Azure Synapse Dedicated SQL pool企业权限管理

最新推荐文章于 2025-05-01 21:00:17 发布
最新推荐文章于 2025-05-01 21:00:17 发布
阅读量326 收藏 5
点赞数 1
文章标签: azure sql etl 开发语言 数据仓库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_30777913/article/details/147600891
版权

我有一个组织,组织里一些部门,部门里由多人组成,组织的数据存储在Azure Synapse Dedicated SQL pool数据仓库里,我希望让不同的部门的成员有不同的数据访问权限,包括表权限,列级权限,行级权限和数据掩码及其组合。

在 Azure Synapse Analytics 专用 SQL 池中实现细粒度权限管理,可通过以下结构化方案实现多层级数据访问控制:

配合Azure Purview进行数据资产分类,实现基于敏感度标签的自动策略应用。

1. 身份体系构建

-- 创建部门专属角色
CREATE ROLE Dept_Finance;
CREATE ROLE Dept_HR;
CREATE ROLE Dept_Sales;

-- 将AD组/用户映射到角色
EXEC sp_addrolemember 'Dept_Finance', 'finance-group@domain.com';
EXEC sp_addrolemember 'Dept_HR', 'hr-user@domain.com';

2. 表级权限控制

-- 财务部拥有SalesData完全权限
GRANT SELECT, INSERT, UPDATE ON SalesData TO Dept_Finance;

-- 销售部只读访问
GRANT SELECT ON SalesData TO Dept_Sales;

-- HR部门禁止访问敏感表
DENY SELECT ON EmployeeSalaries TO Dept_HR;

3. 列级安全实现

方案A:精确列授权
-- 允许HR查看员工基本信息列
GRANT SELECT ON Employees(EmployeeID, FirstName, LastName) TO Dept_HR;

-- 屏蔽薪资字段
DENY SELECT ON Employees(Salary, Bonus) TO Dept_HR;
方案B:动态列掩码
-- 创建电话号码掩码
ALTER TABLE Customers 
ALTER COLUMN Phone ADD MASKED WITH (FUNCTION = 'partial(3,"-XXXX",2)');

-- 配置掩码可见权限
GRANT UNMASK TO Dept_Finance;

4. 行级安全策略

-- 创建行过滤函数
CREATE FUNCTION dbo.fn_DeptFilter(@DeptID AS int)  
RETURNS TABLE  
WITH SCHEMABINDING  
AS RETURN  
SELECT 1 AS result  
WHERE 
    @DeptID = CAST(SESSION_CONTEXT(N'DepartmentID') AS int) 
    OR IS_MEMBER('AdminRole') = 1;

-- 应用安全策略
CREATE SECURITY POLICY DeptFilter  
ADD FILTER PREDICATE dbo.fn_DeptFilter(DepartmentID) ON dbo.SalesData,
ADD BLOCK PREDICATE dbo.fn_DeptFilter(DepartmentID) ON dbo.SalesData AFTER INSERT;

5. 上下文参数传递

# 用户登录时注入部门标识
Invoke-SqlCmd -Query "EXEC sp_set_session_context @key=N'DepartmentID', @value=123"

6. 组合权限验证测试

-- 模拟HR用户访问
EXECUTE AS USER = 'hr-user@domain.com';
SELECT * FROM Employees; -- 应仅显示基础列
SELECT * FROM SalesData; -- 应返回空集
REVERT;

-- 验证财务数据访问
EXECUTE AS USER = 'finance-user@domain.com';
SELECT * FROM CustomerPayments; -- 应显示完整数据
REVERT;

7. 监控与审计配置

-- 启用SQL审计
CREATE DATABASE AUDIT SPECIFICATION [DataAccessAudit]
FOR SERVER AUDIT [SynapseAudit]
ADD (SELECT, UPDATE, INSERT ON DATABASE::[YourDB] BY [public])
WITH (STATE = ON);

实施建议

  1. 权限分层设计:采用角色嵌套架构,创建基础权限角色(如DataReader_Base)实现权限复用

  2. 动态权限管理:通过自动化脚本同步AD组与数据库角色成员关系

# 自动化角色同步示例
Sync-ADGroupToSQLRole -ADGroup "Finance" -SQLRole "Dept_Finance"
  1. 敏感数据保护:对核心字段启用Always Encrypted技术
CREATE COLUMN MASTER KEY [CMK_Auto1] 
WITH (KEY_STORE_PROVIDER_NAME = 'AZURE_KEY_VAULT',
      KEY_PATH = 'https://yourvault.vault.azure.net/keys/CMK/123');

CREATE COLUMN ENCRYPTION KEY [CEK_Salary]
WITH VALUES (
    COLUMN_MASTER_KEY = [CMK_Auto1],
    ALGORITHM = 'RSA_OAEP',
    ENCRYPTED_VALUE = 0x01AB...);
  1. 定期权限审查:使用内置报表分析权限分配
SELECT 
    r.name AS role_name,
    m.name AS member_name,
    o.name AS object_name,
    p.permission_name
FROM sys.database_role_members rm
JOIN sys.database_principals r ON rm.role_principal_id = r.principal_id
JOIN sys.database_principals m ON rm.member_principal_id = m.principal_id
LEFT JOIN sys.database_permissions p ON p.grantee_principal_id = r.principal_id
LEFT JOIN sys.objects o ON p.major_id = o.object_id;

该方案通过RBAC体系实现:

  • 垂直权限控制(表/列级)
  • 水平权限控制(行级)
  • 动态数据脱敏
  • 上下文感知访问
优化 Azure Synapse Dedicated SQL Pool中的 SQL 执行性能的经验方法
weixin_30777913的博客
01-10 991
Azure Synapse Dedicated SQL Pool中优化 SQL 执行涉及了解底层体系结构(例如分布和分区)、查询优化(例如避免不必要的子查询和联接),以及利用具体化视图和 PolyBase 等工具进行高效数据加载。
Azure Synapse Dedicated SQL Pool实用命令语句
weixin_30777913的博客
01-20 1589
其中schema_name是架构名,materialized_view_name是物化视图名称,SELECTquery是用于定义物化视图内容的查询语句,如示例中的按column1和column2分组并计算column3总和的查询。这个命令创建了一个分区表,根据column3列的值进行分区,这里使用了RANGERIGHT分区方式,将数据按照给定的日期值分区存储,有助于提高数据管理和查询性能,特别是针对时间序列等数据。不过需要注意的是,这种方式会增加存储和维护成本。
Azure Synapse Dedicated SQL Pool通过配置选项和参数优化性能
weixin_30777913的博客
01-16 684
• 策略:对于大型表,采用分区可以有效地减少I/O并提高查询性能,尤其是范围查询。• 选择:在大数据量表中,选择经常用于JOIN、WHERE条件中的列作为分布键,如Date、ID等。• 策略:为需要更多资源的查询分配更高的资源类,如使用“largerc”进行资源密集型查询。• 策略:始终对大型事实表使用CCI,避免在大型表上使用传统的行存储索引。• 策略:将ETL作业拆分成较小的批次进行加载,避免一次性加载过大的数据。• 策略:使用合适的分布键、分区策略,并定期监控和调整。
Azure Synapse Dedicated SQL pool里大型表对大型表分批合并数据的策略
weixin_30777913的博客
04-13 814
Azure Synapse Dedicated SQL pool中大型表的数据通过MERGE INTO语句合并到另一张大型表的时间很长,容易造成运行超时,而有的时候超时的时间是管理设置,由客户控制,无法修改。这种时候为了确保操作可以运行成功,需要将需要合并进另一张表的数据表分批进行MERGE INTO的操作,选择一个比较合适的批量记录数,进行循环合并。通过这种分批次处理方案,可以有效控制单个事务的资源消耗,避免超时问题,同时保持整体数据处理效率。实际执行时应根据具体表结构和系统负载进行参数调优。
Azure Synapse Dedicated SQL Pool统计指定表中各字段的空值、空字符串或零值比例
weixin_30777913的博客
02-13 486
临时表存储最终结果集。
Azure Data Platform】Dedicated SQL Pool——导入性能测试(2)——CTAS
MVP黄钊吉(發糞塗牆)
03-19 684
本文属于【Azure Data Platform】系列。 接上文:【Azure Data Platform】Dedicated SQL Pool——导入性能测试(1)——传统insert 本文介绍SQL DW,也称Synapse Analysis,或者最新的Dedicated SQL Pool的外部导数工具的对比。 -- CREATE TABLE [dbo].test_robin_heap_ctas WITH (DISTRIBUTION = ROUND_ROBIN,HEAP) AS SELECT * .
使用Python和Pandas实现的Azure Synapse Dedicated SQL pool权限检查与SQL生成用于IT审计
最新发布
weixin_30777913的博客
05-01 791
下面是使用 Python Pandas 来提取和展示 Azure Synapse Dedicated SQL Pool 中权限信息的完整过程,同时将其功能以自然语言描述,并自动构造所有权限设置的 SQL 语句:✅ 步骤 1:从数据库读取权限信息 我们从数据库中提取与用户、角色、对象、权限类型等有关的信息。 ✅ 步骤 2:自然语言描述权限设置 ✅ 步骤 3:还原SQL语句以便复现权限设置 ✅ 输出示例(伪数据): 自然语言描述示例:角色【Dept_HR】(成员:hr-user@domain.com)对USER
Azure Synapse Dedicated SQL Pool执行计划的步骤对应于查询优化器执行给定SQL查询的部分和优化策略
weixin_30777913的博客
01-15 1134
通过仔细查看和优化执行计划和基础数据库架构,可以显著提高Azure Synapse Dedicated SQL Pool中的查询性能。SQL语句的每个部分都对应执行计划中的具体步骤。
稳定运行的以Azure Synapse Dedicated SQL Pool数据仓库为数据源和目标的ETL性能变差时提高性能方法和步骤
weixin_30777913的博客
12-04 1271
监控性能:通过Azure Monitor和Synapse Studio监控SQL池性能。优化数据分布和分区:根据查询模式选择合适的表分布和分区方式。调整DWU:评估是否需要调整计算资源(DWU)。清理不必要的数据和索引:删除过期数据并清理无用的索引。更新统计信息和优化查询:更新统计信息和执行查询优化。定期重建数据仓库:如果性能下降严重,考虑重建数据仓库和重新加载数据。
PySpark实现获取ADSL上Parquet文件的数据结构,并自动在Azure Synapse Dedicated SQL pool里建表和生成对应的建表和导入数据的SQL
weixin_30777913的博客
03-03 1012
PySpark实现ADSL上解析存储Parquet文件的多个路径,获取其中的数据Schema,再根据这些Schema,参考以下文本,得到创建上传数据到Azure Synapse Dedicated SQL pool数据仓库SQL语句,同样的EXTERNAL DATA SOURCE路径只需创建一个EXTERNAL DATA SOURCE对象即可,并在Azure Synapse Dedicated SQL pool数据仓库里创建对应的表,并在ADSL上存储创建表的SQL语句。
Azure Monitor 实战指南:全方位监控应用与基础设施
TechEnthusiast的博客
04-30 312
演示如何利用 Azure Monitor 监控 GPT-4 服务、虚拟机、存储等资源,并结合自动化告警和日志分析,构建企业级监控体系。Azure Monitor 是 Azure 云原生的统一监控解决方案,能够实时追踪应用性能、基础设施健康状态及日志数据。
Azure AI Foundry实战:从零开始构建智能应用
TechEnthusiast的博客
04-30 318
Azure AI Foundry是微软推出的一体化AI开发平台,旨在简化AI应用的开发、训练和部署过程。它集成了Azure的多项AI服务,提供了直观的界面和强大的工具,使得开发者能够更加专注于创新,而不是被繁琐的基础设施管理所困扰。
Azure Redis 缓存】在Azure Redis中,如何限制只允许Azure App Service访问?
rita_0567的博客
04-27 522
Azure Redis 开启 防火墙的功能,并在防火墙中添加上App Service的出口IP地址即可。两步即可实现此目的!在Azure Redis服务中,如何实现只允许Azure App Service访问呢?当在复杂的环境中面临问题,格物之道需:浊而静之徐清,安以动之徐生。2)添加第1步的IP地址到Azure Redis的网络防火墙中。1)查询 App Service 的出口IP地址。著作权归作者所有,转载或内容合作请联系作者。
Azure 数字孪生是什么?
qq_25547755的博客
04-28 830
Azure 数字孪生中,可以使用称为模型的自定义孪生类型来定义表示物理环境中的人物、位置和事物的数字实体。可以将这些模型定义视为描述业务的专门词汇。例如,对于建筑管理解决方案,可以定义一个模型,用于定义“建筑”类型、“楼层”类型和“电梯”类型。模型以类似于 JSON 的语言定义,这种语言称为数字孪生定义语言 (DTDL)。在 Azure 数字孪生中,DTDL 模型根据实体的状态属性、组件和关系来描述实体的类型。
Azure Devops - 尝试一下在Pipeline中使用Self-hosted Windows agent
limingdinghao的博客
04-27 957
Azure Devops是微软提供的辅助软件的开发,测试,部署以及计划和进度跟踪的平台,通过Azure Devops可以使开发者,项目经理,运维人员在软件的整个生命周期中更紧密地合作,同时借助Continuous Integration(简称CI)和Continuous Deployment(简称CD)的功能,公司或者组织可以更快速地研发和变更软件,从而实现快速迭代。当前Azure Devops的CICD功能在微软的很多平台上进行了集成,比如Microsoft Fabric中,
Azure Databricks中实现缓慢变化维度(SCD)的三种类型
weixin_30777913的博客
04-27 411
Azure Databricks中使用PySpark实现缓慢变化维度(SCD)的三种核心类型,需结合Spark SQL和DataFrame API的特性,并利用Delta Lake的事务支持。通过以下步骤,可在Azure Databricks中高效实现SCD逻辑,确保数据历史可追溯且符合业务需求。
SQL面试之--明明建了索引为什么失效了?
m0_57098592的博客
04-27 820
索引相关面试问题
PostgreSQL 中 VACUUM FULL 对索引的影响
文牧之的博客
04-30 1209
是的,会重建表上的所有索引。这是它与普通VACUUM命令的一个重要区别。
SQL 易混易错知识点笔记1(drop,role,%,localhost)
星途码客的博客
04-28 625
TRUNCATE 与 DELETE: TRUNCATE是DDL,重置自增值,不触发触发器 DELETE是DML,保留自增值,触发触发器 HAVING 与 WHERE: WHERE过滤行,在GROUP BY前执行 HAVING过滤组,在GROUP BY后执行 CHAR 与 VARCHAR: CHAR定长,适合短且长度固定的数据 VARCHAR变长,适合长度变化的数据
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值