Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
Megjegyzés
Ez a cikk az Azure Synapse Analytics biztonsági tanulmánysorozatának része. A sorozat áttekintését az Azure Synapse Analytics biztonsági tanulmányában tekintheti meg.
Az adatok modellezésének és tárolásának módjától függően az adatszabályozás és a hozzáférés-vezérlés megkövetelheti, hogy a fejlesztők és a biztonsági rendszergazdák különböző megközelítéseket vagy technikák kombinációját használva implementálják a robusztus biztonsági alapokat.
Az Azure Synapse számos képességet támogat annak szabályozására, hogy ki férhet hozzá az adatokhoz. Ezek a képességek speciális hozzáférés-vezérlési funkciókra épülnek, többek között a következőkre:
- Objektumszintű biztonság
- Sorszintű biztonság
- Oszlopszintű biztonság
- Dinamikus adatmaszkolás
- Synapse szerepköralapú hozzáférés-vezérlés
Objektumszintű biztonság
Every object in a dedicated SQL pool has associated permissions that can be granted to a principal. A felhasználók és a szolgáltatásfiókok kontextusában így biztosíthatók az egyes táblák, nézetek, tárolt eljárások és függvények. A SELECT-hez hasonló objektumengedélyek felhasználói fiókokhoz (SQL-bejelentkezésekhez, Microsoft Entra-felhasználókhoz vagy -csoportokhoz) és adatbázis-szerepkörökhöz adhatóak, ami rugalmasságot biztosít az adatbázis-rendszergazdák számára. Ezenkívül a táblákon és nézeteken megadott engedélyek kombinálhatók más hozzáférés-vezérlési mechanizmusokkal (az alábbiakban ismertetett módon), például az oszlopszintű biztonsággal, a sorszintű biztonsággal és a dinamikus adatmaszkolással.
Az Azure Synapse-ban minden engedély adatbázisszintű felhasználók és szerepkörök számára van megadva. Emellett minden felhasználó, akinek a munkaterület szintjén megadták a beépített Synapse-rendszergazda RBAC-szerepkört, automatikusan teljes hozzáférést kap minden dedikált SQL-készlethez.
Az AZURE Synapse-ban az SQL-táblák védelme mellett a dedikált SQL-készlet (korábbi nevén SQL DW), a kiszolgáló nélküli SQL-készlet és a Spark-táblák is védhetők. Alapértelmezés szerint a munkaterülethez csatlakoztatott adattavak Storage Blob Data Contributor szerepköréhez hozzárendelt felhasználók olvasási, írási és végrehajtási engedélyekkel rendelkeznek az összes Spark által létrehozott táblában, amikor a felhasználók interaktívan hajtanak végre kódot a jegyzetfüzetben. Ezt Microsoft Entra pass-through-nak hívják, és a munkaterülethez csatlakoztatott összes adattóra érvényes. Ha azonban ugyanaz a felhasználó hajtja végre ugyanazt a jegyzetfüzetet egy folyamaton keresztül, a rendszer a munkaterület felügyeltszolgáltatás-identitását (MSI) használja a hitelesítéshez. So, for the pipeline to successfully execute workspace MSI, it must also belong to the Storage Blob Data Contributor role of the data lake that's accessed.
Sorszintű biztonság
A sorszintű biztonság lehetővé teszi a biztonsági rendszergazdák számára, hogy a lekérdezést futtató felhasználó (vagy folyamat) profilja alapján részletes hozzáférést hozzanak létre és szabályozjanak adott táblasorokhoz. A profil vagy a felhasználói jellemzők csoporttagságra vagy végrehajtási környezetre hivatkozhatnak. A sorszintű biztonság segít megelőzni a jogosulatlan hozzáférést, ha a felhasználók adatokat kérdeznek le ugyanabból a táblából, de különböző adathalmazokat kell látniuk.
Megjegyzés
A sorszintű biztonság az Azure Synapse-ban és a dedikált SQL-készletben (korábban SQL DW) támogatott, de az Apache Spark-készlet és a kiszolgáló nélküli SQL-készlet esetében nem támogatott.
Oszlopszintű biztonság
Az oszlopszintű biztonság lehetővé teszi, hogy a biztonsági rendszergazdák olyan engedélyeket állítsanak be, amelyek korlátozzák, hogy kik férhetnek hozzá a táblák bizalmas oszlopaihoz. Az adatbázis szintjén van beállítva, és anélkül implementálható, hogy módosítania kellene az adatmodell vagy az alkalmazásszint kialakítását.
Megjegyzés
Az oszlopszintű biztonság az Azure Synapse, a kiszolgáló nélküli SQL-készlet nézetei és a dedikált SQL-készlet (korábbi nevén SQL DW) esetében támogatott, de a kiszolgáló nélküli SQL-készlet külső táblái és az Apache Spark-készlet esetében nem támogatott. In case of a serverless SQL pool external tables workaround can be applied by creating a view on top of an external table.
Dinamikus adatmaszkolás
A dinamikus adatmaszkolás lehetővé teszi a biztonsági rendszergazdák számára a bizalmas adatexpozíció korlátozását azáltal, hogy nem kiemelt felhasználók számára maszkolja őket az olvasáskor. Segít megelőzni a bizalmas adatokhoz való jogosulatlan hozzáférést azáltal, hogy lehetővé teszi a rendszergazdák számára, hogy meghatározzák, hogyan jelenjenek meg az adatok a lekérdezéskor. A hitelesített felhasználó identitása és az SQL-tárban lévő csoporthozzárendelés alapján a lekérdezés vagy maszkolt, vagy maszkolatlan adatokat ad vissza. A maszkolást mindig alkalmazza a rendszer, függetlenül attól, hogy az adatok közvetlenül egy táblából, vagy egy nézet vagy egy tárolt eljárás használatával érhetők el.
Megjegyzés
A dinamikus adatmaszkolás az Azure Synapse-ban és a dedikált SQL-készletben (korábban SQL DW) támogatott, de az Apache Spark-készlet és a kiszolgáló nélküli SQL-készlet esetében nem támogatott.
Synapse szerepköralapú hozzáférés-vezérlés
Az Azure Synapse a Synapse szerepköralapú hozzáférés-vezérlési (RBAC) szerepköreit is tartalmazza a Synapse Studio különböző aspektusainak kezeléséhez. A beépített szerepkörök használatával engedélyeket rendelhet felhasználókhoz, csoportokhoz vagy más biztonsági tagokhoz a következők kezelésére:
- Kódösszetevők közzététele, közzétett kódösszetevők listázása vagy elérése.
- Kód végrehajtása Apache Spark-készleteken és integrációs futtatókörnyezeteken.
- Hozzáférés a hitelesítő adatokkal védett csatolt (adat)szolgáltatásokhoz.
- A feladatvégrehajtások monitorozása vagy megszakítása, a feladatkimenet és a végrehajtási naplók áttekintése.
Következő lépések
Ebben a tanulmánysorozatban a következő cikkben megismerheti a hitelesítést.