Защита конфиденциальных данных в базе данных SQL с помощью политик защиты Microsoft Purview
Применимо к:✅базе данных SQL в Microsoft Fabric
Microsoft Purview — это семейство решений по управлению данными, рисками и соответствием требованиям, которые помогут вашей организации управлять всей инфраструктурой данных, а также защищать и контролировать ее. Среди других преимуществ Microsoft Purview позволяет пометить элементы базы данных SQL метками конфиденциальности и определить политики защиты, которые управляют доступом на основе меток конфиденциальности.
В этой статье объясняется, как политики защиты Microsoft Purview работают вместе с элементами управления доступом Microsoft Fabric и средствами управления доступом SQL в базе данных SQL в Microsoft Fabric.
Общие сведения о возможностях Microsoft Purview для Microsoft Fabric, включая базу данных SQL, см. в статьях, перечисленных в связанном содержимом.
Как работают политики защиты в базе данных SQL
Каждая политика защиты для Microsoft Fabric связана с меткой конфиденциальности. Политика защиты управляет доступом к элементам с связанной меткой с помощью двух элементов управления доступом:
Разрешить пользователям сохранять доступ на чтение. При включении указанные пользователи (или пользователи, принадлежащие указанным группам), сохраняют разрешение на чтение элементов на помеченных элементах, если указанные пользователи уже имеют разрешение. Все другие разрешения, которые указанные пользователи имеют на элементе, удаляются. В базе данных SQL разрешение на чтение элемента требуется для подключения пользователя к базе данных. Таким образом, если пользователь не указан в этом элементе управления доступом, пользователь не может подключиться к базе данных.
Разрешить пользователям сохранять полный контроль . При включении указанные пользователи (или пользователи, принадлежащие указанным группам), могут сохранять полный контроль над помеченным элементом, если у указанных пользователей уже есть разрешения или другие разрешения, которые у них могут быть. Для элементов базы данных SQL этот элемент управления позволяет пользователям сохранять разрешение на запись элемента, что означает, что пользователь сохраняет полный административный доступ в базе данных. Если пользователь не указан в этом элементе управления доступом, разрешение на запись элемента фактически удаляется от пользователя. Этот элемент управления не влияет на собственные разрешения SQL пользователя в базе данных. Дополнительные сведения см . в примере 4 и ограничениях.
Примеры
Примеры в этом разделе используют следующую конфигурацию:
- Организация имеет рабочую область Microsoft Fabric, называемую Рабочей областью.
- Рабочая область содержит элемент базы данных SQL с именем Sales, имеющий метку конфиденциальности конфиденциальности.
- В Microsoft Purview существует политика защиты, применимая к Microsoft Fabric. Политика связана с меткой конфиденциальности.
Пример 1
- Пользователь является членом роли участника рабочей области.
- Разрешить пользователям сохранять контроль доступа на чтение включен, но он не включает пользователя.
- Разрешить пользователям сохранять полный контроль доступа отключен или неактивен.
Политика удаляет разрешение на чтение элемента пользователя, поэтому пользователь не может подключиться к базе данных Sales. Таким образом, пользователь не может считывать или получать доступ к данным в базе данных.
Пример 2
- У пользователя есть разрешение на чтение элемента для базы данных Sales.
- Пользователь входит в роль db_owner собственного уровня базы данных SQL в базе данных.
- Разрешить пользователям сохранять контроль доступа на чтение включен, но он не включает пользователя.
- Разрешить пользователям сохранять полный контроль доступа отключен или неактивен.
Политика удаляет разрешение на чтение элемента пользователя, поэтому пользователь не может подключиться к базе данных Sales независимо от собственных разрешений SQL (предоставленных через членство пользователя в роли db_owner) в базе данных. Таким образом, пользователь не может считывать или получать доступ к данным в базе данных.
Пример 3
- Пользователь является членом роли участника рабочей области.
- У пользователя нет собственных разрешений SQL, предоставленных в базе данных.
- Включена функция "Разрешить пользователям сохранять доступ на чтение" и включает пользователя.
- Разрешить пользователям сохранять полный контроль доступа включен, но он не включает пользователя.
В качестве члена роли участника пользователь изначально имеет все разрешения на базу данных sales, включая read, ReadData и Write. Разрешить пользователям сохранять управление доступом на чтение в политике позволяет пользователю сохранять разрешения на чтение и чтение данных, однако разрешение на запись пользователя удаляется пользователям с полным контролем доступа . В результате пользователь может подключиться к базе данных и считывать данные, но пользователь теряет административный доступ к базе данных, включая возможность записи и редактирования данных.
Пример 4
- У пользователя есть разрешение на чтение элемента для базы данных Sales.
- Пользователь входит в роль db_owner собственного уровня базы данных SQL в базе данных.
- Включена функция "Разрешить пользователям сохранять доступ на чтение" и включает пользователя.
- Разрешить пользователям сохранять полный контроль доступа включен, но он не включает пользователя.
Разрешить пользователям сохранять управление доступом на чтение в политике позволяет пользователю сохранять разрешение на чтение. Так как изначально у пользователя нет доступа к полному управлению (разрешение на запись элемента), разрешение на сохранение полного контроля доступа не влияет на разрешение пользователя, предоставленное в Microsoft Fabric. Разрешить пользователям сохранять полный контроль доступа не влияет на собственное разрешение SQL в базе данных. В качестве члена роли db_owner пользователь продолжает иметь административный доступ к базе данных. См . ограничения.
Ограничения
- Разрешить пользователям сохранять полный контроль доступа в политиках защиты Microsoft Purview не влияет на собственные разрешения SQL, предоставленные пользователям в базе данных.