التحكم في الوصول إلى Azure Synapse

توفر هذه المقالة نظرة عامة على الآليات المتوفرة للتحكم في الوصول إلى موارد وبيانات حوسبة Azure Synapse.

نظرة عامة

يوفر Azure Synapse نظامًا شاملاً ودقيقًا للتحكم في الوصول، والذي يدمج:

• أدوار Azure لإدارة الموارد والوصول إلى البيانات في المخزن،
• أدوار Synapse لإدارة الوصول المباشر إلى التعليمات البرمجية والتنفيذ،
• أدوار SQL للوصول إلى البيانات في مجموعات SQL، و
• أذونات Git للتحكم في التعليمات البرمجية المصدر، بما في ذلك دعم التكامل والنشر المستمرين.

توفر أدوار Azure Synapse مجموعات من الأذونات التي يمكن تطبيقها في نطاقات مختلفة. تسهل هذه التفاصيل منح الوصول المناسب إلى المسؤولين والمطورين وموظفي الأمان والمشغلين لحوسبة الموارد والبيانات.

يمكن تبسيط التحكم في الوصول باستخدام مجموعات الأمان التي تتم محاذاتها مع أدوار وظيفية للأشخاص. تحتاج فقط إلى إضافة مستخدمين من مجموعات الأمان المناسبة وإزالتهم لإدارة الوصول.

عناصر التحكم بالوصول

إنشاء موارد حساب Azure Synapse وإدارتها

تُستخدم أدوار Azure للتحكم في إدارة:

• تجمعات SQL المخصصة
• اسم تجمعات Data Explorer
• تجمعات Apache Spark
• أوقات تشغيل التكامل

من اجل إنشاء هذه الموارد، يجب أن تكون مالك Azure أو مساهماً في مجموعة الموارد. من أجل إدارة هذه الموارد بمجرد إنشائها، يجب أن تكون مالك Azure أو مساهمًا في مجموعة الموارد أو الموارد الفردية.

يمكن لمالك Azure أو المساهم تمكين أو تعطيل مصادقة Microsoft Entra فقط لمساحات عمل Azure Synapse. لمزيد من المعلومات حول مصادقة Microsoft Entra فقط، راجع تعطيل المصادقة المحلية في Azure Synapse Analytics.

تطوير التعليمات البرمجية وتنفيذها في Azure Synapse

يدعم Synapse نموذجين للتطوير.

• تطوير Synapse مباشرة. تقوم بتطوير وتصحيح التعليمات البرمجية في Synapse Studio، ثم نشرها لحفظها وتنفيذها. خدمة Synapse هي المصر الحقيقي لتحرير التعليمات البرمجية وتنفيذها. ستخسر أي عمل غير منشور عند إغلاق Synapse Studio.
• التطوير المُمكّن بـ Git. تقوم بتطوير وتصحيح التعليمات البرمجية في Synapse Studio ثم تنفيذ التغييرات على فرع عمل Git repo. يتم دمج العمل من فرع واحد أو أكثر في فرع تعاوني، ومنه تقوم بنشر العمل إلى الخدمة. Git repo هو مصدر الحقائق الخاصة بتحرير التعليمات البرمجية، في حين أن الخدمة هي مصدر الحقائق الخاصة بالتنفيذ. يجب تنفيذ التغييرات على Git repo أو نشرها على الخدمة قبل إغلاق Synapse Studio. تعرف على المزيد حول استخدام تحليلات Synapse مع Git.

في كلا نموذجي التطوير، يمكن لأي مستخدم يمكنه الوصول إلى Synapse Studio إنشاء منتجات تعليمات برمجية. لكن، تحتاج إلى أذونات إضافية لنشر المنتجات على الخدمة، وقراءة المنتجات المنشورة، وتنفيذ التغييرات على Git، وتنفيذ التعليمات البرمجية، والوصول إلى البيانات المرتبطة المحمية ببيانات الاعتماد. يجب أن يمتلك المستخدمون دور Azure Contributor (Azure RBAC) أو دورًا أعلى في مساحة عمل Synapse لتكوين الإعدادات، وتحريرها، وقطع اتصال مستودع Git بـ Synapse.

أدوار Azure Synapse

تُستخدم أدوار Azure Synapse للتحكم في الوصول إلى خدمة Synapse. يمكن أن تسمح لك الأدوار المختلفة بما يلي:

• إدراج منتجات التعليمات البرمجية المنشورة،
• نشر منتجات التعليمات البرمجية والخدمات المرتبطة وتعريفات بيانات الاعتماد،
• تنفيذ التعليمات البرمجية أو مسارات التدفق التي تستخدم موارد حوسبة Synapse،
• تنفيذ التعليمات البرمجية أو مسارات التدفق التي يمكنها الوصول إلى البيانات المرتبطة المحمية ببيانات الاعتماد،
• عرض المخرجات المقترنة بمنتجات التعليمات البرمجية المنشورة،
• مراقبة حالة مورد الحوسبة وعرض سجلات أوقات التشغيل.

يمكن تعيين أدوار Azure Synapse في نطاق مساحة العمل أو في نطاقات أفضل لتقييد الأذونات الممنوحة لموارد Azure Synapse معينة.

أذونات Git

عند استخدام التطوير الذي تم تمكينه من Git في وضع Git، تحتاج إلى أذونات Git بالإضافة إلى أدوار مستخدم Synapse أو Synapse RBAC (التحكم في الوصول المستند إلى الدور) لقراءة البيانات الاصطناعية للتعليمات البرمجية، بما في ذلك تعريفات الخدمة وبيانات الاعتماد المرتبطة. لتثبيت تغييرات على البيانات الاصطناعية للتعليمات البرمجية في وضع Git، تحتاج إلى أذونات Git، ودور ناشر البيانات الاصطناعية على Synapse (التحكم في الوصول استناداً إلى الدور في Synapse).

الوصول إلى البيانات في SQL

عند التعامل مع مجموعات SQL مخصصة بدون خادم، يتم التحكم في الوصول إلى مستوى البيانات باستخدام أذونات SQL.

يتم تعيين منشئ مساحة العمل كمسؤول Active Directory على مساحة العمل. بعد الإنشاء، يمكن تعيين هذا الدور إلى مستخدم آخر أو إلى مجموعة أمان في مدخل Azure.

مجموعات SQL بدون خادم:يتم منح مسؤولي Synapse أذونات db_owner(DBO) لمجموعة SQL بدون خادم، "المضمنة". لمنح المستخدمين الآخرين حق الوصول إلى تجمع SQL بلا خادم، يحتاج مسؤولو Synapse إلى تشغيل البرامج النصية SQL على التجمع بلا خادم.

تجمعات SQL مخصصة: يتمتع مسؤولو Synapse بحق الوصول الكامل إلى البيانات في تجمعات SQL المخصصة، والقدرة على منح حق الوصول إلى المستخدمين الآخرين. يمكن لمسؤولي Synapse أيضًا تنفيذ أنشطة التكوين والصيانة على تجمعات مخصصة، باستثناء إسقاط قواعد البيانات. يتم منح إذن مسؤول Active Directory إلى منشئ مساحة العمل وMSI لمساحة العمل. لا يتم منح الإذن بالوصول إلى مجموعات SQL المخصصة تلقائيًا. لمنح المستخدمين أو المجموعات الأخرى حق الوصول إلى تجمعات SQL المخصصة، يجب أن يقوم مسؤول Active Directory أو مسؤول Synapse بتشغيل برامج SQL النصية مقابل كل تجمع SQL مخصص.

راجع كيفية إعداد التحكم في الوصول إلى Synapse للاطلاع على أمثلة لبرامج SQL النصية لمنح أذونات SQL في مجموعات SQL.

الوصول إلى البيانات في تجمعات Data Explorer

عند العمل مع تجمعات Data Explorer، يتم التحكم في الوصول إلى وحدة البيانات من خلال أذونات Data Explorer. يتم منح مسؤولي Synapse All Database admin أذونات على تجمعات Data Explorer. لمنح مستخدمين آخرين أو مجموعات الوصول إلى تجمعات Data Explorer، يجب أن يشير مسؤولو Synapse إلى إدارة أدوار الأمان. لمزيد من المعلومات حول الوصول إلى وحدة البيانات، راجع نظرة عامة حول التحكم في الوصول إلى Data Explorer.

الوصول إلى البيانات المُدارة بواسطة النظام في التخزين

تخزن مجموعات SQL بدون خادم وجداول Apache Spark بياناتها في حاوية ADLS Gen2 مقترنة بمساحة العمل. تُدار مكتبات Apache Spark المثبتة من قبل المستخدم أيضًا في نفس حساب التخزين. لتمكين حالات الاستخدام هذه، يجب منح المستخدمين وMSI الخاص بمساحة العمل إمكانية الوصول إلى مساهم بيانات الكائن الثنائي كبير الحجم للتخزين إلى حاوية التخزين ADLS Gen2 الخاصة بمساحة العمل هذه.

استخدام مجموعات الأمان كأفضل ممارسة

لتبسيط إدارة التحكم في الوصول، يمكنك استخدام مجموعات الأمان لتعيين أدوار للأفراد والمجموعات. يمكن إنشاء مجموعات الأمان لعكس الشخصيات أو المهام الوظيفية في مؤسستك التي تحتاج إلى الوصول إلى موارد أو منتجات Synapse. يمكن بعد ذلك تعيين مجموعات الأمان المستندة إلى الشخصية هذه لدور أو أكثر من أدوار Azure أو أدوار Synapse أو أذونات SQL أو أذونات Git. مع مجموعات الأمان المحددة بعناية، يسهل تعيين الأذونات المطلوبة للمستخدم عن طريق إضافتها إلى مجموعة الأمان المناسبة.

إشعار

إذا كنت تستخدم مجموعات الأمان لإدارة الوصول، فهناك زمن انتقال إضافي يقدمه معرف Microsoft Entra قبل أن تسري التغييرات.

فرض التحكم بالوصول في Synapse Studio

سيتصرف Synapse Studio بشكل مختلف استنادًا إلى أذوناتك ووضعك الحالي:

• وضع Synapse المباشر: سيمنعك Synapse Studio من رؤية المحتوى المنشور أو نشر المحتوى أو اتخاذ إجراءات أخرى إذا لم يكن لديك الإذن المطلوب. في بعض الحالات، سيتم منعك من إنشاء منتجات تعليمات برمجية لا يمكنك استخدامها أو حفظها.
• Git-mode: إذا كان لديك أذونات Git التي تتيح لك إجراء تغييرات على الفرع الحالي، فسيُسمح بإجراء الالتزام إذا كان لديك إذن بنشر التغييرات على الخدمة المباشرة (دور Synapse Artifact Publisher).

في بعض الحالات، يُسمح لك بإنشاء بيانات اصطناعية للتعليمات البرمجية حتى دون إذن للنشر أو التثبيت. يسمح لك هذا بتنفيذ التعليمات البرمجية (مع أذونات التنفيذ المطلوبة). لمزيد من المعلومات حول الأدوار المطلوبة للمهام الشائعة، راجع فهم الأدوار المطلوبة لتنفيذ المهام الشائعة في Azure Synapse.

إذا تم تعطيل ميزة في Synapse Studio، سيظهر تلميح أداة يشير إلى الإذن المطلوب. استخدم دليل أدوار Synapse RBAC للبحث عن الدور المطلوب لتوفير الإذن المفقود.

الخطوات التالية

• تعرّف على المزيد حول Synapse RBAC
• تعرّف على المزيد حول أدوار Synapse RBAC
• تعرّف على كيفية إعداد التحكم بالوصول لمساحة عمل Synapse باستخدام مجموعات الأمان.
• تعرّف على كيفية مراجعة تعيينات أدوار حسب التحكم في الوصول استناداً إلى الدور في Synapse
• تعرّف على كيفية إدارة تعيينات حسب التحكم في الوصول استناداً إلى الدور في Synapse