Co je řízení přístupu na základě role Synapse (RBAC)?

Synapse RBAC rozšiřuje možnosti Azure RBAC pro pracovní prostory Synapse a jejich obsah.

Azure RBAC slouží ke správě, kdo může vytvářet, aktualizovat nebo odstraňovat pracovní prostor Synapse a jeho fondy SQL, fondy Apache Spark a prostředí Integration Runtime.

Synapse RBAC se používá ke správě, kdo může:

  • Publikování artefaktů kódu a seznamů nebo přístupu k publikovaným artefaktům kódu,
  • Spouštění kódu ve fondech Apaches Spark a prostředích Integration Runtime,
  • Přístup k propojeným (datovým) službám chráněným přihlašovacími údaji
  • Monitorování nebo zrušení provádění úloh, kontrola výstupu úlohy a protokoly spouštění

Poznámka

Zatímco Synapse RBAC se používá ke správě přístupu k publikovaným skriptům SQL, poskytuje pouze omezené řízení přístupu k bezserverovým a vyhrazeným fondům SQL. Přístup k fondům SQL se primárně řídí pomocí zabezpečení SQL.

Co můžu dělat s Synapse RBAC?

Tady je několik příkladů toho, co můžete s Synapse RBAC dělat:

  • Umožňuje uživateli publikovat změny provedené v poznámkových blocích a úlohách Apache Sparku do živé služby.
  • Umožňuje uživateli spouštět a rušit poznámkové bloky a úlohy Sparku v konkrétním fondu Apache Spark.
  • Umožňuje uživateli používat konkrétní přihlašovací údaje, aby mohl spouštět kanály zabezpečené identitou systému pracovního prostoru a přistupovat k datům v propojených službách zabezpečených pomocí přihlašovacích údajů.
  • Umožňuje správci spravovat, monitorovat a rušit spouštění úloh v konkrétních fondech Sparku.

Jak funguje Synapse RBAC

Stejně jako Azure RBAC funguje Synapse RBAC vytvořením přiřazení rolí. Přiřazování rolí se skládá ze tří prvků: objektu zabezpečení, definice role a rozsahu.

Objekty zabezpečení

Objekt zabezpečení je uživatel, skupina, instanční objekt nebo spravovaná identita.

Role

Role je kolekce oprávnění nebo akcí, které lze provádět u konkrétních typů prostředků nebo typů artefaktů.

Synapse poskytuje předdefinované role, které definují kolekce akcí, které odpovídají potřebám různých osob:

  • Správci můžou získat úplný přístup k vytvoření a konfiguraci pracovního prostoru.
  • Vývojáři můžou vytvářet, aktualizovat a ladit skripty SQL, poznámkové bloky, kanály a toky dat, ale nemůžou tento kód publikovat ani spouštět v produkčních výpočetních prostředcích nebo datech.
  • Operátoři můžou monitorovat a spravovat stav systému, spouštění aplikací a kontrolovat protokoly bez přístupu k kódu nebo výstupům ze spuštění.
  • Pracovníci zabezpečení můžou spravovat a konfigurovat koncové body bez přístupu k kódu, výpočetním prostředkům nebo datům.

Přečtěte si další informace o předdefinovaných rolích Synapse.

Obory

Obor definuje prostředky nebo artefakty, na které se přístup vztahuje. Azure Synapse podporuje hierarchické obory. Oprávnění udělená v oboru vyšší úrovně jsou zděděna objekty na nižší úrovni. V Synapse RBAC je obor nejvyšší úrovně pracovní prostor. Přiřazení role s oborem pracovního prostoru uděluje oprávnění všem příslušným objektům v pracovním prostoru.

Aktuální podporované obory v rámci pracovního prostoru jsou:

  • Fond Apache Sparku
  • Prostředí Integration Runtime
  • propojená služba
  • pověření

Přístup k artefaktům kódu je udělen s oborem pracovního prostoru. Udělení přístupu k kolekcům artefaktů v rámci pracovního prostoru bude podporováno v pozdější verzi.

Řešení přiřazení rolí k určení oprávnění

Přiřazení role uděluje objektu zabezpečení oprávnění definovaná rolí v zadaném oboru.

Synapse RBAC je doplňkový model, jako je Azure RBAC. K jednomu objektu zabezpečení a v různých oborech může být přiřazeno více rolí. Při výpočtu oprávnění objektu zabezpečení systém považuje všechny role přiřazené k objektu zabezpečení a skupiny, které přímo nebo nepřímo zahrnují objekt zabezpečení. Bere také v úvahu rozsah každého přiřazení při určování oprávnění, která se vztahují.

Vynucení přiřazených oprávnění

V Synapse Studio můžou být konkrétní tlačítka nebo možnosti neaktivní nebo se může vrátit chyba oprávnění při pokusu o akci, pokud nemáte požadovaná oprávnění.

Pokud je tlačítko nebo možnost zakázané, najeďte myší na tlačítko nebo možnost a zobrazí se popis s požadovaným oprávněním. Obraťte se na správce Synapse a přiřaďte roli, která uděluje požadovaná oprávnění. Můžete zobrazit role, které poskytují konkrétní akce, viz Role Synapse RBAC.

Kdo může přiřadit role Synapse RBAC?

Správci Synapse můžou přiřadit role Synapse RBAC. Správce Synapse na úrovni pracovního prostoru může udělit přístup v libovolném oboru. Správce Synapse v oboru nižší úrovně může udělit přístup pouze v daném oboru.

Po vytvoření nového pracovního prostoru se autor automaticky udělí roli Správce Synapse v oboru pracovního prostoru.

Aby vám pomohli znovu získat přístup k pracovnímu prostoru v případě, že vám nejsou přiřazeni nebo k dispozici žádní správci Synapse, můžou uživatelé s oprávněními ke správě přiřazení rolí Azure RBAC v pracovním prostoru také spravovat přiřazení rolí Synapse RBAC, což umožňuje přidání správce Synapse nebo jiných přiřazení rolí Synapse.

Kde můžu spravovat Synapse RBAC?

Synapse RBAC se spravuje v rámci Synapse Studio pomocí nástrojů řízení přístupu v centru Správa.

Další kroky

Seznamte se s předdefinovanými rolemi Synapse RBAC.

Zjistěte , jak zkontrolovat přiřazení rolí Synapse RBAC pro pracovní prostor.

Informace o přiřazování rolí Synapse RBAC