Freigeben über


Datenverwaltung und rollenbasierte Zugriffssteuerung für Analysen auf Cloudebene in Azure

Die Autorisierung ist die Gewährung einer Handlungsberechtigung für eine authentifizierte Person. Durch die Zugriffssteuerung soll Benutzern nur der Zugriff gewährt werden, den sie für ihre Aufgaben benötigen, und ihnen werden nur bestimmte Aktionen in einem bestimmten Bereich gestattet. Die rollenbasierte Sicherheit/rollenbasierte Zugriffssteuerung (Role-Based Access Control, RBAC) entspricht der Zugriffssteuerung. Sie wird von vielen Organisationen verwendet, um den Zugriff basierend auf definierten Rollen oder Stellenfunktionen statt basierend auf einzelnen Benutzern zu steuern. Benutzern werden dann eine oder mehrere Sicherheitsrollen zugewiesen, von denen jede autorisierte Berechtigungen zum Ausführen bestimmter Aufgaben erhält.

Bei Verwendung von Microsoft Entra ID als zentraler Identitätsanbieter kann die Autorisierung für den Zugriff auf Datendienste und Speicher pro Benutzer oder pro Anwendung gewährt werden, und sie basiert auf einer Microsoft Entra-Identität. Die Autorisierung umfasst die rollenbasierte Zugriffssteuerung für den Dienst und die Zugriffssteuerungsliste auf Datei-, Ordner- oder Objektebene im Speicher.

Datendienstautorisierung

Microsoft Azure enthält standardmäßige und integrierte rollenbasierte Zugriffssteuerung. Dies ist ein Autorisierungssystem, das auf Azure Resource Manager basiert und eine präzise Verwaltung des Zugriffs auf Azure-Ressourcen ermöglicht. Mit RBAC-Rollen lassen sich Ebenen des Zugriffs auf Ressourcen steuern. Welche Aktionen kann ein Sicherheitsprinzipal, ein Benutzer, eine Gruppe, ein Dienst oder eine Anwendung für die Ressourcen und Bereiche ausführen, auf die er bzw. sie Zugriff hat? Bei der Planung einer Zugriffssteuerungsstrategie wird empfohlen, Benutzern nur den Zugriff zu gewähren, den sie zum Ausführen ihrer Aufgaben benötigen, und nur bestimmte Aktionen in einem bestimmten Bereich zu erlauben.

Die folgenden integrierten Rollen sind für alle Azure-Ressourcentypen, einschließlich Azure-Datendiensten, von grundlegender Bedeutung:

BESCHREIBUNG
Besitzer: Diese Rolle verfügt über Vollzugriff auf die Ressource und kann alle Aspekte der Ressource verwalten, einschließlich des Rechts, Zugriff auf sie zu gewähren.
Mitwirkender: Diese Rolle kann die Ressource verwalten, aber keinen Zugriff auf sie gewähren.
Leser: Diese Rolle kann die Ressource und Informationen darüber anzeigen (mit Ausnahme vertraulicher Informationen, z. B. Zugriffsschlüssel oder Geheimnisse), jedoch keine Änderungen an der Ressource vornehmen.

Einige Dienste verfügen über bestimmte RBAC-Rollen, z. B. „Mitwirkender an Storage-Blobdaten“ oder „Data Factory-Mitwirkender“. Dies bedeutet, dass bestimmte RBAC-Rollen für diese Dienste verwendet werden sollten. RBAC ist ein additives Modell, bei dem das Hinzufügen von Rollenzuweisungen eine aktive Berechtigung ist. RBAC unterstützt auch Ablehnungszuweisungen. Diese haben Vorrang vor Rollenzuweisungen.

Allgemeine RBAC-Methoden für Analysen auf Cloudebene in Azure

Die folgenden bewährten Methoden helfen Ihnen beim Einstieg in RBAC:

  • Verwenden Sie RBAC-Rollen für die Dienstverwaltung und Dienstvorgänge, und verwenden Sie dienstspezifische Rollen für den Datenzugriff und workloadspezifische Aufgaben: Verwenden Sie RBAC-Rollen für Azure-Ressourcen, um Sicherheitsprinzipalen, die Aufgaben der Ressourcenverwaltung und Ressourcenvorgänge ausführen müssen, Berechtigungen zu erteilen. Sicherheitsprinzipale, die auf Daten im Speicher zugreifen müssen, benötigen keine RBAC-Rolle für die Ressource, da sie sie nicht verwalten müssen. Erteilen Sie stattdessen direkt Berechtigungen für Datenobjekte. Erteilen Sie z. B. Lesezugriff auf einen Ordner in Azure Data Lake Storage Gen2 oder eine Benutzerberechtigung für eigenständige Datenbanken und eine Tabellenberechtigung für eine Datenbank in Azure SQL-Datenbank.

  • Verwenden Sie integrierte RBAC-Rollen: Verwenden Sie zunächst die integrierten RBAC-Rollen für Azure-Ressourcen, um Dienste zu verwalten, und weisen Sie Vorgangsrollen zu, um den Zugriff zu steuern. Erstellen und verwenden Sie benutzerdefinierte Rollen für Azure-Ressourcen nur, wenn integrierte Rollen bestimmte Anforderungen nicht erfüllen.

  • Verwenden Sie zum Verwalten des Zugriffs Gruppen: Weisen Sie den Microsoft Entra-Gruppen Zugriff zu, und verwalten Sie die Gruppenmitgliedschaft für die fortlaufende Zugriffsverwaltung.

  • Abonnement- und Ressourcengruppenbereich: Es ist zwar sinnvoll, Zugriff auf den Ressourcengruppenbereich zu gewähren, um Anforderungen des Zugriffs auf die Dienstverwaltung und -vorgänge vom Gewähren des Zugriffs auf einzelne Ressourcen zu trennen (insbesondere in der Nichtproduktionsumgebung). Sie können jedoch stattdessen den Zugriff auf einzelne Ressourcen für workloadspezifische Aufgaben wie Unterstützung des Data Lake-Dateisystems und Vorgänge gewähren, insbesondere in der Produktionsumgebung. Der Grund dafür ist, dass Entwickler und Tester in Nichtproduktionsumgebungen Ressourcen verwalten müssen, indem sie z. B. eine Azure Data Factory-Erfassungspipeline oder einen Container in Data Lake Storage Gen2 erstellen. In der Produktion hingegen müssen Benutzer nur Ressourcen verwenden, indem sie z. B. den Status einer geplanten Data Factory-Erfassungspipeline anzeigen oder Datendateien in Data Lake Storage Gen2 lesen.

  • Gewähren Sie im Abonnementbereich keinen unnötigen Zugriff: Dieser Bereich umfasst alle Ressourcen im Abonnement.

  • Wählen Sie den Zugriff mit den geringsten Rechten: Wählen Sie nur eine (und die richtige) Rolle für den Auftrag aus.

Nächste Schritte

Bereitstellen von Sicherheit für Analysen auf Cloudebene in Azure