نظرة عامة على التحكم في الوصول إلى مساحة عمل Azure Synapse

توفر هذه المقالة نظرة عامة على الآليات المتوفرة للتحكم في الوصول إلى موارد وبيانات حوسبة Azure Synapse.

يوفر Azure Synapse نظاما شاملا و دقيقا للتحكم في الوصول يتكامل مع:

• أدوار Azure لإدارة الموارد والوصول إلى البيانات في التخزين
• أدوار Synapse لإدارة الوصول المباشر إلى التعليمات البرمجية والتنفيذ
• أدوار SQL للوصول إلى البيانات في مجموعات SQL
• أذونات Git للتحكم في التعليمات البرمجية المصدر، بما في ذلك دعم التكامل والنشر المستمر

توفر أدوار Azure Synapse مجموعات من الأذونات التي يمكن تطبيقها في نطاقات مختلفة. تسهل هذه التفاصيل منح الوصول المناسب إلى المسؤولين والمطورين وموظفي الأمان والمشغلين لحوسبة الموارد والبيانات.

يمكن تبسيط التحكم في الوصول باستخدام مجموعات الأمان التي تتم محاذاتها مع أدوار وظيفية للأشخاص. تحتاج فقط إلى إضافة مستخدمين من مجموعات الأمان المناسبة وإزالتهم لإدارة الوصول.

عناصر التحكم بالوصول

إنشاء موارد حساب Azure Synapse وإدارتها

تُستخدم أدوار Azure للتحكم في إدارة:

• تجمعات SQL المخصصة
• اسم تجمعات Data Explorer
• تجمعات Apache Spark
• أوقات تشغيل التكامل

من اجل إنشاء هذه الموارد، يجب أن تكون مالك Azure أو مساهماً في مجموعة الموارد. من أجل إدارة هذه الموارد بمجرد إنشائها، يجب أن تكون مالك Azure أو مساهمًا في مجموعة الموارد أو الموارد الفردية.

يمكن للمالك أو المساهم تمكين أو تعطيل مصادقة Microsoft Entra فقط لمساحات عمل Azure Synapse. لمزيد من المعلومات حول مصادقة Microsoft Entra فقط، راجع استخدام مصادقة Microsoft Entra للمصادقة مع Synapse SQL.

تطوير التعليمات البرمجية وتنفيذها في Azure Synapse

يدعم Synapse نموذجين للتطوير.

• تطوير Synapse المباشر: يمكنك تطوير وتصحيح التعليمات البرمجية في Synapse Studio ثم نشرها لحفظها وتنفيذها. خدمة Synapse هي المصر الحقيقي لتحرير التعليمات البرمجية وتنفيذها. ستخسر أي عمل غير منشور عند إغلاق Synapse Studio.

• التطوير الممكن ل Git: يمكنك تطوير وتصحيح التعليمات البرمجية في Synapse Studio وتنفيذ التغييرات على فرع عمل من مستودع Git. يتم دمج العمل من فرع واحد أو أكثر في فرع تعاوني، ومنه تقوم بنشر العمل إلى الخدمة. Git repo هو مصدر الحقائق الخاصة بتحرير التعليمات البرمجية، في حين أن الخدمة هي مصدر الحقائق الخاصة بالتنفيذ. يجب تنفيذ التغييرات على Git repo أو نشرها على الخدمة قبل إغلاق Synapse Studio. لمعرفة المزيد حول استخدام Synapse Analytics مع Git، راجع التكامل المستمر والتسليم لمساحة عمل Azure Synapse Analytics.

في كلا نموذجي التطوير، يمكن لأي مستخدم يمكنه الوصول إلى Synapse Studio إنشاء منتجات تعليمات برمجية. لكن، تحتاج إلى أذونات إضافية لنشر المنتجات على الخدمة، وقراءة المنتجات المنشورة، وتنفيذ التغييرات على Git، وتنفيذ التعليمات البرمجية، والوصول إلى البيانات المرتبطة المحمية ببيانات الاعتماد. يجب أن يكون لدى المستخدمين دور Azure Contributor أو أعلى في مساحة عمل Synapse لتكوين الإعدادات وتحريرها وقطع اتصال مستودع Git ب Synapse.

أدوار Azure Synapse

تُستخدم أدوار Azure Synapse للتحكم في الوصول إلى خدمة Synapse. يمكن أن تسمح لك الأدوار المختلفة بما يلي:

• سرد البيانات الاصطناعية للتعليمات البرمجية المنشورة
• نشر البيانات الاصطناعية للتعليمات البرمجية والخدمات المرتبطة وتعريفات بيانات الاعتماد
• تنفيذ التعليمات البرمجية أو المسارات التي تستخدم موارد حساب Synapse
• تنفيذ التعليمات البرمجية أو المسارات التي تصل إلى البيانات المرتبطة المحمية ببيانات الاعتماد
• عرض المخرجات المقترنة بالبيانات الاصطناعية للتعليمات البرمجية المنشورة
• مراقبة حالة مورد الحساب، وعرض سجلات وقت التشغيل

يمكن تعيين أدوار Azure Synapse في نطاق مساحة العمل أو في نطاقات أفضل لتقييد الأذونات الممنوحة لموارد Azure Synapse معينة.

أذونات Git

للتطوير الممكن ل Git في وضع Git، تحتاج إلى أذونات Git بالإضافة إلى أدوار مستخدم Synapse أو Synapse RBAC (التحكم في الوصول المستند إلى الدور) لقراءة البيانات الاصطناعية للتعليمات البرمجية، بما في ذلك تعريفات الخدمة وبيانات الاعتماد المرتبطة. لإجراء تغييرات على البيانات الاصطناعية للتعليمات البرمجية في وضع Git، تحتاج إلى أذونات Git، ودور Synapse Artifact Publisher.

الوصول إلى البيانات في SQL

بالنسبة لتجمعات SQL المخصصة وبدون خادم، يتم التحكم في الوصول إلى مستوى البيانات باستخدام أذونات SQL.

يتم تعيين منشئ مساحة العمل كمسؤول Active Directory على مساحة العمل. بعد الإنشاء، يمكن تعيين هذا الدور إلى مستخدم آخر أو إلى مجموعة أمان في مدخل Azure.

• تجمعات SQL بلا خادم: يتم منح db_owner مسؤولي Synapse أذونات (DBO) على تجمع SQL بلا خادم، مضمن. لمنح المستخدمين الآخرين حق الوصول إلى تجمع SQL بلا خادم، يحتاج مسؤولو Synapse إلى تشغيل البرامج النصية SQL على التجمع بلا خادم.

• تجمعات SQL مخصصة: يتمتع مسؤولو Synapse بحق الوصول الكامل إلى البيانات في تجمعات SQL المخصصة، والقدرة على منح حق الوصول إلى المستخدمين الآخرين. يمكن لمسؤولي Synapse أيضًا تنفيذ أنشطة التكوين والصيانة على تجمعات مخصصة، باستثناء إسقاط قواعد البيانات. يتم منح إذن مسؤول Active Directory إلى منشئ مساحة العمل وMSI لمساحة العمل. لا يتم منح الإذن بالوصول إلى مجموعات SQL المخصصة تلقائيًا. لمنح المستخدمين أو المجموعات الأخرى حق الوصول إلى تجمعات SQL المخصصة، يجب أن يقوم مسؤول Active Directory أو مسؤول Synapse بتشغيل برامج SQL النصية مقابل كل تجمع SQL مخصص.

للحصول على أمثلة من البرامج النصية SQL لمنح أذونات SQL في تجمعات SQL، راجع كيفية إعداد التحكم في الوصول لمساحة عمل Azure Synapse.

الوصول إلى البيانات في تجمعات Data Explorer

بالنسبة لتجمعات Data Explorer، يتم التحكم في الوصول إلى مستوى البيانات من خلال أذونات Data Explorer. يتم منح مسؤولي Synapse All Database admin أذونات على تجمعات Data Explorer. لمنح مستخدمين آخرين أو مجموعات الوصول إلى تجمعات Data Explorer، يجب أن يشير مسؤولو Synapse إلى إدارة أدوار الأمان. لمزيد من المعلومات حول الوصول إلى مستوى البيانات، راجع نظرة عامة على التحكم في الوصول.

الوصول إلى البيانات المدارة من قبل النظام في التخزين

تخزن تجمعات SQL بلا خادم وجداول Apache Spark بياناتها في حاوية Azure Data Lake Storage Gen2 المقترنة بمساحة العمل. تُدار مكتبات Apache Spark المثبتة من قبل المستخدم أيضًا في نفس حساب التخزين. لتمكين حالات الاستخدام هذه، يجب منح المستخدمين ومساحة العمل MSI حق الوصول إلى Storage Blob Data Contributor إلى حاوية مساحة العمل Azure Data Lake Storage هذه.

استخدام مجموعات الأمان كأفضل ممارسة

لتبسيط إدارة التحكم في الوصول، يمكنك استخدام مجموعات الأمان لتعيين أدوار للأفراد والمجموعات. يمكن إنشاء مجموعات الأمان لعكس الشخصيات أو المهام الوظيفية في مؤسستك التي تحتاج إلى الوصول إلى موارد أو منتجات Synapse. يمكن بعد ذلك تعيين مجموعات الأمان المستندة إلى الشخصية هذه لدور أو أكثر من أدوار Azure أو أدوار Synapse أو أذونات SQL أو أذونات Git. مع مجموعات الأمان المحددة بعناية، يسهل تعيين الأذونات المطلوبة للمستخدم عن طريق إضافتها إلى مجموعة الأمان المناسبة.

إشعار

إذا كنت تستخدم مجموعات الأمان لإدارة الوصول، فهناك زمن انتقال إضافي تم تقديمه بواسطة معرف Microsoft Entra قبل أن تسري التغييرات.

فرض التحكم بالوصول في Synapse Studio

يتصرف Synapse Studio بشكل مختلف استنادا إلى أذوناتك ووضعك الحالي:

• وضع Synapse المباشر: يمنعك Synapse Studio من رؤية المحتوى المنشور أو نشر المحتوى أو اتخاذ إجراءات أخرى إذا لم يكن لديك الإذن المطلوب. في بعض الحالات، يتم منعك من إنشاء عناصر التعليمات البرمجية التي لا يمكنك استخدامها أو حفظها.
• وضع Git: إذا كان لديك أذونات Git تتيح لك تثبيت التغييرات على الفرع الحالي، فسيسمح بإجراء التثبيت إذا كان لديك إذن لنشر التغييرات على الخدمة المباشرة (دور Synapse Artifact Publisher).

في بعض الحالات، يُسمح لك بإنشاء بيانات اصطناعية للتعليمات البرمجية حتى دون إذن للنشر أو التثبيت. يسمح لك هذا بتنفيذ التعليمات البرمجية (مع أذونات التنفيذ المطلوبة). لمزيد من المعلومات حول الأدوار المطلوبة للمهام الشائعة، راجع فهم الأدوار المطلوبة لتنفيذ المهام الشائعة في Azure Synapse.

إذا تم تعطيل ميزة في Synapse Studio، يشير تلميح الأدوات إلى الإذن المطلوب. استخدم دليل أدوار Synapse RBAC للبحث عن الدور المطلوب لتوفير الإذن المفقود.

المحتوى ذو الصلة

• ما هو التحكم في الوصول المستند إلى دور Synapse (RBAC)؟
• أدوار Synapse RBAC
• كيفية إعداد التحكم في الوصول لمساحة عمل Azure Synapse
• كيفية مراجعة تعيينات دور Synapse RBAC
• كيفية إدارة تعيينات دور Synapse RBAC