Poznámka
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Synapse RBAC rozšiřuje možnosti Azure RBAC pro pracovní prostory Synapse a jejich obsah.
Azure RBAC slouží ke správě, kdo může vytvářet, aktualizovat nebo odstraňovat pracovní prostor Synapse a jeho fondy SQL, fondy Apache Spark a prostředí Integration Runtime.
Synapse RBAC slouží ke správě, kdo může:
- Publikování artefaktů kódu a výpisu nebo přístupu k publikovaným artefaktům kódu
- Spouštění kódu ve fondech Apaches Spark a modulech Integration Runtime
- Přístup k propojeným (datovým) službám chráněným přihlašovacími údaji
- Monitorování nebo zrušení provádění úloh, kontrola výstupu úlohy a protokolů spuštění
Poznámka:
I když se Synapse RBAC používá ke správě přístupu k publikovaným skriptům SQL, poskytuje pouze omezené řízení přístupu pro bezserverové a vyhrazené fondy SQL. Přístup k fondům SQL se primárně řídí pomocí zabezpečení SQL.
Co můžu dělat s Synapse RBAC?
Tady je několik příkladů toho, co můžete dělat s Synapse RBAC:
- Umožňuje uživateli publikovat změny provedené v poznámkových blocích a úlohách Apache Sparku do živé služby.
- Umožňuje uživateli spouštět a rušit poznámkové bloky a úlohy Sparku v konkrétním fondu Apache Spark.
- Umožňuje uživateli používat konkrétní přihlašovací údaje, aby mohl spouštět kanály zabezpečené identitou systému pracovního prostoru a přistupovat k datům v propojených službách zabezpečených pomocí přihlašovacích údajů.
- Umožňuje správci spravovat, monitorovat a rušit provádění úloh u konkrétních fondů Sparku.
Jak Funguje Synapse RBAC
Podobně jako Azure RBAC funguje Synapse RBAC vytvořením přiřazení rolí. Přiřazování rolí se skládá ze tří prvků: objektu zabezpečení, definice role a rozsahu.
Subjekty zabezpečení
Bezpečnostní principál je uživatel, skupina, služební principál nebo spravovaná identita.
Role
Role je soubor oprávnění nebo akcí, které lze provádět u konkrétních typů prostředků nebo typů artefaktů.
Synapse poskytuje předdefinované role, které definují kolekce akcí, které odpovídají potřebám různých osob:
- Správci můžou získat úplný přístup k vytvoření a konfiguraci pracovního prostoru.
- Vývojáři můžou vytvářet, aktualizovat a ladit skripty SQL, poznámkové bloky, kanály a toky dat, ale nemůžou tento kód publikovat ani spouštět v produkčních výpočetních prostředcích nebo datech.
- Operátoři můžou monitorovat a spravovat stav systému, spouštění aplikací a kontrolovat protokoly bez přístupu k kódu nebo výstupům ze spuštění.
- Pracovníci zabezpečení můžou spravovat a konfigurovat koncové body bez přístupu k kódu, výpočetním prostředkům nebo datům.
Přečtěte si další informace o předdefinovaných rolích Synapse.
Rozsahy
Obor definuje prostředky nebo artefakty, na které se přístup vztahuje. Azure Synapse podporuje hierarchické obory. Oprávnění udělená na vyšší úrovni jsou zděděna objekty na nižší úrovni. V Synapse RBAC je nejvyšším rozsahem pracovní prostor. Přiřazení role s oborem pracovního prostoru uděluje oprávnění všem příslušným objektům v pracovním prostoru.
Aktuální podporované obory v rámci pracovního prostoru jsou:
- Fond Apache Spark
- Integration Runtime
- propojená služba
- pověření
Přístup k artefaktům kódu se uděluje v rámci pracovního prostoru. Udělení přístupu ke kolekcům artefaktů v pracovním prostoru bude podporováno v pozdější verzi.
Řešení přiřazení rolí pro určení oprávnění
Přiřazení role uděluje subjektu oprávnění definovaná rolí v zadaném rozsahu.
Synapse RBAC je aditivní model jako Azure RBAC. K jednomu subjektu a na různých úrovních může být přiřazeno více rolí. Při výpočtu oprávnění objektu zabezpečení systém bere v úvahu všechny role přiřazené k objektu zabezpečení a skupiny, které přímo nebo nepřímo zahrnují objekt zabezpečení. Bere také v úvahu rozsah každého přiřazení při určování platných oprávnění.
Vynucení přiřazených oprávnění
V nástroji Synapse Studio můžou být konkrétní tlačítka nebo možnosti neaktivní nebo se při pokusu o akci může vrátit chyba oprávnění, pokud nemáte požadovaná oprávnění.
Pokud je tlačítko nebo možnost zakázána, při najetí myší se zobrazí popisek s informací o požadovaném oprávnění. Obraťte se na správce Synapse a přiřaďte roli, která uděluje požadovaná oprávnění. Role, které poskytují konkrétní akce, můžete vidět v sekci Synapse RBAC Role.
Kdo může přiřadit role Synapse RBAC?
Správci Synapse můžou přiřadit role Synapse RBAC. Správce Synapse na úrovni pracovního prostoru může udělit přístup v libovolném oboru. Správce Synapse v oboru nižší úrovně může udělit přístup pouze v daném oboru.
Když se vytvoří nový pracovní prostor, autor je automaticky přiřazen do role Správce Synapse v rámci pracovního prostoru.
Aby vám pomohli znovu získat přístup k pracovnímu prostoru v případě, že vám nejsou přiřazeni nebo k dispozici žádní správci Synapse, můžou uživatelé s oprávněními ke správě přiřazení rolí Azure RBAC v pracovním prostoru spravovat také přiřazení rolí Synapse RBAC, což umožňuje přidání správce Synapse nebo jiných přiřazení rolí Synapse.
Kde můžu spravovat Synapse RBAC?
Synapse RBAC se spravuje v nástroji Synapse Studio pomocí nástrojů řízení přístupu v centru Spravovat .
Související obsah
Seznamte se s předdefinovanými rolemi Synapse RBAC.
Zjistěte , jak zkontrolovat přiřazení rolí Synapse RBAC pro pracovní prostor.
Naučte se přiřazovat role Synapse RBAC.