Megosztás a következőn keresztül:

How to set up access control for your Azure Synapse workspace

  • Cikk

Ez a cikk bemutatja, hogyan szabályozhatja a Microsoft Azure Synapse-munkaterületekhez való hozzáférést. Ehhez azure-szerepkörök, Azure Synapse-szerepkörök, SQL-engedélyek és Git-engedélyek kombinációját fogjuk használni.

Ebben az útmutatóban beállít egy munkaterületet, és konfigurál egy alapszintű hozzáférés-vezérlési rendszert. Ezeket az információkat a Synapse-projektek számos típusában használhatja. Ha szüksége van rá, speciális beállításokat is találhat a finomabb szabályozáshoz.

A Synapse hozzáférés-vezérlése egyszerűbbé teheti a szervezet szerepköreinek és személyeinek biztonsági csoportokkal való igazítását. Így egyszerűen kezelheti a biztonsági csoportokhoz való hozzáférést a felhasználók hozzáadásával és eltávolításával.

Mielőtt elkezdené ezt az útmutatót, olvassa el az Azure Synapse hozzáférés-vezérlési áttekintését , hogy megismerje a Synapse Analytics által használt hozzáférés-vezérlési mechanizmusokat.

Hozzáférés-vezérlési mechanizmusok

Megjegyzés:

Az útmutatóban szereplő módszer biztonsági csoportok létrehozása. Amikor szerepköröket rendel ezekhez a biztonsági csoportokhoz, csak a csoportokon belüli tagságokat kell kezelnie a munkaterületekhez való hozzáférés szabályozásához.

A Synapse-munkaterület biztonságossá tételéhez a következő elemeket kell konfigurálnia:

  • Biztonsági csoportok a hasonló hozzáférési követelményekkel rendelkező felhasználók csoportosításához.
  • Azure-szerepkörök annak vezérléséhez, hogy ki hozhat létre és kezelhet SQL-készleteket, Apache Spark-készleteket és integrációs modulokat, illetve ki férhet hozzá az ADLS Gen2 tárhelyhez.
  • Synapse-szerepkörök a közzétett kódösszetevőkhöz való hozzáférés, illetve az Apache Spark számítási erőforrások és az integrációs modulok használatának vezérléséhez.
  • SQL-engedélyek az SQL-készletek rendszergazdai és adatsíkon történő elérhetőségének vezérléséhez.
  • Git-engedélyek annak szabályozásához, hogy ki férhet hozzá a kódösszetevőkhöz a forrásvezérlőben, ha a Git-támogatást munkaterületekhez konfigurálja.

Synapse-munkaterület biztonságossá tételének lépései

Ez a dokumentum szabványos neveket használ az utasítások egyszerűsítése érdekében. Cserélje le őket az Ön által választott nevekre.

Beállítás Standard név Leírás
Synapse-munkaterület workspace1 Az Azure Synapse-munkaterület neve.
ADLSGEN2 fiók storage1 A munkaterülethez használni kívánt ADLS-fiók.
Tároló container1 Az STG1 tárolója, amelyet a munkaterület alapértelmezés szerint használni fog.
Active Directory-bérlő contoso az Active Directory-bérlő neve.

1. lépés: Biztonsági csoportok beállítása

Megjegyzés:

Az előzetes verzióban arra biztattuk, hogy hozzon létre biztonsági csoportokat, és képezhesse le őket az Azure Synapse Synapse SQL Rendszergazda istrator és a Synapse Apache Spark Rendszergazda istrator szerepkörökre. Az új, részletesebb Synapse RBAC-szerepkörök és -hatókörök bevezetésével mostantól javasoljuk, hogy a munkaterülethez való hozzáférés szabályozásához használjon újabb lehetőségeket. Nagyobb rugalmasságot biztosítanak a konfigurációhoz, és elismerik, hogy a fejlesztők gyakran az SQL és a Spark kombinációját használják elemzési alkalmazások létrehozásához. Ezért előfordulhat, hogy a fejlesztőknek a teljes munkaterület helyett az egyes erőforrásokhoz kell hozzáférnie. További információ a Synapse RBAC-ről.

Hozza létre a következő biztonsági csoportokat a munkaterülethez:

  • workspace1_SynapseAdministrators, olyan felhasználók számára, akiknek teljes körű vezérlésre van szükségük egy munkaterület felett. Adja hozzá magát ehhez a biztonsági csoporthoz, legalábbis kezdetben.
  • workspace1_SynapseContributorsa fejlesztők számára, akiknek kódot kell fejleszteni, hibakeresést és kódot közzétenni egy szolgáltatásban.
  • workspace1_SynapseComputeOperatorsaz Apache Spark-készletek és az integrációs futtatókörnyezetek felügyeletére és figyelésére szoruló felhasználók számára.
  • workspace1_SynapseCredentialUsersazoknak a felhasználóknak, akiknek a munkaterületi MSI (felügyeltszolgáltatás-identitás) hitelesítő adataival kell hibakeresést és vezénylési folyamatokat futtatniuk, és megszakítják a folyamatfuttatásokat.

A Synapse-szerepköröket hamarosan hozzárendelheti ezekhez a csoportokhoz a munkaterület hatókörében.

Hozza létre ezt a biztonsági csoportot is:

  • workspace1_SQLAdmins, csoport azon felhasználók számára, akiknek SQL Active Directory-Rendszergazda szolgáltatóra van szükségük a munkaterület SQL-készleteiben.

Az workspace1_SQLAdmins SQL-engedélyek sql-készletek létrehozásakor konfigurálható csoport.

Ez az öt csoport elegendő egy alapszintű beállításhoz. Később biztonsági csoportokat adhat hozzá a speciálisabb hozzáféréssel rendelkező felhasználók kezeléséhez, vagy csak az egyes erőforrásokhoz való hozzáférést korlátozhatja.

Megjegyzés:

Tipp.

Az egyes Synapse-felhasználók az Azure Portal Microsoft Entra-azonosítójával tekinthetik meg csoporttagságaikat. Ez lehetővé teszi számukra, hogy meghatározzák, hogy mely szerepköröket kapták meg.

2. lépés: Az ADLS Gen2-tárfiók előkészítése

A Synapse-munkaterületek alapértelmezett tárolókat használnak a következő célokra:

  • Biztonsági mentési adatfájlok tárolása Spark-táblákhoz
  • Végrehajtási naplók Spark-feladatokhoz
  • A telepíteni kívánt kódtárak kezelése

Azonosítsa a tárterületre vonatkozó alábbi információkat:

  • A munkaterülethez használandó ADLS Gen2-fiók. Ez a dokumentum meghívja.storage1 storage1 a munkaterület "elsődleges" tárfiókjának számít.

  • A Synapse-munkaterületen alapértelmezés storage1 szerint használt tároló. Ez a dokumentum meghívja.container1

  • Select Access control (IAM).

  • Válassza a Szerepkör-hozzárendelés hozzáadása>lehetőséget a Szerepkör-hozzárendelés hozzáadása lap megnyitásához.

  • Rendelje hozzá a következő szerepkört. A részletes lépésekért tekintse meg az Azure-szerepköröknek az Azure Portalon történő hozzárendelését ismertető cikket.

    Beállítás Value
    Role Storage Blob Data Contributor
    Hozzáférés hozzárendelése a következőhöz: Standard kiadás RVICEPRINCIPAL
    Tagok workspace1_SynapseRendszergazda istratorok, workspace1_SynapseContributors és workspace1_SynapseComputeOperators

    Add role assignment page in Azure portal.

3. lépés: A Synapse-munkaterület létrehozása és konfigurálása

Az Azure Portalon hozzon létre egy Synapse-munkaterületet:

  • Az előfizetés kiválasztása

  • Válasszon vagy hozzon létre egy erőforráscsoportot, amelyhez Azure-tulajdonosi szerepkörrel rendelkezik.

  • Munkaterület elnevezése workspace1

  • A Storage-fiók kiválasztása storage1

  • Válassza ki container1 a "fájlrendszerként" használt tárolót.

  • A WS1 megnyitása a Synapse Studióban

  • A Synapse Studióban lépjen a Hozzáférés-vezérlés kezelése elemre>. A munkaterület hatókörében synapse-szerepköröket rendeljen a biztonsági csoportokhoz az alábbiak szerint:

    • A Synapse Rendszergazda istrator szerepkör hozzárendeléseworkspace1_SynapseAdministrators
    • A Synapse közreműködői szerepkör hozzárendeléseworkspace1_SynapseContributors
    • A Synapse Számítási operátor szerepkör hozzárendelése a következőhöz:workspace1_SynapseComputeOperators

4. lépés: A munkaterület MSI-hozzáférésének biztosítása az alapértelmezett tárolóhoz

A folyamatok futtatásához és a rendszerfeladatok végrehajtásához az Azure Synapse megköveteli, hogy a felügyeltszolgáltatás-identitás (MSI) hozzáférjen container1 a munkaterület alapértelmezett ADLS Gen2-fiókjához. További információ: Azure Synapse-munkaterület felügyelt identitása.

  • Azure portál megnyitása

  • Keresse meg a tárfiókot, storage1majd container1.

  • Select Access control (IAM).

  • A Szerepkör-hozzárendelés hozzáadása lap megnyitásához válassza a Szerepkör-hozzárendelés hozzáadása>lehetőséget.

  • Rendelje hozzá a következő szerepkört. A részletes lépésekért tekintse meg az Azure-szerepköröknek az Azure Portalon történő hozzárendelését ismertető cikket.

    Beállítás Value
    Role Storage Blob Data Contributor
    Hozzáférés hozzárendelése a következőhöz: MANAGEDIDENTITY
    Tagok felügyelt identitás neve

    Megjegyzés:

    A felügyelt identitás neve a munkaterület neve is.

    Add role assignment page in Azure portal.

5. lépés: Azure-közreműködői szerepkör biztosítása a Synapse-rendszergazdáknak a munkaterülethez

Sql-készletek, Apache Spark-készletek és integrációs futtatókörnyezetek létrehozásához a felhasználóknak legalább Azure Közreműködői szerepkörre van szükségük a munkaterülethez. A közreműködői szerepkör lehetővé teszi a felhasználók számára az erőforrások kezelését, beleértve a szüneteltetést és a skálázást is. Ha sql-készleteket, Apache Spark-készleteket és integrációs futtatókörnyezeteket szeretne létrehozni az Azure Portal vagy a Synapse Studio használatával, az erőforráscsoport szintjén közreműködői szerepkörre van szükség.

  • Azure portál megnyitása

  • Keresse meg a munkaterületet, workspace1

  • Select Access control (IAM).

  • A Szerepkör-hozzárendelés hozzáadása lap megnyitásához válassza a Szerepkör-hozzárendelés hozzáadása>lehetőséget.

  • Rendelje hozzá a következő szerepkört. A részletes lépésekért tekintse meg az Azure-szerepköröknek az Azure Portalon történő hozzárendelését ismertető cikket.

    Beállítás Value
    Role Contributor
    Hozzáférés hozzárendelése a következőhöz: Standard kiadás RVICEPRINCIPAL
    Tagok workspace1_SynapseRendszergazda istratorok

    Add role assignment page in Azure portal.

6. lépés: SQL Active Directory-Rendszergazda szerepkör hozzárendelése

A munkaterület létrehozója automatikusan SQL Active Directory-Rendszergazda lesz hozzárendelve a munkaterülethez. Ezt a szerepkört csak egyetlen felhasználó vagy csoport kaphatja meg. Ebben a lépésben hozzárendeli a munkaterület SQL Active Directory-Rendszergazda a workspace1_SQLAdmins biztonsági csoporthoz. Ez magas jogosultságú rendszergazdai hozzáférést biztosít a csoportnak a munkaterület összes SQL-készletéhez és adatbázisához.

  • Azure portál megnyitása
  • Navigate to workspace1
  • A Gépház területen válassza a Microsoft Entra-azonosítót
  • Válassza a Rendszergazda beállítása lehetőséget, és válassza a workspace1_SQLAdmins

Megjegyzés:

A 6. lépés nem kötelező. Dönthet úgy is, hogy a csoportnak egy kevésbé kiemelt szerepkört ad workspace1_SQLAdmins . A hozzárendeléshez vagy más SQL-szerepkörökhöz db_owner szkripteket kell futtatnia az egyes SQL-adatbázisokon.

7. lépés: Hozzáférés biztosítása SQL-készletekhez

A Synapse Rendszergazda istrator alapértelmezés szerint a munkaterület kiszolgáló nélküli SQL-készleteinek SQL-szerepkörét db_owner is megadja.

Az SQL-készletek más felhasználók számára való elérését SQL-engedélyek vezérlik. Az SQL-engedélyek hozzárendeléséhez sql-szkripteket kell futtatni az egyes SQL-adatbázisokon a létrehozás után. Az alábbi példák megkövetelik a szkriptek futtatását:

  1. Ha hozzáférést szeretne biztosítani a felhasználóknak a kiszolgáló nélküli SQL-készlethez, a "Beépített" készlethez és az adatbázisaihoz.

  2. Dedikált SQL-készlet-adatbázisokhoz való hozzáférés biztosítása a felhasználóknak. A cikk későbbi részében példa SQL-szkripteket talál.

  3. Dedikált SQL-készlet-adatbázishoz való hozzáférés biztosításához a szkripteket a munkaterület létrehozója vagy a workspace1_SynapseAdministrators csoport bármely tagja futtathatja.

  4. A "Beépített" kiszolgáló nélküli SQL-készlethez való hozzáférés biztosításához a szkripteket a csoport vagy a workspace1_SQLAdminsworkspace1_SynapseAdministrators csoport bármely tagja futtathatja.

Tipp.

Az összes SQL-adatbázishoz az alábbi lépésekkel adhat hozzáférést az egyes SQL-készletekhez. A szakaszkonfiguráció-munkaterület hatókörű engedélyek kivételt képeznek a szabály alól, és lehetővé teszi, hogy a felhasználóhoz sysadmin szerepkört rendeljen a munkaterület szintjén.

7a. lépés: Kiszolgáló nélküli SQL-készlet, beépített

Az ebben a szakaszban szereplő példaszkriptekkel engedélyt adhat a felhasználóknak, hogy hozzáférjenek egy önálló adatbázishoz vagy a kiszolgáló nélküli SQL-készlet összes adatbázisához. Built-in

Megjegyzés:

A példaszkriptekben cserélje le az aliast a hozzáféréssel rendelkező felhasználó vagy csoport aliasára. Cserélje le a tartományt a használt vállalati tartományra.

Adatbázis-hatókörű engedélyek konfigurálása

Egyetlen kiszolgáló nélküli SQL-adatbázishoz adhat hozzáférést a felhasználóknak az alábbi példában ismertetett lépésekkel:

  1. Hozzon létre egy bejelentkezést. Váltson az master adatbázis-környezetre.

    --In the master database
CREATE LOGIN [alias@domain.com] FROM EXTERNAL PROVIDER;

  2. Hozzon létre egy felhasználót az adatbázisban. Módosítsa a környezetét az adatbázisra.

    -- In your database
CREATE USER alias FROM LOGIN [alias@domain.com];

  3. Adja hozzá a felhasználót a megadott szerepkör tagjaként az adatbázisban (ebben az esetben a db_owner szerepkörhöz).

    ALTER ROLE db_owner ADD member alias; -- Type USER name from step 2

Munkaterület-hatókörű engedélyek konfigurálása

Teljes hozzáférést biztosíthat a munkaterület összes kiszolgáló nélküli SQL-készletéhez. Futtassa a szkriptet ebben a példában az master adatbázisban:

CREATE LOGIN [alias@domain.com] FROM EXTERNAL PROVIDER;
ALTER SERVER ROLE sysadmin ADD MEMBER [alias@domain.com];

7b. lépés: dedikált SQL-készletek konfigurálása

Egyetlen dedikált SQL-készlet-adatbázishoz adhat hozzáférést. Kövesse az alábbi lépéseket az Azure Synapse SQL-szkriptszerkesztőben:

  1. Hozzon létre egy felhasználót az adatbázisban az alábbi parancsok futtatásával. Válassza ki a céladatbázist a Csatlakozás a legördülő listából:

    --Create user in the database
CREATE USER [<alias@domain.com>] FROM EXTERNAL PROVIDER;
-- For Service Principals you would need just the display name and @domain.com is not required

  2. Adjon egy szerepkört a felhasználónak az adatbázis eléréséhez:

    --Grant role to the user in the database
EXEC sp_addrolemember 'db_owner', '<alias@domain.com>';

Fontos

db_datareader és db_datawriter adatbázis-szerepkörök olvasási/írási engedélyt biztosíthatnak, ha nem szeretne db_owner engedélyeket adni. Azonban db_owner engedélyre van szükség ahhoz, hogy a Spark-felhasználók közvetlenül a Sparkból olvassák és írjanak egy SQL-készletbe vagy onnan.

Lekérdezéseket futtatva ellenőrizheti, hogy a kiszolgáló nélküli SQL-készletek lekérdezhetik-e a tárfiókokat a felhasználók létrehozása után.

8. lépés: Felhasználók hozzáadása biztonsági csoportokhoz

A hozzáférés-vezérlési rendszer kezdeti konfigurációja befejeződött.

Mostantól hozzáadhat és eltávolíthat felhasználókat a beállított biztonsági csoportokhoz a hozzájuk való hozzáférés kezeléséhez. Manuálisan hozzárendelhet felhasználókat az Azure Synapse-szerepkörökhöz, de ez nem konzisztens módon állítja be az engedélyeket. Ehelyett csak felhasználókat adhat hozzá vagy távolíthat el a biztonsági csoportokhoz.

9. lépés: Hálózati biztonság

A munkaterület biztonságossá tételének utolsó lépéseként a munkaterület tűzfalával kell biztonságossá tenni a hálózati hozzáférést.

  • Felügyelt virtuális hálózattal és anélkül nyilvános hálózatokról is csatlakozhat a munkaterülethez. További információ: Csatlakozás ivity Gépház.
  • A nyilvános hálózatokról való hozzáférés szabályozható a nyilvános hálózat hozzáférési funkciójának vagy a munkaterület tűzfalának engedélyezésével.
  • Másik lehetőségként egy felügyelt privát végpont és privát kapcsolat használatával is csatlakozhat a munkaterülethez. Az Azure Synapse Analytics felügyelt virtuális hálózat nélküli Azure Synapse-munkaterületek nem tudnak felügyelt privát végpontokon keresztül csatlakozni.

10. lépés: Befejezés

A munkaterület most már teljes mértékben konfigurálva és védve van.

Speciálisabb forgatókönyvek támogatása

Ez az útmutató egy alapszintű hozzáférés-vezérlési rendszer beállítására összpontosít. A speciálisabb forgatókönyvek támogatásához további biztonsági csoportokat hozhat létre, és részletesebb szerepköröket rendelhet hozzájuk konkrétabb hatókörökhöz. Vegye figyelembe a következő eseteket:

A Git-támogatás engedélyezése a munkaterületen a fejlettebb fejlesztési forgatókönyvekhez, például a CI/CD-hez. Git módban a Git-engedélyek és a Synapse RBAC határozza meg, hogy a felhasználó véglegesítheti-e a módosításokat a munkaágban. A szolgáltatásban való közzététel csak az együttműködési ágból történik. Fontolja meg egy biztonsági csoport létrehozását olyan fejlesztők számára, akiknek frissítéseket kell fejleszteniük és hibakeresést végezniük egy működő ágban, de nem kell közzétenniük a módosításokat az élő szolgáltatásban.

A fejlesztői hozzáférés korlátozása adott erőforrásokhoz. További részletesebb biztonsági csoportokat hozhat létre azoknak a fejlesztőknek, akiknek csak adott erőforrásokhoz kell hozzáférni. Rendelje hozzá ezeket a csoportokat a megfelelő Azure Synapse-szerepkörökhöz, amelyek hatóköre adott Spark-készletekre, integrációs futtatókörnyezetekre vagy hitelesítő adatokra terjed ki.

Az operátorok hozzáférésének korlátozása a kódösszetevőkhöz. Biztonsági csoportokat hozhat létre azoknak az operátoroknak, akiknek monitorozniuk kell a Synapse számítási erőforrásainak működési állapotát, és meg kell tekinteni a naplókat, de akiknek nincs szükségük a kódhoz való hozzáférésre vagy a frissítések szolgáltatásban való közzétételére. Rendelje hozzá ezeket a csoportokat az adott Spark-készletekhez és integrációs futtatókörnyezetekhez hatókörbe tartozó Számítási operátor szerepkörhöz.

Tiltsa le a helyi hitelesítést. Ha csak a Microsoft Entra-hitelesítést engedélyezi, központilag kezelheti az Azure Synapse-erőforrásokhoz, például az SQL-készletekhez való hozzáférést. A munkaterületen belüli összes erőforrás helyi hitelesítése letiltható a munkaterület létrehozása során vagy után. A csak Microsoft Entra-hitelesítéssel kapcsolatos további információkért lásd: A helyi hitelesítés letiltása az Azure Synapse Analyticsben.

Következő lépések