我有一个测试网页,该网页使用受限的SQL用户查询Azure SQL DB以从屏蔽字段中获取数据。它返回数据并被屏蔽。我欣喜若狂。 我用按钮更改了用户,瞧!我可以看到实际数据。
然后今天,由于某种原因,它停止工作,我哭了。
我中间没有更改任何代码。 但是,我确实使用 Azure 门户打开了审核(无法映像影响它)。 我认为 TDE 可能与 DDM 冲突,但我在其他地方读到它没有 - 而且它在工作时已经启用。 我运行了一个查询来显示我的"没有人"SQL用户拥有哪些权限 - 仅"连接"。
所以我删除了我的"nobody"用户,并使用关联的用户(而不仅仅是用户)创建了一个新的SQL登录名。这样,我可以使用 SSMS 以应受屏蔽影响的受限用户身份登录 - 但没有。
所以我可以在 TSQL 中或通过 Azure 设置掩码,Azure 会显示哪些字段受到影响。但是每次在 SSMS 中或通过 .net 运行查询时,我都会看到未屏蔽的数据。
我真的被难住了,所以任何帮助都会很棒。
在某些情况下,遮罩会停止工作吗? 我还可以检查其他内容以确保其设置正确吗?
塔多利
您能否提供您的订阅、服务器名称和数据库名称?你可以直接发给我 - 罗尼特微软公司 我们想对此进行调查 - 您可能遇到了我们正在追踪的错误案例。 谢谢
在与Microsoft合作找出问题所在后,结论是动态数据掩码不能很好地与 Azure 数据分类功能配合使用。
使用数据分类时,DDM 处于关闭状态,导致只有选择权限的人员能够查看屏蔽的数据。
根据MS代表的说法,修复将在4-5周内进行,但没有ETA何时推出。
具有管理权限的 SQL 用户始终被排除在动态数据掩码之外。DB_owners还可以看到数据被取消屏蔽。数据仅针对data_reader进行屏蔽。因此,如果您看到未屏蔽的数据,请确保对要屏蔽数据的用户使用data_reader权限。