Gambaran umum kontrol akses ruang kerja Azure Synapse

Artikel ini menyediakan gambaran umum mekanisme yang tersedia untuk mengontrol akses ke sumber daya dan data komputasi Azure Synapse.

Azure Synapse menyediakan sistem kontrol akses komprehensif dan halus yang terintegrasi:

• Peran Azure untuk manajemen sumber daya dan akses ke data dalam penyimpanan
• Peran Synapse untuk mengelola akses langsung ke kode dan eksekusi
• SQL roles for data plane access to data in SQL pools
• Izin Git untuk kontrol kode sumber, termasuk integrasi berkelanjutan dan dukungan penyebaran

Peran Azure Synapse menyediakan set izin yang dapat diterapkan pada cakupan yang berbeda. Granularitas ini memudahkan untuk memberikan akses yang tepat kepada administrator, pengembang, personel keamanan, dan operator untuk menghitung sumber daya dan data.

Kontrol akses dapat disederhanakan dengan menggunakan grup keamanan yang selaras dengan peran pekerjaan orang. Anda hanya perlu menambahkan dan menghapus pengguna dari grup keamanan yang sesuai untuk mengelola akses.

Access control elements

Buat dan kelola sumber daya komputasi Azure Synapse

Peran Azure digunakan untuk mengontrol manajemen:

• Kumpulan SQL khusus
• Data Explorer pools
• Apache Spark pools
• Integration runtimes

Untuk membuat sumber daya ini, Anda harus menjadi Pemilik atau Kontributor Azure di grup sumber daya. Untuk mengelolanya setelah dibuat, Anda harus menjadi Pemilik atau Kontributor Azure di grup sumber daya atau sumber daya individual.

Pemilik atau Kontributor dapat mengaktifkan atau menonaktifkan autentikasi Microsoft Entra-only untuk ruang kerja Azure Synapse. Untuk informasi selengkapnya tentang autentikasi Microsoft Entra-only, lihat Menggunakan autentikasi Microsoft Entra untuk autentikasi dengan Synapse SQL.

Kembangkan dan jalankan kode di Azure Synapse

Synapse mendukung dua model pengembangan.

• Pengembangan langsung Synapse: Anda mengembangkan dan men-debug kode di Synapse Studio lalu menerbitkannya untuk menyimpan dan menjalankannya. Layanan Synapse adalah sumber kebenaran untuk pengeditan dan eksekusi kode. Setiap pekerjaan yang belum diterbitkan akan hilang saat Anda menutup Studio Synapse.

• Pengembangan dengan dukungan Git: Anda mengembangkan dan men-debug kode di Synapse Studio dan menerapkan perubahan pada cabang kerja repositori Git. Pekerjaan dari satu atau beberapa cabang diintegrasikan ke dalam cabang kolaborasi, dari mana Anda menerbitkannya ke layanan. Repo Git adalah sumber kebenaran untuk pengeditan kode, sementara layanan adalah sumber kebenaran untuk eksekusi. Perubahan harus dilakukan pada repositori Git atau diterbitkan ke layanan sebelum menutup Studio Synapse. Untuk mempelajari selengkapnya tentang menggunakan Synapse Analytics dengan Git, lihat Integrasi dan pengiriman berkelanjutan untuk ruang kerja Azure Synapse Analytics.

Di kedua model pengembangan, setiap pengguna yang memiliki akses ke Synapse Studio dapat membuat artefak kode. Namun, Anda memerlukan izin tambahan untuk menerbitkan artefak ke layanan, membaca artefak yang diterbitkan, untuk menerapkan perubahan pada Git, untuk mengeksekusi kode, dan mengakses data tertaut yang dilindungi oleh kredensial. Pengguna harus memiliki peran Kontributor Azure atau yang lebih tinggi di ruang kerja Synapse untuk mengonfigurasi, mengedit pengaturan, dan memutus koneksi repositori Git dengan Synapse.

Azure Synapse roles

Peran Azure Synapse digunakan untuk mengontrol akses ke layanan Synapse. Peran yang berbeda dapat memungkinkan Anda untuk:

• List published code artifacts
• Menerbitkan artefak kode, layanan tertaut, dan definisi kredensial
• Menjalankan kode atau alur yang menggunakan sumber daya komputasi Synapse
• Menjalankan kode atau alur yang mengakses data tertaut yang dilindungi oleh kredensial
• Melihat output yang terkait dengan elemen kode yang diterbitkan
• Memantau status sumber daya komputasi, dan melihat log runtime

Peran Azure Synapse dapat ditetapkan pada lingkup ruang kerja atau pada cakupan yang lebih detail untuk membatasi izin yang diberikan ke sumber daya Azure Synapse spesifik.

Git permissions

For Git-enabled development in Git mode, you need Git permissions in addition to the Synapse User or Synapse RBAC (role-based access control) roles to read code artifacts, including linked service and credential definitions. To commit changes to code artifacts in Git mode, you need Git permissions, and the Synapse Artifact Publisher role.

Mengakses data dalam SQL

Untuk kumpulan SQL khusus dan tanpa server, akses sarana data dikontrol menggunakan izin SQL.

Pembuat ruang kerja ditetapkan sebagai Admin Direktori Aktif di ruang kerja. Setelah dibuat, peran ini dapat ditetapkan kepada pengguna lain atau ke grup keamanan di portal Microsoft Azure.

• Kumpulan SQL tanpa server: Administrator Synapse diberikan db_owner izin (DBO) pada kumpulan SQL tanpa server, Bawaan. Untuk memberi pengguna lain akses ke kumpulan SQL tanpa server, administrator Synapse perlu menjalankan skrip SQL di kumpulan tanpa server.

• Kumpulan SQL khusus: Administrator Synapse memiliki akses penuh ke data di kumpulan SQL khusus, dan kemampuan untuk memberikan akses ke pengguna lain. Administrator Synapse juga dapat melakukan aktivitas konfigurasi dan pemeliharaan pada kumpulan khusus, kecuali untuk menghilangkan database. Active Directory Admin permission is granted to the creator of the workspace and the workspace MSI. Permission to access dedicated SQL pools isn't otherwise granted automatically. Untuk memberikan akses kepada pengguna atau grup lain ke kumpulan SQL khusus, Admin Direktori Aktif atau Administrator Synapse harus menjalankan skrip SQL terhadap setiap kumpulan SQL khusus.

Untuk contoh skrip SQL untuk memberikan izin SQL di kumpulan SQL, lihat Cara menyiapkan kontrol akses untuk ruang kerja Azure Synapse Anda.

Mengakses data di kumpulan Data Explorer

Untuk kumpulan Data Explorer, akses sarana data dikontrol melalui izin Data Explorer. Synapse Administrators are granted All Database admin permissions on Data Explorer pools. Untuk memberi pengguna atau grup lain akses ke kumpulan Data Explorer, administrator Synapse harus merujuk ke Pengelolaan peran keamanan. For more information on data plane access, see Access control overview.

Mengakses data yang dikelola sistem dalam penyimpanan

Kumpulan SQL tanpa server dan tabel Apache Spark menyimpan data mereka dalam kontainer Azure Data Lake Storage Gen2 yang terkait dengan ruang kerja. Pustaka Apache Spark yang dipasang pengguna juga dikelola di akun penyimpanan yang sama. To enable these use cases, users and the workspace MSI must be granted Storage Blob Data Contributor access to this workspace Azure Data Lake Storage container.

Menggunakan kelompok keamanan sebagai praktik terbaik

Untuk menyederhanakan pengelolaan kontrol akses, Anda dapat menggunakan grup keamanan untuk menetapkan peran kepada individu dan grup. Grup keamanan dapat dibuat untuk mewakili persona atau fungsi pekerjaan di organisasi Anda yang memerlukan akses ke sumber daya atau artefak Synapse. Grup keamanan berbasis persona ini selanjutnya dapat diberi satu atau beberapa peran Azure, peran Synapse, izin SQL, atau izin Git. Dengan grup keamanan yang dipilih dengan baik, mudah untuk menetapkan izin yang diperlukan kepada pengguna dengan menambahkannya ke grup keamanan yang sesuai.

Catatan

Jika Anda menggunakan grup keamanan untuk mengelola akses, ada latensi tambahan yang diperkenalkan oleh ID Microsoft Entra sebelum perubahan diterapkan.

Penerapan pengendalian akses di Synapse Studio

Synapse Studio bersifat berbeda berdasarkan izin Anda dan mode saat ini:

• Mode langsung Synapse: Synapse Studio mencegah Anda melihat konten yang diterbitkan, menerbitkan konten, atau mengambil tindakan lain jika Anda tidak memiliki izin yang diperlukan. Dalam beberapa kasus, Anda dicegah membuat artefak kode yang tidak dapat Anda gunakan atau simpan.
• Mode Git: Jika Anda memiliki izin Git yang memungkinkan Anda melakukan perubahan pada cabang saat ini, maka tindakan commit diizinkan jika Anda memiliki izin untuk menerbitkan perubahan pada layanan langsung (peran Penerbit Artefak Synapse).

Dalam beberapa kasus, Anda diizinkan untuk membuat artefak kode bahkan tanpa izin untuk menerbitkan atau mengkomit. Ini memungkinkan Anda untuk mengeksekusi kode (dengan izin eksekusi yang diperlukan). Untuk informasi selengkapnya tentang peran yang diperlukan untuk tugas umum, lihat Memahami peran yang diperlukan untuk melakukan tugas umum di Azure Synapse.

Jika fitur dinonaktifkan di Synapse Studio, tipsalat menunjukkan izin yang diperlukan. Gunakan panduan peran RBAC Synapse untuk mencari peran mana yang diperlukan guna memberikan izin yang hilang.

Konten terkait

• Apa itu kontrol akses berbasis peran Synapse (RBAC)?
• Synapse RBAC roles
• Cara menyiapkan kontrol akses untuk ruang kerja Azure Synapse Anda
• How to review Synapse RBAC role assignments
• Cara mengelola penetapan peran RBAC Synapse