ما هو التحكم في الوصول القائم على دور Synapse (RBAC)؟
يعمل Synapse RBAC على توسيع قدرات Azure RBAC لمساحات عمل Synapse ومحتواها.
يستخدم Azure RBAC لإدارة من يمكنه إنشاء مساحة عمل Synapse أو تحديثها أو حذفها ومجموعات SQL الخاصة بها ومجموعات Apache Spark وأوقات تشغيل التكامل.
يتم استخدام Synapse RBAC لإدارة من يمكنه:
- نشر البيانات الاصطناعية للتعليمات البرمجية وقائمة أو الوصول إلى البيانات الاصطناعية للتعليمات البرمجية المنشورة،
- تنفيذ التعليمات البرمجية على تجمعات Apaches Spark وأوقات تشغيل التكامل،
- الوصول إلى الخدمات المرتبطة (البيانات) المحمية ببيانات الاعتماد
- مراقبة تنفيذ المهمة أو إلغائها ومراجعة إخراج الوظيفة وسجلات التنفيذ.
ملاحظة
بينما يتم استخدام Synapse RBAC لإدارة الوصول إلى البرامج النصية SQL المنشورة، فإنه يوفر فقط تحكمًا محدودًا في الوصول إلى تجمعات SQL بلا خادم ومخصصة. يتم التحكم في الوصول إلى تجمعات SQL بشكل أساسي باستخدام أمان SQL.
ماذا يمكنني أن أفعل مع Synapse RBAC؟
فيما يلي بعض الأمثلة على ما يمكنك القيام به مع Synapse RBAC:
- السماح للمستخدم بنشر التغييرات التي تم إجراؤها على دفاتر ملاحظات Apache Spark والمهام إلى الخدمة المباشرة.
- السماح للمستخدم بتشغيل وإلغاء دفاتر الملاحظات ومهام spark على تجمع Apache Spark محدد.
- السماح للمستخدم باستخدام بيانات اعتماد معينة حتى يتمكن من تشغيل البنية الأساسية لبرنامج ربط العمليات التجارية المؤمنة بواسطة هوية نظام مساحة العمل والوصول إلى البيانات في الخدمات المرتبطة المؤمنة ببيانات الاعتماد.
- السماح للمسؤول بإدارة تنفيذ المهمة ومراقبته وإلغاءه على تجمعات Spark محددة.
كيف يعمل Synapse RBAC
مثل Azure RBAC، يعمل Synapse RBAC عن طريق إنشاء تعيينات الأدوار. يتكون تعيين الدور من ثلاثة عناصر: أساس الأمان، وتعريف الدور، ونطاقه.
أساسيات الأمان
مسؤول الأمن هو مستخدم اختر مستخدم أو مجموعة أو كيان خدمة أو هوية مدارة.
الأدوار
الدور هو مجموعة من الأذونات أو الإجراءات التي يمكن تنفيذها على أنواع موارد أو أنواع بيانات اصطناعية معينة.
يوفر Synapse أدوارًا مضمنة تحدد مجموعات الإجراءات التي تطابق احتياجات الشخصيات المختلفة:
- يمكن للمسؤولين الوصول الكامل لإنشاء مساحة عمل وتكوينها
- يمكن للمطورين إنشاء البرامج النصية لـSQL ودفاتر الملاحظات والتدفقات وتدفقات البيانات وتحديثها وتصحيحها، ولكن لا يمكنهم نشر هذه التعليمات البرمجية أو تنفيذها على موارد/بيانات حساب الإنتاج
- يمكن للمشغلين مراقبة حالة النظام وتنفيذ التطبيق ومراجعة السجلات وإدارتها، دون الوصول إلى التعليمات البرمجية أو المخرجات من التنفيذ.
- يمكن لموظفي الأمان إدارة نقاط النهاية وتكوينها دون الوصول إلى التعليمات البرمجية أو حساب الموارد أو البيانات.
تعرف على المزيد حول أدوار Synapse المضمنة.
النطاقات
يحدد النطاق الموارد أو البيانات الاصطناعية التي ينطبق عليها الوصول. يدعم Azure Synapse النطاقات الهرمية. يتم توريث الأذونات الممنوحة في نطاق أعلى مستوى بواسطة كائنات بمستوى أقل. في Synapse RBAC، نطاق المستوى الأعلى هو مساحة عمل. تعيين دور مع نطاق مساحة العمل يمنح أذونات لجميع الكائنات القابلة للتطبيق في مساحة العمل.
النطاقات المدعومة الحالية داخل مساحة العمل هي:
- تجمع Apache Spark
- وقت تشغيل التكامل
- الخدمة المرتبطة
- بيانات الاعتماد
يتم منح الوصول إلى البيانات الاصطناعية للتعليمات البرمجية مع نطاق مساحة العمل. سيتم دعم منح حق الوصول إلى مجموعات البيانات الاصطناعية داخل مساحة عمل في إصدار لاحق.
حل تعيينات الأدوار لتحديد الأذونات
يمنح تعيين الدور الأذونات المحددة بواسطة الدور في النطاق المحدد.
Synapse RBAC هو نموذج إضافي مثل Azure RBAC. قد يتم تعيين أدوار متعددة إلى كيان واحد وفي نطاقات مختلفة. عند حساب أذونات أساس الأمان، يأخذ النظام في الاعتبار جميع الأدوار المعينة للمدير والمجموعات التي تتضمن المدير بشكل مباشر أو غير مباشر. كما أنه يأخذ في الاعتبار نطاق كل تعيين في تحديد الأذونات التي تنطبق.
فرض الأذونات المعينة
في Synapse Studio، قد تظهر أزرار أو خيارات معينة باللون الرمادي أو قد يتم إرجاع خطأ أذونات عند محاولة إجراء إذا لم يكن لديك الأذونات المطلوبة.
إذا تم تعطيل زر أو خيار، فإن التمرير فوق الزر أو الخيار يظهر تلميح أداة بالإذن المطلوب. اتصل بمسؤول Synapse لتعيين دور يمنح الإذن المطلوب. يمكنك مشاهدة الأدوار التي توفر إجراءات محددة، راجع أدوار Synapse RBAC.
من يمكنه تعيين أدوار Synapse RBAC؟
يمكن لمسؤول Synapse تعيين أدوار Synapse RBAC. يمكن لمسؤول Synapse على مستوى مساحة العمل منح حق الوصول في أي نطاق. يمكن لمسؤول Synapse في نطاق ذي مستوى أقل منح حق الوصول فقط في هذا النطاق.
عند إنشاء مساحة عمل جديدة، يتم منح المنشئ تلقائيًا دور مسؤول Synapse في نطاق مساحة العمل.
للمساعدة على استعادة الوصول إلى مساحة عمل في حالة عدم تعيين أي من مسؤولي Synapse أو توفرهم لك، فيمكن للمستخدمين الذين لديهم أذونات بإدارة تعيينات دور Azure RBAC على مساحة العمل أيضاً إدارة تعيينات دور Synapse RBAC، مما يسمح بإضافة مسؤول Synapse أو تعيينات دور Synapse الأخرى.
أين يمكنني إدارة Synapse RBAC؟
تتم إدارة Synapse RBAC من داخل Synapse Studio باستخدام أدوات التحكم في الوصول في مركز الإدارة.
الخطوات التالية
فهم أدوار Synapse RBAC المضمنة.
تعرف على كيفية مراجعة تعيينات دور Synapse RBAC لمساحة العمل.
تعرف على كيفية تعيين أدوار Synapse RBAC