner собственного уровня базы данных SQL в базе данных.
- Разрешить пользователям сохранять контроль доступа на чтение включен, но он не включает пользователя.
- Разрешение пользователям сохранять полный контроль доступа отключено или неактивно.
Политика удаляет у пользователя разрешение на чтение данных, поэтому он не может получить доступ к базе данных Sales, независимо от его собственных SQL-разрешений, предоставленных через членство в роли db_owner в базе данных. Таким образом, пользователь не может считывать или получать доступ к данным в базе данных.
Пример 3
- Пользователь является членом роли Contributor в рабочей области Production.
- У пользователя нет собственных разрешений SQL, предоставленных в базе данных.
- Включена функция "Разрешить пользователям сохранять доступ на чтение" и включает пользователя.
- Управление доступом Разрешить пользователям сохранять полный контроль включено, но пользователя оно не включает.
В качестве члена роли Участника пользователь изначально имеет все разрешения на базу данных Sales, включая Чтение, ReadData и Write. Разрешение пользователям сохранять доступ на чтение в политике позволяет пользователю сохранить разрешения на чтение и чтение данных, однако разрешение пользователям сохранять полный контроль удаляет разрешение на запись. В результате пользователь может подключиться к базе данных и считывать данные, но пользователь теряет административный доступ к базе данных, включая возможность записи и редактирования данных.
Пример 4
- У пользователя есть разрешение на просмотр элементов в базе данных Sales.
- Пользователь входит в роль db_owner собственного уровня базы данных SQL в базе данных.
- Включена функция "Разрешить пользователям сохранять доступ на чтение" и включает пользователя.
- Управление доступом Разрешить пользователям сохранять полный контроль включено, но пользователя оно не включает.
Опция Разрешить пользователям сохранять доступ на чтение в политике позволяет пользователю сохранять разрешение на чтение. Так как изначально у пользователя нет доступа к полному управлению (разрешение на запись элемента), разрешение на сохранение полного контроля доступа не влияет на разрешение пользователя, предоставленное в Microsoft Fabric. Control доступа «Разрешить пользователям сохранять полный контроль» не затрагивает полномочия SQL, которыми изначально располагает пользователь в базе данных. В качестве члена роли db_owner пользователь продолжает иметь административный доступ к базе данных. См Ограничения.
Ограничения
- Разрешение пользователям сохранять полный контроль в политиках защиты Microsoft Purview не влияет на встроенные разрешения SQL, предоставленные пользователям в базе данных.