Share via

Sicherheit für Data Warehousing in Microsoft Fabric

  • Artikel

Gilt für: SQL-Analyseendpunkt und Warehouse in Microsoft Fabric

In diesem Artikel werden Sicherheitsthemen zum Sichern des SQL-Analyseendpunkts des Lakehouse und Warehouse in Microsoft Fabric behandelt.

Informationen zur Microsoft Fabric-Sicherheit finden Sie unter Sicherheit in Microsoft Fabric.

Informationen zum Herstellen einer Verbindung mit dem SQL-Analyseendpunkt und dem Warehouse finden Sie unter Konnektivität.

Warehouse-Zugriffsmodell

Microsoft Fabric-Berechtigungen und differenzierte SQL-Berechtigungen arbeiten zusammen, um den Warehouse-Zugriff und die Benutzerberechtigungen nach der Verbindung zu steuern.

  • Die Warehouse-Konnektivität hängt davon ab, dass mindestens die Microsoft Fabric-Leseberechtigung für das Warehouse erteilt wird.
  • Microsoft Fabric-Elementberechtigungen ermöglichen es, einem Benutzer bzw. einer Benutzerin SQL-Berechtigungen bereitzustellen, ohne diese Berechtigungen in SQL erteilen zu müssen.
  • Microsoft Fabric-Arbeitsbereichsrollen bieten Microsoft Fabric-Berechtigungen für alle Warehouses innerhalb eines Arbeitsbereichs.
  • Differenzierte Benutzerberechtigungen können über T-SQL weiter verwaltet werden.

Arbeitsbereichsrollen

Arbeitsbereichsrollen werden für die Zusammenarbeit des Entwicklungsteams innerhalb eines Arbeitsbereichs verwendet. Die Rollenzuweisung bestimmt die für Benutzer*innen verfügbaren Aktionen und gilt für alle Elemente im Arbeitsbereich.

Ausführliche Informationen zu den spezifischen Warehouse-Funktionen, die über Arbeitsbereichsrollen bereitgestellt werden, finden Sie unter Arbeitsbereichsrollen bei Fabric Data Warehousing.

Elementberechtigungen

Im Gegensatz zu Arbeitsbereichsrollen, die für alle Elemente innerhalb eines Arbeitsbereichs gelten, können Elementberechtigungen direkt einzelnen Warehouses zugewiesen werden. Der*die Benutzer*in erhält die zugewiesene Berechtigung für dieses einzelne Warehouse. Der Hauptzweck dieser Berechtigungen besteht darin, die Freigabe für die Downstreamnutzung des Warehouse zu aktivieren.

Ausführliche Informationen zu den spezifischen Berechtigungen, die für Warehouses bereitgestellt werden, finden Sie unter Freigeben Ihres Warehouse und Verwalten von Berechtigungen.

Präzise Sicherheitskontrolle

Arbeitsbereichsrollen und Elementberechtigungen bieten eine einfache Möglichkeit, Benutzer*innen grobe Berechtigungen für das gesamte Warehouse zuzuweisen. In einigen Fällen sind jedoch differenziertere Berechtigungen für Benutzer*innen erforderlich. Um dies zu erreichen, können T-SQL-Standardkonstrukte verwendet werden, um Benutzer*innen bestimmte Berechtigungen bereitzustellen.

Microsoft Fabric Data Warehouse unterstützt mehrere Datenschutztechnologien, mit denen Administratoren vertrauliche Daten vor unbefugtem Zugriff schützen können. Durch das Sichern oder Verschleiern von Daten von nicht autorisierten Benutzern oder Rollen können diese Sicherheitsfeatures sowohl in einem Warehouse- als auch SQL-Analyseendpunkt Schutz von Daten ohne Anwendungsänderungen bereitstellen.

Sicherheit auf Objektebene

Sicherheit auf Objektebene ist ein Sicherheitsmechanismus, der den Zugriff auf bestimmte Datenbankobjekte, z. B. Tabellen, Sichten oder Prozeduren, basierend auf Benutzerrechten oder Rollen steuert. Dadurch wird sichergestellt, dass Benutzer*innen oder Rollen nur mit den Objekten interagieren und diese bearbeiten können, für die sie Berechtigungen erhalten haben, um die Integrität und Vertraulichkeit des Datenbankschemas und der zugehörigen Ressourcen zu schützen.

Ausführliche Informationen zur Verwaltung präziser Berechtigungen in SQL finden Sie unter Granulare SQL-Berechtigungen.

Sicherheit auf Zeilenebene

Sicherheit auf Zeilenebene ist ein Datenbanksicherheitsfeature, das den Zugriff auf einzelne Zeilen oder Datensätze innerhalb einer Datenbanktabelle basierend auf bestimmten Kriterien wie Benutzerrollen oder Attributen einschränkt. Dadurch wird sichergestellt, dass Benutzer*innen nur Daten anzeigen oder bearbeiten können, die explizit für ihren Zugriff autorisiert sind, wodurch der Datenschutz und die Kontrolle verbessert werden.

Ausführliche Informationen zur Sicherheit auf Zeilenebene finden Sie unter Sicherheit auf Zeilenebene beim Data Warehousing in Fabric.

Sicherheit auf Spaltenebene

Sicherheit auf Spaltenebene ist eine Datenbanksicherheitsmaßnahme, die den Zugriff auf bestimmte Spalten oder Felder in einer Datenbanktabelle beschränkt, sodass Benutzer*innen nur die autorisierten Spalten anzeigen und damit interagieren können, während vertrauliche oder eingeschränkte Informationen verborgen werden. Sie bietet eine differenzierte Kontrolle über den Datenzugriff, um vertrauliche Daten in einer Datenbank zu schützen.

Ausführliche Informationen zur Sicherheit auf Spaltenebene finden Sie unter Sicherheit auf Spaltenebene in Fabric Data Warehousing.

Dynamische Datenmaskierung

Die dynamische Datenmaskierung hilft, die unbefugte Einsichtnahme in sensible Daten zu verhindern, indem Administratoren festlegen können, wie viele sensible Daten mit minimalen Auswirkungen auf die Anwendungsschicht offengelegt werden sollen. Die dynamische Datenmaskierung kann für bestimmte Datenbankfelder konfiguriert werden, um sensible Daten in den Ergebnismengen von Abfragen zu verbergen. Bei dynamischer Datenmaske werden die Daten in der Datenbank nicht geändert, sodass sie mit vorhandenen Anwendungen verwendet werden können, da Maskierungsregeln auf Abfrageergebnisse angewendet werden. Viele Clientanwendungen können sensible Daten maskieren, ohne vorhandene Abfragen zu ändern.

Ausführliche Informationen zur dynamischen Datenmaskierung finden Sie unter Dynamische Datenmaskierung in Fabric Data Warehousing.

Freigeben eines Warehouse

Die Freigabe ist eine bequeme Möglichkeit, Benutzer*innen Lesezugriff auf Ihr Warehouse für die Downstreamnutzung zu gewähren. Mithilfe der Freigabe können Downstreambenutzer*innen in Ihrer Organisation ein Warehouse mithilfe von SQL, Spark oder Power BI nutzen. Sie können die Berechtigungsebene anpassen, die dem freigegebenen Empfänger gewährt wird, um die entsprechende Zugriffsebene bereitzustellen.

Weitere Informationen zur Freigabe finden Sie unter Freigeben Ihres Warehouse und Verwalten von Berechtigungen.

Anleitung zum Benutzerzugriff

Beachten Sie beim Auswerten der Berechtigungen, die einem Benutzer oder einer Benutzerin zugewiesen werden sollen, die folgenden Anweisungen:

  • Nur Teammitglieder, die derzeit an der Lösung zusammenarbeiten, sollten Arbeitsbereichsrollen (Admin, Mitglied, Mitwirkender) zugewiesen werden, da ihnen dadurch Zugriff auf alle Elemente innerhalb des Arbeitsbereichs gewährt wird.
  • Wenn sie in erster Linie schreibgeschützten Zugriff benötigen, weisen Sie ihnen die Rolle „Anzeigender Benutzer“ zu, und gewähren Sie Lesezugriff auf bestimmte Objekte über T-SQL. Weitere Informationen finden Sie unter Verwalten von granularen SQL-Berechtigungen.
  • Wenn es sich um Benutzer*innen mit höheren Berechtigungen handelt, weisen Sie ihnen die Rolle „Admin“, „Mitglied“ oder „Mitwirkender“ zu. Die entsprechende Rolle hängt von den anderen Aktionen ab, die ausgeführt werden müssen.
  • Andere Benutzer*innen, die nur Zugriff auf ein einzelnes Warehouse oder auf bestimmte SQL-Objekte benötigen, sollten Fabric Item-Berechtigungen erhalten und über SQL Zugriff auf die spezifischen Objekte gewährt werden.
  • Sie können Berechtigungen auch für Microsoft Entra ID (ehemals Azure Active Directory)-Gruppen verwalten, anstatt jedes bestimmte Mitglied hinzuzufügen.

Zugehöriger Inhalt