Sikre data Microsoft Fabric spejlede databaser fra Google BigQuery

Denne vejledning hjælper dig med at etablere datasikkerhed i din spejlede BigQuery i Microsoft Fabric.

Sikkerhedsovervejelser

Du skal have brugertilladelser til din BigQuery-database, der indeholder følgende tilladelser:

• bigquery.datasets.create
• bigquery.tables.list
• bigquery.tables.create
• bigquery.tables.export
• bigquery.tables.get
• bigquery.tables.getData
• bigquery.tables.updateData
• bigquery.routines.get
• bigquery.routines.list
• bigquery.jobs.create
• storage.buckets.create
• storage.buckets.list
• storage.objects.create
• storage.objects.delete
• storage.objects.list
• iam.serviceAccounts.signBlob

Hent tabelmetadata og konfiguration af ændringshistorik (påkrævet)

Rollerne BigQueryAdmin og StorageAdmin skal omfatte disse tilladelser. Følgende tilladelser kræves for at afgøre, om ændringshistorik er aktiveret, og for at hente primærnøgle eller sammensat nøgleinformation.

Brugeren skal have tildelt mindst én rolle, der giver adgang til BigQuery-forekomsten. Tjek netværkskravene for at få adgang til din BigQuery-datakilde. Hvis du bruger Spejling til Google BigQuery til On-Premises Data Gateway (OPDG), skal du have OPDG-version 3000.286.6 eller nyere for at aktivere vellykket spejling.

Påkrævede tilladelser

For manuelt at oprette buckets (og undgå at skulle give storage.buckets.create-tilladelsen ) kan du bruge:

• bigquery.tables.get
• bigquery.tables.list
• bigquery.routines.get
• bigquery.routines.list

1. Navigér til Cloud Storage i din Google Console og vælg Buckets.
2. Vælg Opret og navngiv spanden i dette format (små bogstave): <projectid>_fabric_staging_bucket
3. Sørg for, at placeringen/regionen af spanden er den samme som i det GCP-projekt, du planlægger at spejle.
4. Vælg Opret. Spejlingssystemet vil automatisk registrere spanden.

Der kan være behov for flere tilladelser afhængigt af din brugssituation. De minimumsnødvendige tilladelser er til arbejde med ændringshistorik og håndtering af tabeller i forskellige størrelser (tabeller større end 10GB). Selvom du ikke arbejder med tabeller, der er større end 10 GB, skal du aktivere alle disse minimumstilladelser for at muliggøre en vellykket brug af din spejling.

Hent ændringshistorik og tabeldata (påkrævet)

Du kan få flere oplysninger om tilladelser i Google BigQuery-dokumentationen om påkrævede rettigheder til streamingdata, påkrævede tilladelser til adgang til ændringshistorik og påkrævede tilladelser til at skrive forespørgselsresultater

Følgende tilladelser er nødvendige for at læse ændringshistorik og tabeldata.

Påkrævede tilladelser

• bigquery.tables.getData
• bigquery.jobs.create
• bigquery.jobs.get
• bigquery.jobs.list
• bigquery.readsessions.create
• bigquery.readsessions.getData

Aktivering af ændringshistorik-funktioner (påkrævet)

Ændringshistorik skal være aktiveret på kildens BigQuery-tabeller ved hjælp af en af følgende muligheder.

Mulighed 1: Aktiver Tilladelse

• bigquery.tables.update

Tillader aktivering af ændringshistorik på tabeller.

Mulighed 2: Aktiver tabel-muligheden i GCP

Sørg for, at følgende tabelmulighed er sat til TRUE:

• enable_change_history

Eksporter data til Google Cloud Storage for staging og kopier til OneLake (påkrævet)

Følgende tilladelser kræves for at eksportere BigQuery-data til Google Cloud Storage til staging og kopiere dem ind i OneLake.

Påkrævede tilladelser

• bigquery.tables.export
• storage.objects.create
• storage.objects.list
• storage.buckets.get
• iam.serviceAccounts.signBlob

Google Cloud Storage Bucket til Staging (påkrævet)

En Google Cloud Storage-bucket er nødvendig for at eksportere BigQuery-tabeldata til staging.

Muligheder for spandoprettelse

Brug en af følgende tilgange:

Mulighed 1: Tillad automatisk spandoprettelse

Giv følgende tilladelse:

• storage.buckets.create

Mulighed 2: Opret manuelt staging-spanden

Opret en spand med følgende navngivningskonvention: <your_project_id_in_lowercase>_fabric_staging_bucket

Bucket-krav

• Spanden skal være i samme lokation/region som BigQuery-datasættet.
• Spejlingssystemet vil automatisk opdage spanden, når den eksisterer.

Listedatasæt (påkrævet)

Påkrævede tilladelser

• bigquery.datasets.get

Liste over projekter (påkrævede)

Påkrævede tilladelser

• resourcemanager.projects.get

Rolle- og adgangskrav

BigQuery-administrator- og Storage Admin-rollerne inkluderer typisk de ovennævnte tilladelser.

Brugeren skal tildeles mindst én rolle, der giver adgang til det målrettede BigQuery-projekt og datasæt.

Netværks- og gatewaykrav

Tjek netværkskravene for at få adgang til din BigQuery-datakilde.

Hvis du bruger Mirroring til Google BigQuery med on-premises Data Gateway (OPDG), skal du bruge:

• OPDG version 3000.286.6 eller senere

Yderligere noter

Flere tilladelser kan være nødvendige afhængigt af dit brugsscenarie. De ovennævnte tilladelser repræsenterer det minimumskrav, der kræves for:

• Arbejde med forandringshistorik
• Håndtering af tabeller i forskellige størrelser, inklusive tabeller større end 10 GB

Selv hvis du ikke arbejder med tabeller større end 10 GB, anbefales det at aktivere alle minimumstilladelser for at sikre vellykket spejling.

Du kan finde flere oplysninger under:

• Påkrævede privilegier for streaming af data
• Påkrævede tilladelser for adgang til ændringshistorik
• Påkrævede tilladelser til at skrive forespørgselsresultater

Funktioner til databeskyttelse

Du kan sikre kolonnefiltre og prædikatbaserede rækkefiltre i tabeller til roller og brugere i Microsoft Fabric:

• Sikkerhed på rækkeniveau i Fabric-datawarehousing
• Sikkerhed på kolonneniveau i Fabric-datawarehousing

Du kan også maskere følsomme data fra ikke-administratorer ved hjælp af dynamisk datamaskering:

• Dynamisk datamaskering i Fabric Data Warehousing

Relateret indhold

• Oversigt over Google BigQuery-spejling
• Vejledning til opsætning af spejling til Google BigQuery