รักษาความปลอดภัยคลังข้อมูล Fabric ของคุณ

นําไปใช้กับ:✅ คลังสินค้าใน Microsoft Fabric

Fabric Data Warehouse ให้บริการโซลูชันคลังข้อมูลขององค์กร ซึ่งได้รับการจัดการทั้งหมดและรวมเข้าด้วยกันอย่างสมบูรณ์ภายใน Microsoft Fabric อย่างไรก็ตาม เมื่อจัดเก็บข้อมูลที่ละเอียดอ่อนและมีความสําคัญต่อธุรกิจ คุณต้องดําเนินการเพื่อเพิ่มความปลอดภัยสูงสุดให้กับคลังสินค้าและข้อมูลที่จัดเก็บไว้ในคลังสินค้า

บทความนี้ให้คําแนะนําเกี่ยวกับวิธีการรักษาความปลอดภัยคลังสินค้าของคุณใน Microsoft Fabric ได้ดีที่สุด

แบบจําลองการเข้าถึงคลังสินค้า

สิทธิ์ของ Microsoft Fabric และสิทธิ์ SQL แบบละเอียดจะทํางานร่วมกันเพื่อควบคุมการเข้าถึงคลังสินค้าและสิทธิ์ของผู้ใช้เมื่อเชื่อมต่อแล้ว

• การเชื่อมต่อคลังสินค้าขึ้นอยู่กับการให้สิทธิ์ Microsoft Fabric Read อย่างน้อยที่สุดสําหรับคลังสินค้า
• สิทธิ์รายการ Microsoft Fabric ช่วยให้ผู้ใช้สามารถให้สิทธิ์ SQL โดยไม่จําเป็นต้องให้สิทธิ์เหล่านั้นภายใน SQL
• บทบาทพื้นที่ทํางาน Microsoft Fabric ให้สิทธิ์ Microsoft Fabric สําหรับคลังสินค้าทั้งหมดภายในพื้นที่ทํางาน
• สิทธิ์ผู้ใช้ระดับแยกย่อยสามารถจัดการเพิ่มเติมได้ผ่านทาง T-SQL

บทบาทพื้นที่ทํางาน

บทบาทพื้นที่ทํางานใช้สําหรับการทํางานร่วมกันของทีมพัฒนาภายในพื้นที่ทํางาน การกําหนดบทบาทจะกําหนดการดําเนินการที่พร้อมใช้งานสําหรับผู้ใช้ และนําไปใช้กับรายการทั้งหมดภายในพื้นที่ทํางาน

• สําหรับภาพรวมของบทบาทพื้นที่ทํางาน Microsoft Fabric โปรดดู บทบาทในพื้นที่ทํางานใน Microsoft Fabric
• สําหรับคําแนะนําเกี่ยวกับการกําหนดบทบาทพื้นที่ทํางาน โปรดดู ให้สิทธิ์ผู้ใช้เข้าถึงพื้นที่ทํางาน

สําหรับรายละเอียดเกี่ยวกับความสามารถเฉพาะของ Warehouse ที่ให้ผ่านบทบาทพื้นที่ทํางาน โปรดดู บทบาทพื้นที่ทํางานใน Fabric Data Warehouse

การอนุญาตรายการ

ตรงกันข้ามกับบทบาทพื้นที่ทํางาน ซึ่งใช้กับสินค้าทั้งหมดภายในพื้นที่ทํางาน สามารถกําหนดสิทธิ์ของสินค้าให้กับคลังสินค้าแต่ละแห่งได้โดยตรง

ปฏิบัติตามหลักการของสิทธิ์น้อยที่สุดเสมอเมื่อให้สิทธิ์และการเป็นสมาชิกบทบาท เมื่อประเมินสิทธิ์ในการกําหนดให้ผู้ใช้ ให้พิจารณาคําแนะนําต่อไปนี้:

• ถ้าพวกเขาจําเป็นต้องมีการเข้าถึงแบบอ่านอย่างเดียวเป็นหลัก ให้กําหนดให้กับบทบาทผู้ชม และอนุญาตให้เข้าถึงแบบอ่านบนวัตถุเฉพาะผ่านทาง T-SQL สําหรับข้อมูลเพิ่มเติม ให้ดู จัดการสิทธิ์แบบแยกย่อยของ SQL
• เฉพาะสมาชิกในทีมที่กําลังทํางานร่วมกันในโซลูชันเท่านั้นที่ควรถูกกําหนดให้กับบทบาทพื้นที่ทํางาน ผู้ดูแลระบบ สมาชิก และผู้สนับสนุน เนื่องจากพวกเขาให้การเข้าถึงรายการทั้งหมดภายในพื้นที่ทํางาน
• ถ้าพวกเขาเป็นผู้ใช้ที่มีสิทธิ์สูงกว่า ให้กําหนดสิทธิ์เหล่านั้นให้กับบทบาทผู้ดูแลระบบ สมาชิก หรือผู้สนับสนุน บทบาทที่เหมาะสมจะขึ้นอยู่กับการดําเนินการอื่น ๆ ที่พวกเขาจําเป็นต้องดําเนินการ
• ผู้ใช้รายอื่นที่ต้องการเข้าถึงเฉพาะคลังสินค้าแต่ละอันหรือต้องการเข้าถึงเฉพาะออบเจ็กต์ SQL เท่านั้นควรได้รับสิทธิ์รายการ Fabric และให้สิทธิ์การเข้าถึงผ่าน SQL ไปยังออบเจ็กต์เฉพาะ
• คุณสามารถจัดการสิทธิ์ในกลุ่ม Microsoft Entra ID ได้เช่นกัน แทนที่จะเพิ่มสมาชิกเฉพาะแต่ละคน สําหรับข้อมูลเพิ่มเติม ดูการรับรองความถูกต้องของ Microsoft Entra เป็นทางเลือกในการรับรองความถูกต้อง SQL ใน Microsoft Fabric
• ตรวจสอบกิจกรรมของผู้ใช้ในคลังสินค้าของคุณด้วยบันทึกการตรวจสอบของผู้ใช้

สําหรับข้อมูลเพิ่มเติมเกี่ยวกับการแชร์ ให้ดู แชร์ข้อมูลของคุณและจัดการสิทธิ์

การรักษาความปลอดภัยระดับแยกย่อย

บทบาทพื้นที่ทํางานและสิทธิ์รายการมอบวิธีง่าย ๆ ในการกําหนดสิทธิ์ที่หยาบให้กับผู้ใช้สําหรับคลังสินค้าทั้งหมด อย่างไรก็ตาม ในบางกรณี ผู้ใช้จําเป็นต้องมีสิทธิ์ที่ละเอียดมากขึ้น เพื่อให้บรรลุเป้าหมายนี้ โครงสร้าง T-SQL มาตรฐานสามารถใช้เพื่อให้สิทธิ์เฉพาะแก่ผู้ใช้ได้

คลังข้อมูล Microsoft Fabric สนับสนุนเทคโนโลยีการป้องกันข้อมูลหลายอย่างที่ผู้ดูแลระบบสามารถใช้เพื่อปกป้องข้อมูลที่ละเอียดอ่อนจากการเข้าถึงโดยไม่ได้รับอนุญาต ด้วยการรักษาความปลอดภัยหรือการขัดขวางข้อมูลจากผู้ใช้หรือบทบาทที่ไม่ได้รับอนุญาต คุณลักษณะการรักษาความปลอดภัยเหล่านี้สามารถให้การป้องกันข้อมูลทั้งในจุดสิ้นสุดการวิเคราะห์คลังสินค้าและ SQL โดยไม่มีการเปลี่ยนแปลงของแอปพลิเคชัน

• ความปลอดภัย ระดับวัตถุควบคุมการเข้าถึงวัตถุฐานข้อมูลที่เฉพาะเจาะจง
• การรักษาความปลอดภัย ระดับคอลัมน์ป้องกันการดูคอลัมน์ในตารางโดยไม่ได้รับอนุญาต
• การรักษาความปลอดภัยระดับแถวป้องกันการดูแถวในตารางโดยไม่ได้รับอนุญาตโดยใช้เพรดิเคตตัวกรองส่วนคําสั่งที่คุ้นเคยWHERE
• การมาสก์ข้อมูลแบบไดนามิกจะป้องกันการ ดูข้อมูลที่สําคัญโดยไม่ได้รับอนุญาตโดยใช้รูปแบบเพื่อป้องกันการเข้าถึงให้เสร็จสมบูรณ์ เช่น ที่อยู่อีเมลหรือตัวเลข

การรักษาความปลอดภัยระดับออบเจ็กต์

การรักษาความปลอดภัยระดับวัตถุเป็นกลไกการรักษาความปลอดภัยที่ควบคุมการเข้าถึงวัตถุฐานข้อมูลที่เฉพาะเจาะจง เช่น ตาราง มุมมอง หรือกระบวนงานที่ยึดตามสิทธิพิเศษของผู้ใช้หรือบทบาท ซึ่งทําให้แน่ใจว่าผู้ใช้หรือบทบาทสามารถโต้ตอบและจัดการวัตถุที่พวกเขาได้รับสิทธิ์เท่านั้น เพื่อปกป้องความสมบูรณ์และความลับของ Schema ฐานข้อมูลและทรัพยากรที่เกี่ยวข้อง

สําหรับรายละเอียดเกี่ยวกับการจัดการสิทธิ์แบบละเอียดใน SQL โปรดดู สิทธิ์แบบละเอียดของ SQL ใน Microsoft Fabric

การรักษาความปลอดภัยระดับต่ำ

การรักษาความปลอดภัยระดับแถวเป็นคุณลักษณะความปลอดภัยของฐานข้อมูลที่จํากัดการเข้าถึงแต่ละแถวหรือระเบียนภายในตารางฐานข้อมูลตามเกณฑ์ที่ระบุ เช่น บทบาทหรือแอตทริบิวต์ของผู้ใช้ ตรวจสอบให้แน่ใจว่าผู้ใช้สามารถดูหรือจัดการข้อมูลที่ได้รับอนุญาตให้เข้าถึง เพิ่มความเป็นส่วนตัวและการควบคุมข้อมูลได้อย่างชัดเจน

สําหรับรายละเอียดเกี่ยวกับการรักษาความปลอดภัยระดับแถว โปรดดู การรักษาความปลอดภัยระดับแถวในคลังข้อมูล Fabric

ความปลอดภัยระดับคอลัมน์

การรักษาความปลอดภัยระดับคอลัมน์คือ หน่วยวัดความปลอดภัยของฐานข้อมูลที่จํากัดการเข้าถึงคอลัมน์หรือเขตข้อมูลที่ระบุภายในตารางฐานข้อมูล ซึ่งอนุญาตให้ผู้ใช้สามารถดูและโต้ตอบกับเฉพาะคอลัมน์ที่ได้รับอนุญาตเท่านั้นในขณะที่เก็บข้อมูลที่สําคัญหรือข้อมูลที่ถูกจํากัด มีการควบคุมการเข้าถึงข้อมูลอย่างละเอียด ปกป้องข้อมูลที่เป็นความลับภายในฐานข้อมูล

สําหรับรายละเอียดเกี่ยวกับการรักษาความปลอดภัยระดับคอลัมน์ โปรดดู การรักษาความปลอดภัยระดับคอลัมน์ในคลังข้อมูล Fabric

การมาสก์ข้อมูลแบบไดนามิก

การมาสก์ข้อมูลแบบไดนามิกช่วยป้องกันการดูข้อมูลที่สําคัญโดยไม่ได้รับอนุญาตโดยเปิดให้ผู้ดูแลระบบระบุปริมาณข้อมูลที่ละเอียดอ่อนที่จะเปิดเผย โดยมีผลน้อยที่สุดในเลเยอร์ของแอปพลิเคชัน สามารถกําหนดค่าการมาสก์ข้อมูลแบบไดนามิกบนเขตข้อมูลฐานข้อมูลที่กําหนดเพื่อซ่อนข้อมูลที่ละเอียดอ่อนในชุดผลลัพธ์ของคิวรี ด้วยการมาสก์ข้อมูลแบบไดนามิก ข้อมูลในฐานข้อมูลจะไม่ถูกเปลี่ยนแปลง ดังนั้นจึงสามารถใช้กับแอปพลิเคชันที่มีอยู่ได้เนื่องจากมีการใช้กฎการมาสก์กับผลลัพธ์ของคิวรี แอปพลิเคชันจํานวนมากสามารถซ่อนตัวข้อมูลที่สําคัญได้โดยไม่ต้องปรับเปลี่ยนคิวรีที่มีอยู่

สําหรับรายละเอียดเกี่ยวกับการมาสก์ข้อมูลแบบไดนามิก โปรดดู คลังข้อมูลแบบไดนามิกในคลังข้อมูล Fabric

บันทึกการตรวจสอบผู้ใช้

เพื่อติดตามกิจกรรมของผู้ใช้ในคลังสินค้าและจุดสิ้นสุดการวิเคราะห์ SQL สําหรับการปฏิบัติตามกฎระเบียบและข้อกําหนดการจัดการบันทึก จึงสามารถเข้าถึงชุดกิจกรรมการตรวจสอบได้ผ่านทาง Microsoft Purview และ PowerShell

• คุณสามารถใช้บันทึกการตรวจสอบผู้ใช้เพื่อระบุบุคคลที่ดําเนินการกับรายการ Fabric ของคุณ
• เมื่อต้องการเริ่มต้นใช้งาน เรียนรู้วิธีกําหนดค่าบันทึกการตรวจสอบ SQL ใน Fabric Data Warehouse (ตัวอย่าง)
• คุณสามารถติดตามกิจกรรมของผู้ใช้ทั่วทั้ง Microsoft Fabric สําหรับข้อมูลเพิ่มเติม โปรดดูรายการ การดําเนินการ

การรักษาความปลอดภัยปลายทางการวิเคราะห์ SQL

สําหรับข้อมูลเพิ่มเติมเกี่ยวกับการรักษาความปลอดภัยในตําแหน่งข้อมูลการวิเคราะห์ SQL โปรดดู การรักษาความปลอดภัย OneLake สําหรับตําแหน่งข้อมูลการวิเคราะห์ SQL

การเข้ารหัสคีย์ที่จัดการโดยลูกค้า (CMK)

คุณสามารถปรับปรุงเสถียรภาพการรักษาความปลอดภัยได้โดยใช้คีย์ที่จัดการโดยลูกค้า (CMK) ซึ่งช่วยให้คุณควบคุมคีย์การเข้ารหัสที่ปกป้องข้อมูลและเมตาของคุณได้โดยตรง เมื่อคุณเปิดใช้งาน CMK สําหรับพื้นที่ทํางานที่มี Fabric Data Warehouse ทั้งข้อมูล OneLake และข้อมูลเมตาของคลังสินค้าจะได้รับการปกป้องโดยใช้คีย์การเข้ารหัสลับที่โฮสต์โดย Azure Key Vault ของคุณ สําหรับข้อมูลเพิ่มเติม โปรดดู การเข้ารหัสลับข้อมูลใน Fabric Data Warehouse

เนื้อหาที่เกี่ยวข้อง

• การเชื่อมต่อคลังสินค้าใน Microsoft Fabric
• บทบาทพื้นที่ทํางานใน Fabric Data Warehouse
• สิทธิ์ระดับแยกย่อยของ SQL ใน Microsoft Fabric