Suojaa tiedot Microsoft Fabric peilatut tietokannat Google BigQuerystä

Tämän oppaan avulla voit määrittää tietoturvan peilatussa BigQueryssä Microsoft Fabricissa.

Suojausnäkökohdat

Tarvitset käyttöoikeudet BigQuery-tietokantaan, joka sisältää seuraavat käyttöoikeudet:

• bigquery.datasets.create
• bigquery.tables.list
• bigquery.tables.create
• bigquery.tables.export
• bigquery.tables.get
• bigquery.tables.getData
• bigquery.tables.updateData
• bigquery.routines.get
• bigquery.routines.list
• bigquery.jobs.create
• storage.buckets.create
• storage.buckets.list
• storage.objects.create
• storage.objects.delete
• storage.objects.list
• iam.serviceAccounts.signBlob

Hae taulun metatiedot ja muutoshistorian konfiguraatio (vaaditaan)

BigQueryAdmin- ja StorageAdmin-rooleihin tulee sisältyä nämä käyttöoikeudet. Seuraavat käyttöoikeudet vaaditaan muutoshistorian käyttöönoton selvittämiseen ja ensisijaisen avaimen tai yhdistelmäavaimen tietojen hakemiseen.

Käyttäjälle on määritettävä vähintään yksi rooli, joka sallii BigQuery-esiintymän käytön. Tarkista verkkovaatimukset, jotta voit käyttää BigQuery-tietolähdettäsi. Jos käytät Google BigQuery for On-Premises Data Gatewayn (OPDG) peilausta, sinulla on oltava OPDG-versio 3000.286.6 tai uudempi, jotta peilaus onnistuu.

Vaaditut käyttöoikeudet

Luodaksesi bucketit manuaalisesti (ja jättääksesi pois storage.buckets.create-luvan ), voit käyttää:

• bigquery.tables.get
• bigquery.tables.list
• bigquery.routines.get
• bigquery.routines.list

1. Siirry Google Consolen Cloud Storageen ja valitse Buckets.
2. Valitse Luo ja nimeä ämpäri tässä muodossa (kirjainkoon herkkä): <projectid>_fabric_staging_bucket
3. Varmista, että kauhan sijainti/alue on sama kuin GCP-projektissa, jota aiot peilata.
4. Valitse Luo. Peilausjärjestelmä tunnistaa ämpärin automaattisesti.

Lisää käyttöoikeuksia saatetaan tarvita käyttötapauksestasi riippuen. Vähimmäisvaatimukset koskevat muutoshistorian käsittelyä ja erikokoisten taulukoiden (yli 10GB) käsittelyä. Vaikka et käyttäisi yli 10 Gt:n taulukoita, ota kaikki nämä vähimmäiskäyttöoikeudet käyttöön, jotta peilauksen käyttö onnistuu.

Hae muutoshistoria ja taulukkotiedot (vaaditaan)

Lisätietoja käyttöoikeuksista on Google BigQueryn dokumentaatiossa Striimausdatan edellyttämät oikeudet, Muutoshistorian käytön edellyttämät käyttöoikeudet ja Kyselytulosten kirjoittamiseen vaadittavat käyttöoikeudet

Seuraavat oikeudet vaaditaan muutoshistorian ja taulukkotietojen lukemiseen.

Vaaditut käyttöoikeudet

• bigquery.tables.getData
• bigquery.jobs.create
• bigquery.jobs.get
• bigquery.jobs.list
• bigquery.readsessions.create
• bigquery.readsessions.getData

Muutoshistorian ominaisuuksien käyttöönotto (vaaditaan)

Muutoshistoria on otettava käyttöön lähde-BigQuery-tauluissa jollain seuraavista vaihtoehdoista.

Vaihtoehto 1: Ota käyttöoikeus käyttöön

• bigquery.tables.update

Mahdollistaa muutoshistorian käytön taulukoissa.

Vaihtoehto 2: Ota taulukkovaihtoehto käyttöön GCP:ssä

Varmista, että seuraava taulukkovaihtoehto on TRUEasetettu :

• enable_change_history

Vie data Google Cloud Storageen stagingia varten ja kopioi ne OneLakeen (vaaditaan)

Seuraavat oikeudet vaaditaan BigQuery-datan viemiseen Google Cloud Storageen vaiheittamista varten ja kopiointiin OneLakeen.

Vaaditut käyttöoikeudet

• bigquery.tables.export
• storage.objects.create
• storage.objects.list
• storage.buckets.get
• iam.serviceAccounts.signBlob

Google Cloud Storage Bucket stagingiin (vaaditaan)

Google Cloud Storage -ämpäri vaaditaan BigQuery-tauludatan viemiseen vaiheitukseen.

Ämpärien valmistusvaihtoehdot

Käytä jotakin seuraavista tavoista:

Vaihtoehto 1: Salli automaattinen ämpärin luominen

Myönnetään seuraava lupa:

• storage.buckets.create

Vaihtoehto 2: Luo staging bucket manuaalisesti

Luo ämpäri seuraavalla nimeämiskäytännöllä: <your_project_id_in_lowercase>_fabric_staging_bucket

Ämpärivaatimukset

• Bucketin on oltava samassa paikassa/alueella kuin BigQuery-aineisto.
• Peilausjärjestelmä tunnistaa ämpärin automaattisesti, kun se on olemassa.

Listatietoaineistot (vaaditaan)

Vaaditut käyttöoikeudet

• bigquery.datasets.get

Listaa projektit (pakollinen)

Vaaditut käyttöoikeudet

• resourcemanager.projects.get

Rooli- ja käyttöoikeusvaatimukset

BigQueryn ylläpitäjä- ja tallennusjärjestelmänvalvojan roolit sisältävät tyypillisesti yllä mainitut oikeudet.

Käyttäjälle on annettava vähintään yksi rooli, joka antaa pääsyn kohdeprojektiin ja tietoaineistoihin.

Verkko- ja porttivaatimukset

Tarkista verkkovaatimukset, jotta voit käyttää BigQuery-tietolähdettäsi.

Jos käytät Google BigQueryn peilausta paikallisen Data Gatewayn (OPDG) kanssa, sinun tulee käyttää:

• OPDG-versio 3000.286.6 tai uudempi

Lisähuomautuksia

Käyttötapauksestasi riippuen saatetaan tarvita lisää käyttöoikeuksia. Yllä luetellut oikeudet edustavat vähimmäisvaatimusta :

• Työskentely muutoshistorian parissa
• Eri kokoisia käsittelytaulukoita, mukaan lukien yli 10 GB kokoiset pöydät

Vaikka et tällä hetkellä käyttäisi yli 10 GB kokoisia taulukoita, kaikkien minimioikeuksien käyttöönotto on suositeltavaa peilauksen onnistumisen varmistamiseksi.

Lisätietoja on seuraavissa artikkeleissa:

• Vaaditut oikeudet suoratoistodatalle
• Vaaditut käyttöoikeudet muutoshistorian käyttöön
• Vaaditut oikeudet kyselytulosten kirjoittamiseen

Tietosuojaominaisuudet

Voit suojata taulukoiden sarakesuodattimet ja predikaattipohjaiset rivisuodattimet rooleille ja käyttäjille Microsoft Fabricissa:

• Rivitason suojaus Fabric-tietovarastossa
• Saraketason suojaus Fabric-tietovarastossa

Voit myös peittää muiden kuin järjestelmänvalvojien arkaluontoiset tiedot dynaamisen tietojen peittämisen avulla:

• Dynaaminen tietojen peittäminen Fabric-tietovarastossa

Aiheeseen liittyvä sisältö

• Google BigQuery -peilauksen yleiskatsaus
• Opastus peilauksen määrittämiseen Google BigQueryä varten