Merk
Tilgang til denne siden krever autorisasjon. Du kan prøve å logge på eller endre kataloger.
Tilgang til denne siden krever autorisasjon. Du kan prøve å endre kataloger.
Denne veiledningen hjelper deg med å etablere datasikkerhet i speilet BigQuery i Microsoft Fabric.
Viktig!
Vi støtter speiling for Google BigQuery med lokale datagatewayer (OPDG). OPDG 3000.286.6 eller nyere støttes. VNET støttes også.
Sikkerhetshensyn
Du må ha brukertillatelser for BigQuery-databasen din som inneholder følgende tillatelser:
bigquery.datasets.createbigquery.tables.listbigquery.tables.createbigquery.tables.exportbigquery.tables.getbigquery.tables.getDatabigquery.tables.updateDatabigquery.routines.getbigquery.routines.listbigquery.jobs.createstorage.buckets.createstorage.buckets.liststorage.objects.createstorage.objects.deletestorage.objects.listiam.serviceAccounts.signBlob
Hente tabellmetadata og konfigurasjon av endringshistorikk (påkrevd)
Rollene BigQueryAdmin og StorageAdmin skal inkludere disse tillatelsene. Følgende tillatelser kreves for å avgjøre om endringshistorikk er aktivert og for å hente primærnøkkel eller sammensatt nøkkelinformasjon.
Brukeren må ha minst én tilordnet rolle som gir tilgang til BigQuery-forekomsten. Sjekk nettverkskravene for å få tilgang til BigQuery-datakilden din. Hvis du bruker speiling for Google BigQuery for lokal datagateway (OPDG), må du ha OPDG-versjon 3000.286.6 eller nyere for å slå på speiling.
Nødvendige tillatelser
For å manuelt opprette bøtter (og slippe å måtte gi storage.buckets.create-tillatelsen ), kan du bruke:
bigquery.tables.getbigquery.tables.listbigquery.routines.getbigquery.routines.list
- Gå til skylagring i Google Console og velg Bøtter.
- Velg Create og navngi bøtten i dette formatet (kasussensitiv):
<projectid>_fabric_staging_bucket - Sørg for at plasseringen/regionen til bøtten er den samme som GCP-prosjektet du planlegger å speile.
- Velg Opprett. Speilingssystemet vil automatisk oppdage bøtten.
Flere tillatelser kan være nødvendig avhengig av brukstilfellet. De minste nødvendige tillatelsene gjelder for å jobbe med endringshistorikk og håndtere tabeller i ulike størrelser (tabeller større enn 10GB). Selv om du ikke arbeider med tabeller som er større enn 10 GB, aktiverer du alle disse minimumstillatelsene for å gjøre det mulig å bruke speiling.
Hent endringshistorikk og tabelldata (påkrevd)
Hvis du vil ha mer informasjon om tillatelser, kan du se Google BigQuery-dokumentasjonen om nødvendige rettigheter for strømming av data, nødvendige tillatelser for tilgang til endringsloggen og nødvendige tillatelser for å skrive søkeresultater
Følgende tillatelser kreves for å lese endringshistorikk og tabelldata.
Viktig!
Detaljert sikkerhet som opprettes i BigQuery-kildelageret, må konfigureres på nytt i den speilede databasen i Microsoft Fabric. Hvis du vil ha mer informasjon, kan du se SQL Granular-tillatelser i Microsoft Fabric.
Nødvendige tillatelser
bigquery.tables.getDatabigquery.jobs.createbigquery.jobs.getbigquery.jobs.listbigquery.readsessions.createbigquery.readsessions.getData
Aktivering av endringshistorikk-muligheter (påkrevd)
Endringshistorikk må aktiveres i kilde-BigQuery-tabellene ved å bruke ett av følgende alternativer.
Alternativ 1: Aktiver tillatelse
bigquery.tables.update
Tillater aktivering av endringshistorikk på tabeller.
Alternativ 2: Aktiver tabell-alternativet i GCP
Sørg for at følgende tabellvalg er satt til TRUE:
enable_change_history
Eksporter data til Google Cloud Storage for staging og kopier til OneLake (påkrevd)
Følgende tillatelser kreves for å eksportere BigQuery-data til Google Cloud Storage for staging og kopiere dem inn i OneLake.
Nødvendige tillatelser
bigquery.tables.exportstorage.objects.createstorage.objects.liststorage.buckets.getiam.serviceAccounts.signBlob
Google Cloud Storage Bucket for Staging (påkrevd)
En Google Cloud Storage-bøtte er nødvendig for å eksportere BigQuery-tabelldata for staging.
Alternativer for bøtteopprettelse
Bruk en av følgende tilnærminger:
Alternativ 1: Tillat automatisk bøtteopprettelse
Gi følgende tillatelse:
storage.buckets.create
Alternativ 2: Lag manuelt staging-bøtten
Lag en bøtte med følgende navngivningskonvensjon: <your_project_id_in_lowercase>_fabric_staging_bucket
Bøttekrav
- Bøtten må være på samme sted/region som BigQuery-datasettet.
- Speilingssystemet vil automatisk oppdage bøtten når den eksisterer.
Listedatasett (påkrevd)
Nødvendige tillatelser
bigquery.datasets.get
Liste over prosjekter (påkrevd)
Nødvendige tillatelser
resourcemanager.projects.get
Rolle- og tilgangskrav
BigQuery-administrator- og lagringsadministratorrollene inkluderer vanligvis de oppførte tillatelsene.
Brukeren må tildeles minst én rolle som gir tilgang til målet BigQuery-prosjektet og datasettene.
Nettverks- og gateway-krav
Sjekk nettverkskravene for å få tilgang til BigQuery-datakilden din.
Hvis du bruker speiling for Google BigQuery med on-premises Data Gateway (OPDG), må du bruke:
- OPDG versjon 3000.286.6 eller nyere
Ytterligere notater
Flere tillatelser kan være nødvendig avhengig av bruksområdet ditt. Tillatelsene nevnt ovenfor representerer minimumskravet for:
- Arbeid med endringshistorikk
- Håndteringstabeller i ulike størrelser, inkludert tabeller større enn 10 GB
Selv om du ikke jobber med tabeller større enn 10 GB, anbefales det å aktivere alle minimumstillatelser for å sikre vellykket speiling.
Hvis du vil ha mer informasjon, kan du se følgende:
- Påkrevde privilegier for strømming av data
- Påkrevde tillatelser for tilgang til endringshistorikk
- Nødvendige tillatelser for å skrive spørringsresultater
Viktig!
All granulær sikkerhet definert i kilde-BigQuery-lageret må omkonfigureres i den speilede databasen i Microsoft Fabric. Hvis du vil ha mer informasjon, kan du se SQL Granular-tillatelser i Microsoft Fabric.
Funksjoner for databeskyttelse
Du kan sikre kolonnefiltre og predikatbaserte radfiltre i tabeller til roller og brukere i Microsoft Fabric:
Du kan også maskere sensitive data fra ikke-administratorer ved hjelp av dynamisk datamaskering: