Configurar controle de acesso granular para um banco de dados SQL

Aplica-se a:✅Banco de dados SQL no Microsoft Fabric

As funções de espaço de trabalho de malha e as permissões de item permitem que você configure facilmente a autorização para os usuários do banco de dados que precisam de acesso administrativo total ou acesso somente leitura ao banco de dados.

Para configurar o acesso granular ao banco de dados, use controles de acesso SQL: funções no nível do banco de dados, permissões SQL e/ou segurança em nível de linha (RLS).

Você pode gerenciar a associação de funções no nível de banco de dados e definir funções personalizadas (definidas pelo usuário) para cenários comuns de acesso a dados usando o portal de malha. Você pode configurar todos os controles de acesso SQL usando Transact-SQL.

Gerenciar funções no nível do banco de dados SQL a partir do portal Fabric

Para começar a gerenciar funções no nível de banco de dados para um banco de dados SQL de malha:

1. Navegue e abra seu banco de dados no portal do Fabric.
2. No menu principal, selecione Segurança e selecione Gerenciar segurança SQL.

1. A página Gerenciar segurança SQL é aberta.

Para adicionar uma nova função personalizada (definida pelo usuário) no nível de banco de dados que permita que seus membros acessem objetos em esquemas específicos do seu banco de dados:

1. Na página Gerenciar segurança SQL, selecione Novo.
2. Na página Nova função, insira um nome de função.
3. Selecione um ou mais esquemas.
4. Selecione as permissões que deseja conceder aos membros da função para cada esquema selecionado. As permissões Selecionar, Inserir, Atualizar e Excluir aplicam-se a todas as tabelas e exibições em um esquema. A permissão Executar aplica-se a todos os procedimentos armazenados e funções em um esquema.
5. Selecione Guardar.

Para alterar a definição de uma função personalizada no nível de banco de dados:

1. Na página Gerenciar segurança SQL, selecione uma função personalizada e selecione Editar.
2. Altere um nome de função ou as permissões de função para seus esquemas de banco de dados.

   Nota

   A página Gerenciar segurança SQL permite exibir e gerenciar apenas as cinco permissões no nível do esquema. Se você concedeu à função , , , , ou EXECUTE para um objeto diferente de um esquema, ou se concedeu à função outras permissões por meio da instrução GRANT Transact-SQL, a página Gerenciar segurança SQL não as mostra. DELETEUPDATEINSERTSELECT

3. Selecione Guardar.

Para excluir uma função personalizada no nível de banco de dados:

1. Na página Gerenciar segurança SQL, selecione uma função e selecione Excluir.
2. Selecione Excluir novamente, quando solicitado.

Para exibir a lista de membros da função e adicionar ou remover membros da função:

1. Na página Gerenciar segurança SQL, selecione uma função interna ou personalizada e selecione Gerenciar acesso.
   • Para adicionar membros da função:
     1. No campo Adicionar pessoas, grupos ou aplicações, escreva um nome e selecione um utilizador, grupo ou aplicação nos resultados da pesquisa. Você pode repetir isso para adicionar outras pessoas, grupos ou aplicativos.
     2. Selecione Adicionar.
     3. Se alguns dos membros da função que você está adicionando não tiverem a permissão Ler item para o banco de dados na Malha, o botão Compartilhar banco de dados será exibido. Selecione-o para abrir a caixa de diálogo Conceder acesso às pessoas e selecione Conceder para compartilhar o banco de dados. Conceder permissões compartilhadas ao banco de dados concederá a permissão Ler item aos membros da função que ainda não a têm. Para obter mais informações sobre como compartilhar um banco de dados SQL, consulte Compartilhar seu banco de dados SQL e gerenciar permissões.

     Importante

     Para se conectar a um banco de dados, um usuário ou um aplicativo deve ter a permissão Ler item para o banco de dados na Malha, independentemente de sua associação a funções no nível de banco de dados SQL ou permissões SQL dentro do banco de dados.

   • Para remover membros da função:
     1. Selecione os membros da função que deseja remover.
     2. Selecione Remover.
2. Selecione Salvar para salvar suas alterações na lista de membros da função.

   Nota

   Quando você adiciona um novo membro de função que não tem nenhum objeto de usuário no banco de dados, o portal de malha cria automaticamente um objeto de usuário para o membro da função em seu nome (usando CREATE USER (Transact-SQL)). O portal de malha não remove objetos de usuário do banco de dados quando um membro da função é removido de uma função.

Configurar controles SQL com Transact-SQL

Para configurar o acesso para um usuário ou um aplicativo usando o Transact SQL:

1. Partilhe a base de dados com o utilizador/aplicação, ou com o grupo Microsoft Entra ao qual o utilizador/aplicação também pertence. O compartilhamento do banco de dados garante que o usuário/aplicativo tenha a permissão Ler item para o banco de dados na Malha, que é necessária para se conectar ao banco de dados. Para obter mais informações, consulte Compartilhar seu banco de dados SQL e gerenciar permissões.
2. Crie um objeto de usuário para o usuário, o aplicativo ou seu grupo no banco de dados, usando CREATE USER (Transact-SQL). Para obter mais informações, consulte Criar usuários de banco de dados para identidades do Microsoft Entra.
3. Configure os controles de acesso desejados:
   1. Defina funções personalizadas (definidas pelo usuário) no nível do banco de dados. Para gerenciar definições de funções personalizadas, use CREATE ROLE, ALTER ROLE e DROP ROLE.
   2. Adicione o objeto de usuário a funções personalizadas ou internas (fixas) com as ADD MEMBER opções e DROP MEMBER da instrução ALTER ROLE .
   3. Configure permissões SQL granulares para o objeto de usuário com as instruções GRANT, REVOKE e DENI.
   4. Configure a segurança em nível de linha (RLS) para conceder/negar acesso a linhas específicas em uma tabela para o objeto de usuário.

Conteúdos relacionados

• Autorização em banco de dados SQL
• Compartilhe seu banco de dados SQL e gerencie permissões