Dokument white paper o zabezpečení Azure Synapse Analytics: Řízení přístupu

  • Článek

Poznámka:

Tento článek je součástí dokumentu white paper o zabezpečení Azure Synapse Analytics. Přehled této řady najdete v dokumentu white paper o zabezpečení služby Azure Synapse Analytics.

V závislosti na způsobu modelování a ukládání dat může řízení dat a řízení přístupu vyžadovat, aby vývojáři a správci zabezpečení používali různé přístupy nebo kombinaci technik k implementaci robustního základu zabezpečení.

Azure Synapse podporuje širokou škálu funkcí pro řízení, kdo má přístup k jakým datům. Tyto funkce jsou založené na sadě pokročilých funkcí řízení přístupu, mezi které patří:

Zabezpečení na úrovni objektů

Každý objekt ve vyhrazeném fondu SQL má přidružená oprávnění, která lze udělit objektu zabezpečení. V kontextu uživatelů a účtů služeb jsou zabezpečené jednotlivé tabulky, zobrazení, uložené procedury a funkce. Oprávnění k objektům, jako je SELECT, je možné udělit uživatelským účtům (přihlášení SQL, uživatelům nebo skupinám Microsoft Entra) a databázovým rolím, které správcům databází poskytují flexibilitu. Oprávnění udělená pro tabulky a zobrazení se navíc dají kombinovat s dalšími mechanismy řízení přístupu (popsané níže), jako je zabezpečení na úrovni sloupců, zabezpečení na úrovni řádků a dynamické maskování dat.

Ve službě Azure Synapse jsou udělena všechna oprávnění uživatelům a rolím na úrovni databáze. Kromě toho se všem uživatelům udělená předdefinovaná role RBAC synapse Správa istrator RBAC na úrovni pracovního prostoru automaticky udělí úplný přístup ke všem vyhrazeným fondům SQL.

Kromě zabezpečení tabulek SQL ve službě Azure Synapse, vyhrazeného fondu SQL (dříve SQL DW), bezserverového fondu SQL a tabulek Sparku je také možné zabezpečit. Ve výchozím nastavení mají uživatelé přiřazené k roli Přispěvatel dat v objektech blob služby Storage role datových jezer připojených k pracovnímu prostoru oprávnění ke čtení, zápisu a spouštění u všech tabulek vytvořených Sparkem, když uživatelé interaktivně spouštějí kód v poznámkovém bloku. Označuje se jako průchozí Microsoft Entra a vztahuje se na všechna datová jezera připojená k pracovnímu prostoru. Pokud ale stejný uživatel spustí stejný poznámkový blok prostřednictvím kanálu, použije se k ověřování identita spravované služby (MSI) pracovního prostoru. Aby se tedy kanál úspěšně spustil MSI pracovního prostoru, musí patřit také do role Přispěvatel dat blob služby Storage v datovém jezeře, ke které se přistupuje.

Zabezpečení na úrovni řádků

Zabezpečení na úrovni řádků umožňuje správcům zabezpečení vytvořit a řídit jemně odstupňovaný přístup k určitým řádkům tabulky na základě profilu uživatele (nebo procesu), který spouští dotaz. Vlastnosti profilu nebo uživatele můžou odkazovat na členství ve skupině nebo kontext spuštění. Zabezpečení na úrovni řádků pomáhá zabránit neoprávněnému přístupu, když uživatelé dotazují data ze stejných tabulek, ale musí vidět různé podmnožina dat.

Poznámka:

Zabezpečení na úrovni řádků je podporováno ve službě Azure Synapse a vyhrazeném fondu SQL (dříve SQL DW), ale nepodporuje se pro fond Apache Spark a bezserverový fond SQL.

Zabezpečení na úrovni sloupců

Zabezpečení na úrovni sloupců umožňuje správcům zabezpečení nastavit oprávnění, která omezují, kdo může přistupovat k citlivým sloupcům v tabulkách. Je nastavená na úrovni databáze a dá se implementovat bez nutnosti měnit návrh datového modelu nebo aplikační vrstvy.

Poznámka:

Zabezpečení na úrovni sloupců je podporováno v Azure Synapse, zobrazeních bezserverového fondu SQL a vyhrazeném fondu SQL (dříve SQL DW), ale nepodporuje se pro bezserverové externí tabulky fondu SQL a fond Apache Spark. V případě alternativního řešení externích tabulek bezserverového fondu SQL je možné použít vytvoření zobrazení nad externí tabulkou.

Dynamické maskování dat

Dynamické maskování dat umožňuje správcům zabezpečení omezit ohrožení citlivých dat tím, že je maskuje při čtení pro uživatele bez oprávnění. Pomáhá zabránit neoprávněnému přístupu k citlivým datům tím, že správcům umožňuje určit, jak se data zobrazují v době dotazu. Na základě identity ověřeného uživatele a jejich přiřazení skupiny ve fondu SQL vrátí dotaz maskovaná nebo nemaskovaná data. Maskování se vždy použije bez ohledu na to, jestli se k datům přistupuje přímo z tabulky nebo pomocí zobrazení nebo uložené procedury.

Poznámka:

Dynamické maskování dat se podporuje ve službě Azure Synapse a vyhrazeném fondu SQL (dříve SQL DW), ale nepodporuje se pro fond Apache Spark a bezserverový fond SQL.

Řízení přístupu na základě role Synapse

Azure Synapse také zahrnuje role řízení přístupu na základě role (RBAC) Synapse ke správě různých aspektů synapse Studia. Pomocí těchto předdefinovaných rolí přiřaďte uživatelům, skupinám nebo jiným objektům zabezpečení oprávnění ke správě, kteří můžou:

  • Publikování artefaktů kódu a výpisu nebo přístupu k publikovaným artefaktům kódu
  • Spusťte kód ve fondech Apache Spark a prostředích Integration Runtime.
  • Přístup k propojeným (datovým) službám, které jsou chráněné přihlašovacími údaji.
  • Monitorujte nebo zrušte provádění úloh, zkontrolujte výstupní a spouštěcí protokoly úlohy.

Další kroky

V dalším článku této série white paper se dozvíte o ověřování.