Proteja dados confidenciais no banco de dados SQL com políticas de proteção do Microsoft Purview

Aplica-se a:✅Banco de dados SQL no Microsoft Fabric

O Microsoft Purview é uma família de soluções em matéria de governação, risco e conformidade de dados que pode ajudar a sua organização a governar, proteger e gerir todo o seu património de dados. Entre outros benefícios, o Microsoft Purview permite que você rotule seus itens do banco de dados SQL com rótulos de confidencialidade e defina políticas de proteção que controlam o acesso com base em rótulos de sensibilidade.

Este artigo explica como as políticas de proteção do Microsoft Purview funcionam em conjunto com os controles de acesso do Microsoft Fabric e os controles de acesso SQL no banco de dados SQL no Microsoft Fabric.

Para obter informações gerais sobre os recursos do Microsoft Purview para o Microsoft Fabric, incluindo o banco de dados SQL, consulte os artigos listados em Conteúdo relacionado.

Como funcionam as políticas de proteção no banco de dados SQL

Cada política de proteção do Microsoft Fabric está associada a um rótulo de sensibilidade. Uma política de proteção controla o acesso a itens que têm o rótulo associado por meio de dois controles de acesso:

• Permitir que os usuários mantenham o acesso de leitura - Quando habilitado, permite que os usuários especificados (ou os usuários pertencentes aos grupos especificados) mantenham a permissão Ler item em itens rotulados se os usuários especificados já tiverem a permissão. Quaisquer outras permissões que os usuários especificados tenham no item serão removidas. No banco de dados SQL, a permissão Ler item é necessária para que um usuário se conecte a um banco de dados. Portanto, se um usuário não for especificado nesse controle de acesso, ele não poderá se conectar ao banco de dados.

• Permitir que os usuários mantenham o controle total - Quando habilitado, permite que os usuários especificados (ou os usuários pertencentes aos grupos especificados) mantenham o controle total sobre o item rotulado se os usuários especificados já o tiverem, ou quaisquer outras permissões que possam ter. Para itens de banco de dados SQL, esse controle permite que os usuários mantenham a permissão Gravar item, o que significa que o usuário mantém acesso administrativo total dentro do banco de dados. Se um usuário não for especificado nesse controle de acesso, a permissão Gravar item será efetivamente removida do usuário. Esse controle não tem efeito sobre as permissões nativas SQL do usuário no banco de dados - para obter mais informações, consulte Exemplo 4 e limitações.

Exemplos

Os exemplos nesta seção compartilham a seguinte configuração:

• Uma organização tem um espaço de trabalho do Microsoft Fabric, chamado Produção.
• O espaço de trabalho contém um item do banco de dados SQL, chamado Sales, que tem o rótulo de sensibilidade Confidencial.
• No Microsoft Purview, há uma política de proteção aplicável ao Microsoft Fabric. A política está associada ao rótulo de sensibilidade confidencial.

Exemplo 1

• Um usuário é membro da função de Colaborador do espaço de trabalho Produção.
• O controle Permitir que os usuários mantenham o acesso de leitura está habilitado, mas não inclui o usuário.
• O controle de acesso Permitir que os usuários mantenham controle total está desabilitado/inativo.

A política remove a permissão de item de leitura do usuário, portanto, o usuário não pode se conectar ao banco de dados Sales. Assim, o usuário não pode ler ou acessar nenhum dado no banco de dados.

Exemplo 2

• Um usuário tem a permissão Ler item para o banco de dados Sales.
• O usuário é membro da função de nível de banco de dados nativo do db_owner SQL no banco de dados.
• O controle Permitir que os usuários mantenham o acesso de leitura está habilitado, mas não inclui o usuário.
• O controle de acesso Permitir que os usuários mantenham controle total está desabilitado/inativo.

A política remove a permissão de item de leitura do usuário, portanto, o usuário não pode se conectar ao banco de dados Sales, independentemente das permissões nativas SQL do usuário (concedidas por meio da associação do usuário à função db_owner) no banco de dados. Assim, o usuário não pode ler ou acessar nenhum dado no banco de dados.

Exemplo 3

• Um usuário é membro da função de Colaborador do espaço de trabalho Produção.
• O usuário não tem permissões nativas do SQL concedidas no banco de dados.
• O controle Permitir que os usuários mantenham acesso de leitura está habilitado e inclui o usuário.
• O controle de acesso Permitir que os usuários mantenham controle total está habilitado, mas não inclui o usuário.

Como membro da função de Colaborador, o usuário inicialmente tem todas as permissões no banco de dados Sales, incluindo Read, ReadData e Write. O controle Permitir que os usuários mantenham o acesso de leitura na política permite que o usuário mantenha as permissões Ler e ReadData, no entanto, o controle de acesso Permitir que os usuários mantenham controle total remove a permissão de Gravação do usuário. Como resultado, o usuário pode se conectar ao banco de dados e ler dados, mas o usuário perde o acesso administrativo ao banco de dados, incluindo a capacidade de gravar/editar dados.

Exemplo 4

• Um usuário tem a permissão Ler item para o banco de dados Sales.
• O usuário é membro da função de nível de banco de dados nativo do db_owner SQL no banco de dados.
• O controle Permitir que os usuários mantenham acesso de leitura está habilitado e inclui o usuário.
• O controle de acesso Permitir que os usuários mantenham controle total está habilitado, mas não inclui o usuário.

O controle Permitir que os usuários mantenham acesso de leitura na política permite que o usuário mantenha permissão de Ler. Como o usuário não tem inicialmente acesso de controle total (a permissão Gravar item), o controle de acesso Permitir que os usuários mantenham controle total não tem nenhum efeito sobre a permissão do usuário concedida no Microsoft Fabric. O controle de acesso Permitir que os usuários mantenham controle total não afeta a permissão SQL nativa do usuário no banco de dados. Como membro da função db_owner, o usuário continua a ter acesso administrativo ao banco de dados. Consulte Limitações.

Limitações

• As políticas de proteção Permitir que os usuários mantenham o controle de acesso total nas políticas de proteção do Microsoft Purview não têm impacto nas permissões nativas do SQL, concedidas aos usuários em um banco de dados.

Conteúdos relacionados

• Usar o Microsoft Purview para controlar o Microsoft Fabric
• Proteção de informações no Microsoft Fabric
• Políticas de proteção no Microsoft Fabric (visualização)
• Criar e gerenciar políticas de proteção para o Fabric (visualização)
• Autorização no banco de dados SQL no Microsoft Fabric