共用您的數據和管理許可權
適用於:✅Microsoft Fabric 中的倉儲和鏡像資料庫
共用是一種方便的方式,可為使用者提供數據的讀取許可權,以供下游取用。 共用可讓組織中的下游使用者使用 T-SQL、Spark 或 Power BI 來取用倉儲。 您可以自訂共用收件者授與的權限層級,以提供適當的存取層級。
注意
您必須是工作區中的系統管理員或成員,才能在 Microsoft Fabric 中共享專案。
開始使用
識別您想要與 Fabric 工作區中其他用戶共用的 Warehouse 項目之後,請選取數據列中的快速動作以共用。
下列動畫 GIF 會檢閱選取要共用之倉儲、選取要指派之權限,以及最後授與另一個使用者權限的步驟。
共用倉儲
您可以從 OneLake 或 Warehouse 項目選擇 [從快速動作共用] 來共用您的倉儲,如下圖所示。
系統會提示您選擇您要與誰共用倉儲、授與哪些許可權,以及是否會收到電子郵件通知的選項。
填寫所有必要的欄位,選取 [ 授與存取權]。
當共用收件者收到電子郵件時,他們可以選取 [ 開啟 ] 並流覽至 [Warehouse OneLake 目錄] 頁面。
根據已授與共用接收者的存取層級,共用接收者現在能夠連線到 SQL 分析端點、查詢倉儲、建置報表或透過 Spark 讀取資料。
網狀架構安全性角色
以下是所提供的每個權限的詳細資料:
- 如果未選取任何額外權限 - 依預設,共用接收者會收到「讀取」權限,這僅允許接收者連線到 SQL 分析端點,相當於 SQL Server 中的 CONNECT 權限。 共用收件者將無法查詢任何數據表或檢視,或執行任何函數或預存程式,除非它們可以使用 T-SQL GRANT 語句來存取倉儲中的物件。
提示
ReadData (由倉儲用於 T-SQL 許可權)、 ReadAll (由 OneLake 和 SQL 分析端點使用),以及 組建 (由 Power BI 使用)是不會重疊的個別許可權。
已選取 [使用 SQL 讀取所有數據] (“ReadData” 許可權)- 共用收件者可以讀取倉儲內的所有物件。 ReadData 相當於 SQL Server 中的 db_datareader 角色。 共用接收者可以從倉儲內的所有資料表和檢視讀取資料。 如果您想要進一步限制並提供對倉儲內某些對象的細微存取,您可以使用 T-SQL
GRANTREVOKE//DENY語句來執行這項操作。- 在 Lakehouse 的 SQL 分析端點中,「讀取所有 SQL 端點資料」相當於「使用 SQL 讀取所有資料」。
選取「使用 Apache Spark 讀取所有資料」(「ReadAll」存取權)- 共用接收者具有 OneLake 中基礎 parquet 檔案的讀取存取權,這些檔案可使用 Spark 取用。 只有當共用接收者想要使用 Spark 引擎完整存取倉儲的檔案時,才應提供 ReadAll 存取權。
選取「在預設資料集上建置報表」複選框(「Build」存取權)- 共用接收者可以在連線至倉儲的預設語意模型之上建置報表。 如果共用收件者想要默認語意模型的建置許可權,應該提供組建,以建立此數據的Power BI報表。 依預設已選取 Build 核取方塊,但可以取消選取。
ReadData 權限
使用 ReadData 權限,共用接收者可以在唯讀模式下開啟倉儲編輯器,並查詢倉儲內的資料表和檢視。 共用接收者也可以選擇複製提供的 SQL 分析端點,並連線到用戶端工具來執行這些查詢。
ReadAll 權限
具有 ReadAll 存取權的共用接收者可以從倉儲編輯器的 [屬性] 窗格,找到 OneLake 中特定檔案的 [Azure Blob File System (ABFS) 路徑]。 然後,共用接收者可以在 Spark 筆記本內使用此路徑來讀取此資料。
例如,在下列螢幕擷取畫面中,具有 ReadAll 權限的使用者可以在新的筆記本中使用 Spark 查詢來查詢 FactSale 中的資料。
Build 權限
透過 Build 權限,共用接收者可以在連線至倉儲的預設語意模型之上建立報表。 共用收件者可以從 OneLake 目錄建立 Power BI 報表,或使用 Power BI Desktop 執行相同的動作。
管理權限
[管理權限] 頁面顯示已透過指派工作區角色或項目權限而被授與存取權的使用者清單。
如果您是系統管理員或成員工作區角色的成員,請移至您的工作區,然後選取 [更多選項]。 然後選取 [管理權限]。
![螢幕擷取畫面顯示使用者選取倉儲特色選單中的 [管理權限]。](media/share-warehouse-manage-permissions/manage-permissions-workspace.png#lightbox)
針對已提供工作區角色的使用者,您會看到對應的使用者、工作區角色和許可權。 管理員、成員和參與者工作區角色的成員具有此工作區中專案的讀取/寫入許可權。 檢視者具有 ReadData 權限,而且可以查詢該工作區中倉儲內的所有資料表和檢視。 項目權限 Read、ReadData 和 ReadAll 可以提供給使用者。
![螢幕擷取畫面顯示 Fabric 入口網站中的倉儲的 [管理權限] 頁面。](media/share-warehouse-manage-permissions/manage-permissions-page.png#lightbox)
您可以選擇使用 [管理權限] 來新增或移除權限:
- [移除存取權] 會移除所有項目權限。
- [移除 ReadData] 會移除 ReadData 權限。
- [移除 ReadAll] 會移除 ReadAll 權限。
- [移除 build] 會移除對應預設語意模型的 Build 權限。
資料保護功能
Microsoft Fabric 資料倉儲支援數種技術,系統管理員可用來保護敏感資料免於未經授權的檢視。 藉由保護或混淆未經授權的使用者或角色的資料,這些安全性功能可以在倉儲和 SQL 分析端點中提供資料保護,而不需要變更應用程式。
- 資料行層級安全性可防止未經授權檢視資料表中的資料行。
- 資料列層級安全性可使用熟悉的
WHERE子句篩選述詞,防止未經授權檢視資料表中的資料列。 - 動態資料遮罩可透過使用遮罩來阻止存取完成,防止未經授權檢視敏感資料,例如電子郵件地址或號碼。
限制
- 如果您提供項目權限或移除先前擁有權限的使用者,權限傳播最多可能需要兩個小時。 新的許可權會立即顯示在 [管理許可權] 中。 再次登入,以確保權限會反映在 SQL 分析端點中。
- 共用接收者可以使用擁有者的身分識別來存取倉儲(委派模式)。 確定倉儲的擁有者不會從工作區中移除。
- 共用接收者只能存取所接收的倉儲,而且不能存取與該倉儲相同工作區內的任何其他項目。 如果您想要為小組中的其他使用者提供在倉儲上共同作業的許可權(讀取和寫入存取權),請將他們新增為工作區角色,例如 成員 或 參與者。
- 目前,當您共用倉儲並選擇 [使用 SQL 讀取所有資料] 時,共用接收者會在唯讀模式下存取倉儲編輯器。 這些共用接收者可以建立查詢,但目前無法儲存其查詢。
- 目前,只能透過使用者體驗才能共用倉儲。
- 如果您想要提供對倉儲內特定物件的細微存取,請共用倉儲而不提供任何額外權限,然後使用 T-SQL GRANT 陳述式來提供對特定物件的細微存取權。 如需詳細資訊,請參閱 GRANT、REVOKE 和 DENY 的 T-SQL 語法。
- 如果您在共用對話方塊中看到 ReadAll 權限和 ReadData 權限已停用,請重新整理頁面。
- 共用接收者沒有重新共用倉儲的權限。
- 如果與其他接收者共用建置在倉儲之上的報表,則該共用接收者需要更多權限才能存取報表。 這取決於 Power BI 對語意模型的存取模式:
- 如果透過直接查詢模式存取,則必須將 ReadData 權限(或特定資料表/檢視的細微 SQL 權限)提供給倉儲。
- 如果透過 Direct Lake 模式存取, 則必須將 ReadData 許可權(或 特定資料表/檢視的細微許可權 )提供給倉儲。 Direct Lake 模式是使用倉儲或 SQL 分析端點做為資料來源之語意模型的預設連線類型。 如需詳細資訊,請參閱 Direct Lake 模式。
- 如果透過匯入模式存取,則不需要其他權限。
- 目前不支援直接與SPN共用倉儲。