Mi az a Synapse szerepköralapú hozzáférés-vezérlés (RBAC)?
A Synapse RBAC kibővíti az Azure RBAC képességeit a Synapse-munkaterületekhez és azok tartalmaihoz.
Az Azure RBAC segítségével kezelheti, hogy ki hozhatja létre, frissítheti vagy törölheti a Synapse-munkaterületet és annak SQL-készleteit, az Apache Spark-készleteket és az integrációs futtatókörnyezeteket.
A Synapse RBAC a következő jogosultságok kezelésére használható:
- Kódösszetevők közzététele és a közzétett kódösszetevők listázása vagy elérése,
- Kód végrehajtása Apaches Spark-készleteken és integrációs futtatókörnyezeteken,
- Hitelesítő adatokkal védett társított (adat)szolgáltatások elérése
- A feladat végrehajtásának figyelése vagy megszakítása, a feladatkimenet és a végrehajtási naplók áttekintése.
Megjegyzés
Bár a Synapse RBAC a közzétett SQL-szkriptekhez való hozzáférés kezelésére szolgál, csak korlátozott hozzáférés-vezérlést biztosít a kiszolgáló nélküli és dedikált SQL-készletekhez. Az SQL-készletekhez való hozzáférést elsősorban AZ SQL-biztonság használatával lehet szabályozni.
Mit tehetek a Synapse RBAC-vel?
Íme néhány példa a Synapse RBAC-vel elvégezhető műveletekre:
- Lehetővé teszi, hogy a felhasználó közzétegye az Apache Spark-jegyzetfüzetek és -feladatok módosításait az élő szolgáltatásban.
- Lehetővé teszi egy felhasználó számára, hogy jegyzetfüzeteket és Spark-feladatokat futtasson és szakítsa meg egy adott Apache Spark-készleten.
- Lehetővé teszi a felhasználó számára, hogy meghatározott hitelesítő adatokat használjon, hogy a munkaterületi rendszer identitása által védett folyamatokat futtathasson, és hitelesítő adatokkal védett társított szolgáltatásokban lévő adatokhoz férhessen hozzá.
- Lehetővé teszi a rendszergazda számára, hogy felügyelje, monitorozza és megszakítsa a feladatok végrehajtását az adott Spark-készletekben.
A Synapse RBAC működése
Az Azure RBAC-hez hasonlóan a Synapse RBAC is szerepkör-hozzárendelések létrehozásával működik. Egy szerepkör-hozzárendelés három elemből tevődik össze: egy rendszerbiztonsági tagból, egy szerepkör-definícióból és egy hatókörből.
Biztonsági tagok
A rendszerbiztonsági tag egy felhasználó, csoport, szolgáltatásnév vagy felügyelt identitás.
Szerepkörök
A szerepkör olyan engedélyek vagy műveletek gyűjteménye, amelyek adott erőforrástípusokon vagy összetevőtípusokon végrehajthatók.
A Synapse beépített szerepköröket biztosít, amelyek különböző személyek igényeinek megfelelő műveletgyűjteményeket határoznak meg:
- A rendszergazdák teljes hozzáféréssel hozhatnak létre és konfigurálhatnak egy munkaterületet
- A fejlesztők SQL-szkripteket, jegyzetfüzeteket, folyamatokat és adatfolyamokat hozhatnak létre, frissíthetnek és hibakeresést végezhetnek, de nem tehetik közzé vagy hajthatják végre ezt a kódot éles számítási erőforrásokon/adatokon
- Az operátorok figyelhetik és kezelhetik a rendszer állapotát, az alkalmazások végrehajtását és a naplók áttekintését anélkül, hogy hozzáférnek a kódhoz vagy a végrehajtás kimeneteihez.
- A biztonsági személyzet anélkül kezelheti és konfigurálhatja a végpontokat, hogy hozzá kellene férnie a kódhoz, a számítási erőforrásokhoz vagy az adatokhoz.
További információ a beépített Synapse-szerepkörökről.
Hatókörök
A hatókör határozza meg azokat az erőforrásokat vagy összetevőket, amelyekre a hozzáférés vonatkozik. Azure Synapse támogatja a hierarchikus hatóköröket. A magasabb szintű hatókörben megadott engedélyeket alacsonyabb szintű objektumok öröklik. A Synapse RBAC-ben a legfelső szintű hatókör egy munkaterület. A munkaterület hatókörével rendelkező szerepkörök hozzárendelése engedélyeket ad a munkaterület összes alkalmazható objektumához.
A munkaterületen belüli aktuálisan támogatott hatókörök a következők:
- Apache Spark-készlet
- Integrációs modul
- társított szolgáltatás
- hitelesítő adat
A kódösszetevőkhöz való hozzáférés munkaterület-hatókörrel érhető el. A munkaterületen belüli összetevők gyűjteményéhez való hozzáférés biztosítása egy későbbi kiadásban támogatott lesz.
Szerepkör-hozzárendelések feloldása az engedélyek meghatározásához
A szerepkör-hozzárendelések a szerepkör által a megadott hatókörben meghatározott engedélyeket ad egy tagnak.
A Synapse RBAC egy olyan additív modell, mint az Azure RBAC. Több szerepkör is hozzárendelhető egyetlen egyszerűhöz és különböző hatókörökhöz. Egy rendszerbiztonsági tag engedélyeinek kiszámításakor a rendszer figyelembe veszi a rendszerbiztonsági taghoz rendelt összes szerepkört, valamint azokat a csoportokat, amelyek közvetlenül vagy közvetve tartalmazzák a rendszernevet. Az egyes hozzárendelések hatókörét is figyelembe veszi az érvényes engedélyek meghatározásakor.
Hozzárendelt engedélyek kényszerítése
A Synapse Studio bizonyos gombokat vagy beállításokat szürkén jelenhet meg, vagy engedélyhiba jelenhet meg egy művelet megkísérlésekor, ha nem rendelkezik a szükséges engedélyekkel.
Ha egy gomb vagy beállítás le van tiltva, a gomb vagy beállítás fölé mutatva megjelenik egy elemleírás a szükséges engedéllyel. Lépjen kapcsolatba egy Synapse-rendszergazdával, és rendeljen hozzá egy szerepkört, amely megadja a szükséges engedélyt. Megtekintheti az adott műveleteket biztosító szerepköröket, lásd: Synapse RBAC-szerepkörök.
Ki rendelhet Synapse RBAC-szerepköröket?
A Synapse-rendszergazdák Synapse RBAC-szerepköröket rendelhetnek hozzá. A Synapse-rendszergazda a munkaterület szintjén bármilyen hatókörben biztosíthat hozzáférést. Az alacsonyabb szintű hatókörben lévő Synapse-rendszergazdák csak ezen a hatókörön adhatnak hozzáférést.
Új munkaterület létrehozásakor a létrehozó automatikusan megkapja a Synapse-rendszergazda szerepkört a munkaterület hatókörében.
A munkaterülethez való hozzáférés helyreállításához abban az esetben, ha nincs Synapse-rendszergazdák hozzárendelve vagy elérhetők Ön számára, a munkaterületen az Azure RBAC-szerepkör-hozzárendelések kezelésére jogosult felhasználók a Synapse RBAC-szerepkör-hozzárendeléseket is kezelhetik, lehetővé téve a Synapse-rendszergazda vagy más Synapse-szerepkör-hozzárendelések hozzáadását.
Hol kezelhetem a Synapse RBAC-t?
A Synapse RBAC kezelése Synapse Studio belülről történik a Kezelés központ hozzáférés-vezérlési eszközeinek használatával.
Következő lépések
A beépített Synapse RBAC-szerepkörök ismertetése.
Megtudhatja, hogyan tekintheti át a Synapse RBAC-szerepkör-hozzárendeléseket egy munkaterületen.
Megtudhatja, hogyan rendelhet hozzá Synapse RBAC-szerepköröket