สิทธิ์ระดับแยกย่อยของ SQL ใน Microsoft Fabric

นําไปใช้กับ:✅ จุดสิ้นสุดการวิเคราะห์ SQL และ Warehouse ใน Microsoft Fabric

เมื่อสิทธิ์เริ่มต้นจากการกําหนดบทบาทพื้นที่ทํางานหรือสิทธิ์ของรายการไม่ได้ให้ระดับการควบคุมที่คุณต้องการ ให้ใช้โครงสร้าง SQL มาตรฐานในคลังสินค้า Fabric หรือปลายทางการวิเคราะห์ SQL สําหรับการควบคุมการเข้าถึงแบบละเอียดยิ่งขึ้น

สําหรับจุดสิ้นสุดการวิเคราะห์ SQL และคลังสินค้าใน Microsoft Fabric:

  • จัดการความปลอดภัยระดับออบเจ็กต์ด้วยคําสั่ง GRANT,REVOKE และ DENY T-SQL
  • กําหนดบทบาท SQL ให้กับผู้ใช้ ทั้งบทบาทฐานข้อมูลแบบกําหนดเองและบทบาทฐานข้อมูลในตัว

กําหนดค่าสิทธิ์แบบละเอียดของผู้ใช้ในคลังสินค้า Fabric

  • สําหรับผู้ใช้ที่จะเชื่อมต่อกับคลังสินค้า Fabric หรือตําแหน่งข้อมูลการวิเคราะห์ SQL คุณต้องกําหนดบทบาทพื้นที่ทํางานหรือให้สิทธิ์การอ่านรายการแก่พวกเขา ถ้าไม่มี สิทธิ์ในการอ่าน อย่างน้อยที่สุด การเชื่อมต่อจะล้มเหลว
  • เมื่อต้องการตั้งค่าสิทธิ์แบบละเอียดของผู้ใช้ก่อนที่พวกเขาจะเชื่อมต่อกับคลังสินค้า ให้กําหนดสิทธิ์ใน SQL ก่อน จากนั้นให้สิทธิ์การเข้าถึงโดยการกําหนดบทบาทพื้นที่ทํางานหรือให้สิทธิ์รายการ

สร้างข้อจํากัดของผู้ใช้

  • คุณไม่สามารถเรียกใช้CREATE USERในคลังสินค้า Fabric หรือจุดสิ้นสุดการวิเคราะห์ SQL ได้อย่างชัดเจน เมื่อคุณเรียกใช้ GRANT หรือ DENYFabric จะสร้างผู้ใช้ฐานข้อมูลโดยอัตโนมัติ ผู้ใช้ไม่สามารถเชื่อมต่อได้จนกว่าจะมีสิทธิ์ระดับพื้นที่ทํางานที่เพียงพอ

ดูสิทธิ์ของฉัน

หลังจากที่ผู้ใช้เชื่อมต่อกับคลังสินค้า Fabric หรือจุดสิ้นสุดการวิเคราะห์ SQL ผ่าน SQL สายอักขระการเชื่อมต่อ พวกเขาสามารถดูสิทธิ์ที่พร้อมใช้งานได้โดยใช้ฟังก์ชัน sys.fn_my_permissions

สิทธิ์ในขอบเขตฐานข้อมูลสําหรับผู้ใช้ปัจจุบัน:

SELECT *
FROM sys.fn_my_permissions(NULL, 'Database');

สิทธิ์ในขอบเขต Schema สําหรับผู้ใช้ปัจจุบัน

SELECT *
FROM sys.fn_my_permissions('<schema-name>', 'Schema');

สิทธิ์ในขอบเขตออบเจ็กต์สําหรับผู้ใช้ปัจจุบัน

SELECT *
FROM sys.fn_my_permissions('<schema-name>.<object-name>', 'Object');

ดูสิทธิ์ที่มอบให้กับผู้ใช้ในคลังสินค้า Fabric อย่างชัดเจน

เมื่อเชื่อมต่อกับคลังสินค้า Fabric หรือจุดสิ้นสุดการวิเคราะห์ SQL ผ่าน SQL สายอักขระการเชื่อมต่อ ผู้ใช้ที่มีสิทธิ์ยกระดับสามารถสอบถามสิทธิ์ที่ได้รับโดยใช้มุมมองระบบ คิวรีนี้ไม่ส่งคืนสิทธิ์ที่ผู้ใช้ได้รับผ่านบทบาทหรือรายการพื้นที่ทํางาน Fabric

SELECT DISTINCT pr.principal_id, pr.name, pr.type_desc,
    pr.authentication_type_desc, pe.state_desc, pe.permission_name
FROM sys.database_principals AS pr
INNER JOIN sys.database_permissions AS pe
    ON pe.grantee_principal_id = pr.principal_id;

คุณลักษณะการปกป้องข้อมูลในคลังสินค้า Fabric

ในตําแหน่งข้อมูลการวิเคราะห์คลังสินค้าและ SQL คุณสามารถจํากัดการเข้าถึงคอลัมน์เฉพาะและแถวเฉพาะในตาราง และปิดบังข้อมูลที่ละเอียดอ่อนจากผู้ที่ไม่ใช่ผู้ดูแลระบบ