本指南可帮助你在 Microsoft Fabric 的镜像 Azure SQL 托管实例数据库中建立数据安全性。
安全要求
如果 Azure SQL 托管实例不可公开访问, 请创建虚拟网络数据网关 或 本地数据网关 来镜像数据。 确保 Azure 虚拟网络或网关服务器的网络可以通过 专用终结点连接到 Azure SQL 托管实例。
Azure SQL 托管实例的系统分配托管标识(SAMI)需要启用,并且必须作为主要标识。 若要配置或验证是否已启用 SAMI,请转到 Azure 门户中的 SQL 托管实例。 在“资源”菜单中的“安全性”下,选择“标识”。 然后在“系统分配的托管标识”下,将“状态”设置为“开启”。
- 启用 SAMI 后,如果禁用或删除 SAMI,Azure SQL 托管实例到 Fabric OneLake 的镜像将失败。
- 启用 SAMI 后,如果添加用户分配的托管标识(UAMI),它将变为主要标识,并将 SAMI 替换为主要标识。 这将导致复制失败。 若要解决此问题,请删除 UAMI。
Fabric 需要连接到 Azure SQL 托管实例。 为此,请创建具有有限权限的专用数据库用户,以遵循最低权限原则。 有关教程,请参阅 教程:从 Azure SQL 托管实例配置 Microsoft Fabric 镜像数据库。
重要
必须在 Microsoft Fabric 的镜像数据库中重新配置在源数据库中建立的任何精细安全性设置。 有关详细信息,请参阅 Microsoft Fabric 中的 SQL 粒度权限。
Microsoft Fabric 中的数据保护功能
可以将表上的列筛选器和基于谓词的行筛选器保护到 Microsoft Fabric 中的角色和用户:
还可以使用动态数据掩码从非管理员屏蔽敏感数据: