Správa dat a řízení přístupu na základě role pro analýzy v cloudovém měřítku v Azure
Autorizace je udělení oprávnění ověřené strany k provedení akce. Klíčovým principem řízení přístupu je poskytování přístupu uživatelům pouze množství přístupu, které potřebují ke svým úlohám, a umožňuje pouze určité akce v určitém rozsahu. Zabezpečení na základě rolí nebo řízení přístupu na základě role (RBAC) odpovídá řízení přístupu a používá ho mnoho organizací k řízení přístupu na základě definovaných rolí nebo funkcí úloh a jednotlivých uživatelů. Uživatelům se pak přiřadí jedna nebo více rolí zabezpečení, z nichž každá má oprávnění k provádění konkrétních úloh.
Při použití Microsoft Entra ID jako centralizovaného zprostředkovatele identity může být autorizace pro přístup k datovým službám a úložišti udělena pro jednotlivé uživatele nebo aplikace a je založená na identitě Microsoft Entra. Autorizace pokrývá RBAC pro službu a seznam řízení přístupu na úrovni souboru, složky nebo objektu v úložišti.
Autorizace datové služby
Microsoft Azure zahrnuje standardní a integrovaný RBAC, což je autorizační systém založený na Azure Resource Manageru, který poskytuje podrobnou správu přístupu k prostředkům Azure. Role RBAC pomáhají řídit úrovně přístupu k prostředkům; co může objekt zabezpečení, uživatel, skupina, služba nebo aplikace dělat s prostředky a oblastmi, ke kterým mají přístup? Při plánování strategie řízení přístupu se doporučuje uživatelům udělit jenom množství přístupu, které potřebují k provádění svých úloh, a povolit pouze určité akce v určitém rozsahu.
Následující předdefinované role jsou zásadní pro všechny typy prostředků Azure, včetně datových služeb Azure:
| Popis | |
|---|---|
| Vlastník: | Tato role má úplný přístup k prostředku a může spravovat vše o prostředku, včetně práva udělit mu přístup. |
| Přispěvatel: | Tato role může spravovat prostředek, ale nemůže mu udělit přístup. |
| Čtenář: | Tato role může zobrazit prostředek a informace o něm (s výjimkou citlivých informací, jako jsou přístupové klíče nebo tajné kódy), ale nemůžou v prostředku provádět žádné změny. |
Některé služby mají specifické role RBAC, jako je Přispěvatel dat v objektech blob služby Storage nebo Přispěvatel data Factory, což znamená, že pro tyto služby by se měly používat konkrétní role RBAC. RBAC je doplňkový model, ve kterém přidání přiřazení rolí představuje aktivní oprávnění. RBAC také podporuje přiřazení zamítnutí , která mají přednost před přiřazeními rolí .
Obecné postupy RBAC pro analýzy na úrovni cloudu v Azure
S řízením přístupu na základě role vám můžou pomoct následující osvědčené postupy:
Použijte role RBAC pro správu a provoz služeb a pro úlohy specifické pro přístup k datům a úlohy použijte role RBAC na prostředcích Azure k udělení oprávnění k objektům zabezpečení, které potřebují provádět úlohy správy a provozu prostředků. Objekty zabezpečení, které potřebují přístup k datům v úložišti, nevyžadují u prostředku roli RBAC, protože je nepotřebují spravovat. Místo toho udělte oprávnění přímo datovým objektům. Například udělte oprávnění ke čtení ke složce ve službě Azure Data Lake Storage Gen2 nebo uživateli databáze s omezením a oprávnění tabulek k databázi ve službě Azure SQL Database.
Použijte předdefinované role RBAC: Nejprve použijte předdefinované role prostředků RBAC Azure ke správě služeb a přiřazování rolí operací pro řízení přístupu. Vytváření a používání vlastních rolí pro prostředky Azure pouze v případě, že předdefinované role nevyhovují konkrétním potřebám.
Pomocí skupin můžete spravovat přístup: Přiřaďte přístup ke skupinám Microsoft Entra a spravujte členství ve skupinách pro průběžnou správu přístupu.
Rozsahy předplatného a skupiny prostředků: I když dává smysl udělit přístup v oboru skupiny prostředků k oddělení potřeb správy služeb a provozu oproti udělení přístupu k jednotlivým prostředkům (zejména v neprodukčním prostředí), můžete místo toho udělit přístup k jednotlivým prostředkům pro úlohy specifické pro úlohy, jako je podpora a operace systému souborů Data Lake, zejména v produkčním prostředí. Důvodem je to, že vývojáři a testeři budou muset v neprodukčních prostředích spravovat prostředky, jako je vytvoření kanálu příjmu dat služby Azure Data Factory nebo vytvoření kontejneru ve službě Data Lake Storage Gen2. V produkčním prostředí potřebují uživatelé používat jenom prostředky, jako je zobrazení stavu naplánovaného kanálu příjmu dat služby Data Factory nebo čtení datových souborů ve službě Data Lake Storage Gen2.
Neudělujte nepotřebný přístup v oboru předplatného: Tento obor pokrývá všechny prostředky v rámci předplatného.
Opt for least-privilege access: Select the right and only role for the job.