How to set up access control for your Azure Synapse workspace
Ez a cikk bemutatja, hogyan szabályozhatja a Microsoft Azure Synapse-munkaterületekhez való hozzáférést. Ehhez azure-szerepkörök, Azure Synapse-szerepkörök, SQL-engedélyek és Git-engedélyek kombinációját fogjuk használni.
Ebben az útmutatóban beállít egy munkaterületet, és konfigurál egy alapszintű hozzáférés-vezérlési rendszert. Ezeket az információkat a Synapse-projektek számos típusában használhatja. Ha szüksége van rá, speciális beállításokat is találhat a finomabb szabályozáshoz.
A Synapse hozzáférés-vezérlése egyszerűbbé teheti a szervezet szerepköreinek és személyeinek biztonsági csoportokkal való igazítását. Így egyszerűen kezelheti a biztonsági csoportokhoz való hozzáférést a felhasználók hozzáadásával és eltávolításával.
Mielőtt elkezdené ezt az útmutatót, olvassa el az Azure Synapse hozzáférés-vezérlési áttekintését , hogy megismerje a Synapse Analytics által használt hozzáférés-vezérlési mechanizmusokat.
Hozzáférés-vezérlési mechanizmusok
Megjegyzés:
Az útmutatóban szereplő módszer biztonsági csoportok létrehozása. Amikor szerepköröket rendel ezekhez a biztonsági csoportokhoz, csak a csoportokon belüli tagságokat kell kezelnie a munkaterületekhez való hozzáférés szabályozásához.
A Synapse-munkaterület biztonságossá tételéhez a következő elemeket kell konfigurálnia:
- Biztonsági csoportok a hasonló hozzáférési követelményekkel rendelkező felhasználók csoportosításához.
- Azure-szerepkörök annak vezérléséhez, hogy ki hozhat létre és kezelhet SQL-készleteket, Apache Spark-készleteket és integrációs modulokat, illetve ki férhet hozzá az ADLS Gen2 tárhelyhez.
- Synapse-szerepkörök a közzétett kódösszetevőkhöz való hozzáférés, illetve az Apache Spark számítási erőforrások és az integrációs modulok használatának vezérléséhez.
- SQL-engedélyek az SQL-készletek rendszergazdai és adatsíkon történő elérhetőségének vezérléséhez.
- Git-engedélyek annak szabályozásához, hogy ki férhet hozzá a kódösszetevőkhöz a forrásvezérlőben, ha a Git-támogatást munkaterületekhez konfigurálja.
Synapse-munkaterület biztonságossá tételének lépései
Ez a dokumentum szabványos neveket használ az utasítások egyszerűsítése érdekében. Cserélje le őket az Ön által választott nevekre.
Beállítás | Standard név | Leírás |
---|---|---|
Synapse-munkaterület | workspace1 |
Az Azure Synapse-munkaterület neve. |
ADLSGEN2 fiók | storage1 |
A munkaterülethez használni kívánt ADLS-fiók. |
Tároló | container1 |
Az STG1 tárolója, amelyet a munkaterület alapértelmezés szerint használni fog. |
Active Directory-bérlő | contoso |
az Active Directory-bérlő neve. |
1. lépés: Biztonsági csoportok beállítása
Megjegyzés:
Az előzetes verzióban arra biztattuk, hogy hozzon létre biztonsági csoportokat, és képezhesse le őket az Azure Synapse Synapse SQL Rendszergazda istrator és a Synapse Apache Spark Rendszergazda istrator szerepkörökre. Az új, részletesebb Synapse RBAC-szerepkörök és -hatókörök bevezetésével mostantól javasoljuk, hogy a munkaterülethez való hozzáférés szabályozásához használjon újabb lehetőségeket. Nagyobb rugalmasságot biztosítanak a konfigurációhoz, és elismerik, hogy a fejlesztők gyakran az SQL és a Spark kombinációját használják elemzési alkalmazások létrehozásához. Ezért előfordulhat, hogy a fejlesztőknek a teljes munkaterület helyett az egyes erőforrásokhoz kell hozzáférnie. További információ a Synapse RBAC-ről.
Hozza létre a következő biztonsági csoportokat a munkaterülethez:
workspace1_SynapseAdministrators
, olyan felhasználók számára, akiknek teljes körű vezérlésre van szükségük egy munkaterület felett. Adja hozzá magát ehhez a biztonsági csoporthoz, legalábbis kezdetben.workspace1_SynapseContributors
a fejlesztők számára, akiknek kódot kell fejleszteni, hibakeresést és kódot közzétenni egy szolgáltatásban.workspace1_SynapseComputeOperators
az Apache Spark-készletek és az integrációs futtatókörnyezetek felügyeletére és figyelésére szoruló felhasználók számára.workspace1_SynapseCredentialUsers
azoknak a felhasználóknak, akiknek a munkaterületi MSI (felügyeltszolgáltatás-identitás) hitelesítő adataival kell hibakeresést és vezénylési folyamatokat futtatniuk, és megszakítják a folyamatfuttatásokat.
A Synapse-szerepköröket hamarosan hozzárendelheti ezekhez a csoportokhoz a munkaterület hatókörében.
Hozza létre ezt a biztonsági csoportot is:
workspace1_SQLAdmins
, csoport azon felhasználók számára, akiknek SQL Active Directory-Rendszergazda szolgáltatóra van szükségük a munkaterület SQL-készleteiben.
Az workspace1_SQLAdmins
SQL-engedélyek sql-készletek létrehozásakor konfigurálható csoport.
Ez az öt csoport elegendő egy alapszintű beállításhoz. Később biztonsági csoportokat adhat hozzá a speciálisabb hozzáféréssel rendelkező felhasználók kezeléséhez, vagy csak az egyes erőforrásokhoz való hozzáférést korlátozhatja.
Megjegyzés:
- Megtudhatja, hogyan hozhat létre biztonsági csoportot az alapszintű csoport létrehozása és tagok hozzáadása a Microsoft Entra ID használatával.
- Ebből a cikkből megtudhatja, hogyan vehet fel biztonsági csoportot egy másik biztonsági csoportból a Microsoft Entra-azonosító használatával, illetve hogyan távolíthat el csoportokat egy másik csoportból.
- Biztonsági csoport létrehozásakor győződjön meg arról, hogy a csoport típusabiztonság. Az Azure SQL nem támogatja a Microsoft 365-csoportokat.
Tipp.
Az egyes Synapse-felhasználók az Azure Portal Microsoft Entra-azonosítójával tekinthetik meg csoporttagságaikat. Ez lehetővé teszi számukra, hogy meghatározzák, hogy mely szerepköröket kapták meg.
2. lépés: Az ADLS Gen2-tárfiók előkészítése
A Synapse-munkaterületek alapértelmezett tárolókat használnak a következő célokra:
- Biztonsági mentési adatfájlok tárolása Spark-táblákhoz
- Végrehajtási naplók Spark-feladatokhoz
- A telepíteni kívánt kódtárak kezelése
Azonosítsa a tárterületre vonatkozó alábbi információkat:
A munkaterülethez használandó ADLS Gen2-fiók. Ez a dokumentum meghívja.
storage1
storage1
a munkaterület "elsődleges" tárfiókjának számít.A Synapse-munkaterületen alapértelmezés
storage1
szerint használt tároló. Ez a dokumentum meghívja.container1
Select Access control (IAM).
Válassza a Szerepkör-hozzárendelés hozzáadása>lehetőséget a Szerepkör-hozzárendelés hozzáadása lap megnyitásához.
Rendelje hozzá a következő szerepkört. A részletes lépésekért tekintse meg az Azure-szerepköröknek az Azure Portalon történő hozzárendelését ismertető cikket.
Beállítás Value Role Storage Blob Data Contributor Hozzáférés hozzárendelése a következőhöz: Standard kiadás RVICEPRINCIPAL Tagok workspace1_SynapseRendszergazda istratorok, workspace1_SynapseContributors és workspace1_SynapseComputeOperators
3. lépés: A Synapse-munkaterület létrehozása és konfigurálása
Az Azure Portalon hozzon létre egy Synapse-munkaterületet:
Az előfizetés kiválasztása
Válasszon vagy hozzon létre egy erőforráscsoportot, amelyhez Azure-tulajdonosi szerepkörrel rendelkezik.
Munkaterület elnevezése
workspace1
A Storage-fiók kiválasztása
storage1
Válassza ki
container1
a "fájlrendszerként" használt tárolót.A WS1 megnyitása a Synapse Studióban
A Synapse Studióban lépjen a Hozzáférés-vezérlés kezelése elemre>. A munkaterület hatókörében synapse-szerepköröket rendeljen a biztonsági csoportokhoz az alábbiak szerint:
- A Synapse Rendszergazda istrator szerepkör hozzárendelése
workspace1_SynapseAdministrators
- A Synapse közreműködői szerepkör hozzárendelése
workspace1_SynapseContributors
- A Synapse Számítási operátor szerepkör hozzárendelése a következőhöz:
workspace1_SynapseComputeOperators
- A Synapse Rendszergazda istrator szerepkör hozzárendelése
4. lépés: A munkaterület MSI-hozzáférésének biztosítása az alapértelmezett tárolóhoz
A folyamatok futtatásához és a rendszerfeladatok végrehajtásához az Azure Synapse megköveteli, hogy a felügyeltszolgáltatás-identitás (MSI) hozzáférjen container1
a munkaterület alapértelmezett ADLS Gen2-fiókjához. További információ: Azure Synapse-munkaterület felügyelt identitása.
Azure portál megnyitása
Keresse meg a tárfiókot,
storage1
majdcontainer1
.Select Access control (IAM).
A Szerepkör-hozzárendelés hozzáadása lap megnyitásához válassza a Szerepkör-hozzárendelés hozzáadása>lehetőséget.
Rendelje hozzá a következő szerepkört. A részletes lépésekért tekintse meg az Azure-szerepköröknek az Azure Portalon történő hozzárendelését ismertető cikket.
Beállítás Value Role Storage Blob Data Contributor Hozzáférés hozzárendelése a következőhöz: MANAGEDIDENTITY Tagok felügyelt identitás neve Megjegyzés:
A felügyelt identitás neve a munkaterület neve is.
5. lépés: Azure-közreműködői szerepkör biztosítása a Synapse-rendszergazdáknak a munkaterülethez
Sql-készletek, Apache Spark-készletek és integrációs futtatókörnyezetek létrehozásához a felhasználóknak legalább Azure Közreműködői szerepkörre van szükségük a munkaterülethez. A közreműködői szerepkör lehetővé teszi a felhasználók számára az erőforrások kezelését, beleértve a szüneteltetést és a skálázást is. Ha sql-készleteket, Apache Spark-készleteket és integrációs futtatókörnyezeteket szeretne létrehozni az Azure Portal vagy a Synapse Studio használatával, az erőforráscsoport szintjén közreműködői szerepkörre van szükség.
Azure portál megnyitása
Keresse meg a munkaterületet,
workspace1
Select Access control (IAM).
A Szerepkör-hozzárendelés hozzáadása lap megnyitásához válassza a Szerepkör-hozzárendelés hozzáadása>lehetőséget.
Rendelje hozzá a következő szerepkört. A részletes lépésekért tekintse meg az Azure-szerepköröknek az Azure Portalon történő hozzárendelését ismertető cikket.
Beállítás Value Role Contributor Hozzáférés hozzárendelése a következőhöz: Standard kiadás RVICEPRINCIPAL Tagok workspace1_SynapseRendszergazda istratorok
6. lépés: SQL Active Directory-Rendszergazda szerepkör hozzárendelése
A munkaterület létrehozója automatikusan SQL Active Directory-Rendszergazda lesz hozzárendelve a munkaterülethez. Ezt a szerepkört csak egyetlen felhasználó vagy csoport kaphatja meg. Ebben a lépésben hozzárendeli a munkaterület SQL Active Directory-Rendszergazda a workspace1_SQLAdmins
biztonsági csoporthoz. Ez magas jogosultságú rendszergazdai hozzáférést biztosít a csoportnak a munkaterület összes SQL-készletéhez és adatbázisához.
- Azure portál megnyitása
- Navigate to
workspace1
- A Gépház területen válassza a Microsoft Entra-azonosítót
- Válassza a Rendszergazda beállítása lehetőséget, és válassza a
workspace1_SQLAdmins
Megjegyzés:
A 6. lépés nem kötelező. Dönthet úgy is, hogy a csoportnak egy kevésbé kiemelt szerepkört ad workspace1_SQLAdmins
. A hozzárendeléshez vagy más SQL-szerepkörökhöz db_owner
szkripteket kell futtatnia az egyes SQL-adatbázisokon.
7. lépés: Hozzáférés biztosítása SQL-készletekhez
A Synapse Rendszergazda istrator alapértelmezés szerint a munkaterület kiszolgáló nélküli SQL-készleteinek SQL-szerepkörét db_owner
is megadja.
Az SQL-készletek más felhasználók számára való elérését SQL-engedélyek vezérlik. Az SQL-engedélyek hozzárendeléséhez sql-szkripteket kell futtatni az egyes SQL-adatbázisokon a létrehozás után. Az alábbi példák megkövetelik a szkriptek futtatását:
Ha hozzáférést szeretne biztosítani a felhasználóknak a kiszolgáló nélküli SQL-készlethez, a "Beépített" készlethez és az adatbázisaihoz.
Dedikált SQL-készlet-adatbázisokhoz való hozzáférés biztosítása a felhasználóknak. A cikk későbbi részében példa SQL-szkripteket talál.
Dedikált SQL-készlet-adatbázishoz való hozzáférés biztosításához a szkripteket a munkaterület létrehozója vagy a
workspace1_SynapseAdministrators
csoport bármely tagja futtathatja.A "Beépített" kiszolgáló nélküli SQL-készlethez való hozzáférés biztosításához a szkripteket a csoport vagy a
workspace1_SQLAdmins
workspace1_SynapseAdministrators
csoport bármely tagja futtathatja.
Tipp.
Az összes SQL-adatbázishoz az alábbi lépésekkel adhat hozzáférést az egyes SQL-készletekhez. A szakaszkonfiguráció-munkaterület hatókörű engedélyek kivételt képeznek a szabály alól, és lehetővé teszi, hogy a felhasználóhoz sysadmin szerepkört rendeljen a munkaterület szintjén.
7a. lépés: Kiszolgáló nélküli SQL-készlet, beépített
Az ebben a szakaszban szereplő példaszkriptekkel engedélyt adhat a felhasználóknak, hogy hozzáférjenek egy önálló adatbázishoz vagy a kiszolgáló nélküli SQL-készlet összes adatbázisához. Built-in
Megjegyzés:
A példaszkriptekben cserélje le az aliast a hozzáféréssel rendelkező felhasználó vagy csoport aliasára. Cserélje le a tartományt a használt vállalati tartományra.
Adatbázis-hatókörű engedélyek konfigurálása
Egyetlen kiszolgáló nélküli SQL-adatbázishoz adhat hozzáférést a felhasználóknak az alábbi példában ismertetett lépésekkel:
Hozzon létre egy bejelentkezést. Váltson az
master
adatbázis-környezetre.--In the master database CREATE LOGIN [alias@domain.com] FROM EXTERNAL PROVIDER;
Hozzon létre egy felhasználót az adatbázisban. Módosítsa a környezetét az adatbázisra.
-- In your database CREATE USER alias FROM LOGIN [alias@domain.com];
Adja hozzá a felhasználót a megadott szerepkör tagjaként az adatbázisban (ebben az esetben a db_owner szerepkörhöz).
ALTER ROLE db_owner ADD member alias; -- Type USER name from step 2
Munkaterület-hatókörű engedélyek konfigurálása
Teljes hozzáférést biztosíthat a munkaterület összes kiszolgáló nélküli SQL-készletéhez. Futtassa a szkriptet ebben a példában az master
adatbázisban:
CREATE LOGIN [alias@domain.com] FROM EXTERNAL PROVIDER;
ALTER SERVER ROLE sysadmin ADD MEMBER [alias@domain.com];
7b. lépés: dedikált SQL-készletek konfigurálása
Egyetlen dedikált SQL-készlet-adatbázishoz adhat hozzáférést. Kövesse az alábbi lépéseket az Azure Synapse SQL-szkriptszerkesztőben:
Hozzon létre egy felhasználót az adatbázisban az alábbi parancsok futtatásával. Válassza ki a céladatbázist a Csatlakozás a legördülő listából:
--Create user in the database CREATE USER [<alias@domain.com>] FROM EXTERNAL PROVIDER; -- For Service Principals you would need just the display name and @domain.com is not required
Adjon egy szerepkört a felhasználónak az adatbázis eléréséhez:
--Grant role to the user in the database EXEC sp_addrolemember 'db_owner', '<alias@domain.com>';
Fontos
db_datareader és db_datawriter adatbázis-szerepkörök olvasási/írási engedélyt biztosíthatnak, ha nem szeretne db_owner engedélyeket adni. Azonban db_owner engedélyre van szükség ahhoz, hogy a Spark-felhasználók közvetlenül a Sparkból olvassák és írjanak egy SQL-készletbe vagy onnan.
Lekérdezéseket futtatva ellenőrizheti, hogy a kiszolgáló nélküli SQL-készletek lekérdezhetik-e a tárfiókokat a felhasználók létrehozása után.
8. lépés: Felhasználók hozzáadása biztonsági csoportokhoz
A hozzáférés-vezérlési rendszer kezdeti konfigurációja befejeződött.
Mostantól hozzáadhat és eltávolíthat felhasználókat a beállított biztonsági csoportokhoz a hozzájuk való hozzáférés kezeléséhez. Manuálisan hozzárendelhet felhasználókat az Azure Synapse-szerepkörökhöz, de ez nem konzisztens módon állítja be az engedélyeket. Ehelyett csak felhasználókat adhat hozzá vagy távolíthat el a biztonsági csoportokhoz.
9. lépés: Hálózati biztonság
A munkaterület biztonságossá tételének utolsó lépéseként a munkaterület tűzfalával kell biztonságossá tenni a hálózati hozzáférést.
- Felügyelt virtuális hálózattal és anélkül nyilvános hálózatokról is csatlakozhat a munkaterülethez. További információ: Csatlakozás ivity Gépház.
- A nyilvános hálózatokról való hozzáférés szabályozható a nyilvános hálózat hozzáférési funkciójának vagy a munkaterület tűzfalának engedélyezésével.
- Másik lehetőségként egy felügyelt privát végpont és privát kapcsolat használatával is csatlakozhat a munkaterülethez. Az Azure Synapse Analytics felügyelt virtuális hálózat nélküli Azure Synapse-munkaterületek nem tudnak felügyelt privát végpontokon keresztül csatlakozni.
10. lépés: Befejezés
A munkaterület most már teljes mértékben konfigurálva és védve van.
Speciálisabb forgatókönyvek támogatása
Ez az útmutató egy alapszintű hozzáférés-vezérlési rendszer beállítására összpontosít. A speciálisabb forgatókönyvek támogatásához további biztonsági csoportokat hozhat létre, és részletesebb szerepköröket rendelhet hozzájuk konkrétabb hatókörökhöz. Vegye figyelembe a következő eseteket:
A Git-támogatás engedélyezése a munkaterületen a fejlettebb fejlesztési forgatókönyvekhez, például a CI/CD-hez. Git módban a Git-engedélyek és a Synapse RBAC határozza meg, hogy a felhasználó véglegesítheti-e a módosításokat a munkaágban. A szolgáltatásban való közzététel csak az együttműködési ágból történik. Fontolja meg egy biztonsági csoport létrehozását olyan fejlesztők számára, akiknek frissítéseket kell fejleszteniük és hibakeresést végezniük egy működő ágban, de nem kell közzétenniük a módosításokat az élő szolgáltatásban.
A fejlesztői hozzáférés korlátozása adott erőforrásokhoz. További részletesebb biztonsági csoportokat hozhat létre azoknak a fejlesztőknek, akiknek csak adott erőforrásokhoz kell hozzáférni. Rendelje hozzá ezeket a csoportokat a megfelelő Azure Synapse-szerepkörökhöz, amelyek hatóköre adott Spark-készletekre, integrációs futtatókörnyezetekre vagy hitelesítő adatokra terjed ki.
Az operátorok hozzáférésének korlátozása a kódösszetevőkhöz. Biztonsági csoportokat hozhat létre azoknak az operátoroknak, akiknek monitorozniuk kell a Synapse számítási erőforrásainak működési állapotát, és meg kell tekinteni a naplókat, de akiknek nincs szükségük a kódhoz való hozzáférésre vagy a frissítések szolgáltatásban való közzétételére. Rendelje hozzá ezeket a csoportokat az adott Spark-készletekhez és integrációs futtatókörnyezetekhez hatókörbe tartozó Számítási operátor szerepkörhöz.
Tiltsa le a helyi hitelesítést. Ha csak a Microsoft Entra-hitelesítést engedélyezi, központilag kezelheti az Azure Synapse-erőforrásokhoz, például az SQL-készletekhez való hozzáférést. A munkaterületen belüli összes erőforrás helyi hitelesítése letiltható a munkaterület létrehozása során vagy után. A csak Microsoft Entra-hitelesítéssel kapcsolatos további információkért lásd: A helyi hitelesítés letiltása az Azure Synapse Analyticsben.
Következő lépések
Visszajelzés
https://aka.ms/ContentUserFeedback.
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ:Visszajelzés küldése és megtekintése a következőhöz: