Pengelolaan identitas dan akses
Artikel ini membahas pertimbangan dan rekomendasi desain untuk manajemen identitas dan akses. Ini berfokus pada penyebaran platform analitik skala cloud di Microsoft Azure. Karena analitik skala cloud adalah elemen misi penting, panduan tentang area desain zona pendaratan Azure juga harus disertakan dalam desain Anda.
Artikel ini dibangun berdasarkan pertimbangan dan rekomendasi mengenai zona pendaratan Azure. Untuk informasi selengkapnya, lihat Manajemen identitas dan akses.
Desain zona pendaratan data
Analitik skala cloud mendukung model kontrol akses menggunakan identitas Microsoft Entra. Model ini menggunakan kontrol akses berbasis peran Azure (Azure RBAC) dan daftar kontrol akses (ACL).
Tinjau aktivitas administrasi dan manajemen Azure yang dilakukan tim Anda. Pertimbangkan analitik skala cloud Anda di Azure. Tentukan kemungkinan terbaik distribusi tanggung jawab di dalam organisasi Anda.
Penetapan peran
Untuk mengembangkan, mengirimkan, dan melayani produk data secara otonom dalam platform data, tim aplikasi data memerlukan beberapa hak akses dalam lingkungan Azure. Sebelum melalui persyaratan RBAC masing-masing, harus disorot bahwa model akses yang berbeda harus digunakan untuk pengembangan dan lingkungan yang lebih tinggi. Selain itu, kelompok keamanan harus digunakan sedapat mungkin untuk mengurangi jumlah penetapan peran dan untuk menyederhanakan manajemen dan meninjau proses hak RBAC. Ini sangat penting, karena jumlah penetapan peran terbatas yang dapat dibuat per langganan.
Lingkungan pengembangan harus diizinkan untuk diakses oleh tim pengembangan dan identitas pengguna masing-masing untuk memungkinkan mereka melakukan iterasi lebih cepat, mempelajari kemampuan tertentu dalam layanan Azure dan memecahkan masalah secara efektif. Akses ke lingkungan pengembangan akan membantu saat mengembangkan atau meningkatkan infrastruktur sebagai kode (IaC) dan artefak kode lainnya. Setelah implementasi dalam lingkungan pengembangan berfungsi seperti yang diharapkan, itu dapat diluncurkan terus menerus ke lingkungan yang lebih tinggi. Lingkungan yang lebih tinggi, seperti pengujian dan prod, harus dikunci untuk tim aplikasi data. Hanya perwakilan layanan yang harus memiliki akses ke lingkungan ini dan oleh karena itu semua penyebaran harus dijalankan melalui identitas perwakilan layanan dengan menggunakan alur CI/CD. Untuk meringkas, dalam hak akses lingkungan pengembangan harus diberikan kepada perwakilan layanan DAN identitas pengguna dan di lingkungan yang lebih tinggi hak akses hanya boleh diberikan kepada identitas perwakilan layanan.
Untuk dapat membuat sumber daya dan penetapan peran antara sumber daya dalam grup sumber daya aplikasi data, Contributor dan User Access Administrator hak harus disediakan. Ini akan memungkinkan tim untuk membuat dan mengontrol layanan dalam lingkungan mereka dalam batas-batas Azure Policy. Analitik skala cloud merekomendasikan penggunaan titik akhir privat untuk mengatasi risiko eksfiltrasi data dan karena opsi konektivitas lainnya harus diblokir oleh tim platform Azure melalui kebijakan, tim aplikasi data akan memerlukan hak akses ke jaringan virtual bersama dari zona pendaratan data agar dapat berhasil menyiapkan konektivitas jaringan yang diperlukan untuk layanan yang ingin mereka gunakan. Untuk mengikuti prinsip hak istimewa paling sedikit, atasi konflik antara tim aplikasi data yang berbeda dan memiliki pemisahan tim yang jelas, analitik skala cloud mengusulkan untuk membuat subnet khusus per tim aplikasi data dan membuat Network Contributor penetapan peran ke subnet tersebut (cakupan sumber daya anak). Penetapan peran ini memungkinkan tim untuk bergabung dengan subnet menggunakan titik akhir privat.
Kedua penetapan peran pertama ini akan memungkinkan penyebaran layanan data mandiri dalam lingkungan ini. Untuk mengatasi masalah manajemen biaya, organisasi harus menambahkan tag pusat biaya ke grup sumber daya untuk mengaktifkan pengisian silang dan kepemilikan biaya terdistribusi. Ini meningkatkan kesadaran dalam tim dan memberlakukan mereka untuk membuat keputusan yang tepat sehubungan dengan SKU dan tingkat layanan yang diperlukan.
Untuk juga mengaktifkan penggunaan layanan mandiri sumber daya bersama lainnya dalam zona pendaratan data, diperlukan beberapa penetapan peran tambahan. Jika akses ke lingkungan Databricks diperlukan, organisasi harus menggunakan SCIM Synch dari MICROSOFT Entra ID untuk menyediakan akses. Ini penting, karena mekanisme ini secara otomatis menyinkronkan pengguna dan grup dari ID Microsoft Entra ke data plane Databricks dan juga secara otomatis menghapus hak akses ketika seseorang meninggalkan organisasi atau bisnis. Ini tidak dapat terjadi, jika akun pengguna terpisah digunakan di Azure Databricks. Tim aplikasi data harus ditambahkan ke ruang kerja Databricks di shared-product-rg dan di shared-integration-rg. Dalam Azure Databricks, tim aplikasi data harus diberi Can Restart hak akses ke kluster yang telah ditentukan sebelumnya untuk dapat menjalankan beban kerja dalam ruang kerja.
Tim individu akan memerlukan akses ke akun Purview pusat untuk menemukan aset data dalam zona pendaratan data masing-masing. Oleh karena itu, tim harus ditambahkan ke Data Reader koleksi tingkat atas Purview. Selain itu, tim akan dalam banyak kasus memerlukan opsi untuk mengedit aset data terkolog yang mereka miliki untuk memberikan detail tambahan seperti detail kontak pemilik dan pakar data serta detail yang lebih terperinci tentang kolom apa dalam himpunan data yang dijelaskan dan informasi apa yang mereka sertakan.
Ringkasan persyaratan kontrol akses berbasis peran
Untuk tujuan otomatisasi penyebaran zona pendaratan data, Anda memerlukan peran berikut:
Nama peran
Deskripsi
Scope
Menyebarkan semua zona DNS privat untuk semua layanan data ke dalam satu langganan dan grup sumber daya. Perwakilan layanan harus Private DNS Zone Contributor pada grup sumber daya DNS global yang dibuat selama penyebaran zona pendaratan manajemen data. Peran ini diperlukan untuk menyebarkan rekaman A untuk titik akhir privat.
(Cakupan grup sumber daya) /subscriptions/{{dataManagement}subscriptionId}/resourceGroups/{resourceGroupName}
Untuk menyiapkan peering jaringan virtual antara jaringan zona pendaratan data dan jaringan zona pendaratan manajemen data, perwakilan layanan membutuhkan hak akses Network Contributor pada grup sumber daya jaringan virtual jarak jauh.
(Cakupan grup sumber daya) /subscriptions/{{dataManagement}subscriptionId}/resourceGroups/{resourceGroupName}
Izin ini diperlukan untuk membagikan runtime integrasi yang dihost sendiri yang akan disebarkan ke dalam grup sumber daya integration-rg dengan pabrik data lainnya. Izin ini juga diperlukan untuk menetapkan akses identitas terkelola Azure Data Factory dan Azure Synapse Analytics pada sistem file akun penyimpanan masing-masing.
(Cakupan sumber daya) /subscriptions/{{dataLandingZone}subscriptionId}
Catatan
Jumlah penetapan peran dapat dikurangi dalam skenario produksi. Penugasan peran Network Contributor hanya diperlukan untuk menyiapkan peering jaringan virtual antara zona pendaratan manajemen data dan zona pendaratan data. Tanpa pertimbangan ini, resolusi DNS tidak berfungsi. Lalu lintas masuk dan keluar dihilangkan karena tidak ada garis pandang ke Azure Firewall.
Private DNS Zone Contributor juga tidak diperlukan apabila penyebaran rekaman A DNS dari titik akhir privat diotomatisasi melalui kebijakan Azure dengan efek deployIfNotExists. Hal yang sama berlaku untuk User Access Administrator karena penyebaran dapat diotomatisasi menggunakan kebijakan deployIfNotExists.
Penetapan peran untuk produk data
Penetapan peran berikut diperlukan untuk menyebarkan produk data dalam zona pendaratan data:
Nama peran
Deskripsi
Scope
Menyebarkan semua zona DNS privat untuk semua layanan data ke dalam satu langganan dan grup sumber daya. Perwakilan layanan harus Private DNS Zone Contributor pada grup sumber daya DNS global yang dibuat selama penyebaran zona pendaratan manajemen data. Peran ini diperlukan untuk menyebarkan rekaman A untuk titik akhir privat masing-masing.
(Cakupan grup sumber daya) /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}
Menyebarkan semua layanan streaming integrasi data ke dalam grup sumber daya tunggal di dalam langganan zona pendaratan data. Perwakilan layanan memerlukan penugasan peran Contributor pada grup sumber daya tersebut.
(Cakupan grup sumber daya) /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}
Untuk menyebarkan titik akhir privat ke subnet Private Link yang ditentukan, yang dibuat selama penyebaran zona pendaratan data, perwakilan layanan memerlukan akses Network Contributor pada subnet tersebut.
(Cakupan sumber daya anak) /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName} /providers/Microsoft.Network/virtualNetworks/{virtualNetworkName}/subnets/{subnetName}"
Akses ke sumber daya lain
Di luar Azure, Tim Produk Data dan Integrasi Data juga akan memerlukan akses ke repositori untuk menyimpan artefak kode, berkolaborasi secara efektif dan meluncurkan pembaruan dan perubahan secara konsisten melalui CI/CD ke lingkungan yang lebih tinggi. Selain itu, papan proyek harus disediakan untuk memungkinkan pengembangan yang tangkas, perencanaan sprint, pelacakan tugas dan serta umpan balik pengguna dan permintaan fitur.
Terakhir, otomatisasi CI/CD akan memerlukan pengaturan koneksi ke Azure, yang dilakukan di sebagian besar layanan melalui prinsip layanan. Oleh karena itu, tim akan memerlukan akses ke prinsip layanan untuk mencapai otomatisasi dalam proyek mereka.
Mengelola akses ke data
Mengelola akses ke data harus dilakukan menggunakan grup Microsoft Entra. Tambahkan nama prinsip pengguna atau nama perwakilan layanan ke grup Microsoft Entra. Tambahkan grup ke layanan dan berikan izin ke grup tersebut. Pendekatan ini memungkinkan kontrol akses mendetail.
Untuk produk data di data lake Azure, pertimbangkan untuk menggunakan daftar kontrol akses (ACL). Untuk informasi selengkapnya, lihat Model kontrol akses di Azure Data Lake Storage Gen2. Menggunakan passthrough Microsoft Entra dengan daftar kontrol akses didukung oleh sebagian besar layanan Azure asli, termasuk Azure Pembelajaran Mesin, Azure Synapse SQL Serverless, Apache Spark untuk Azure Synapse dan Azure Databricks.
Penyimpanan poliglot lainnya kemungkinan akan digunakan dalam analitik skala cloud. Contohnya termasuk Azure Database for PostgreSQL, Azure Database for MySQL, Azure SQL Database, SQL Managed Instance, dan Azure Synapse SQL Dedicated Pools. Mereka dapat digunakan oleh tim aplikasi data untuk menyimpan produk data.
- Menggunakan ID Microsoft Entra untuk autentikasi dengan Azure Database for PostgreSQL
- Menggunakan autentikasi Microsoft Entra dengan Azure SQL Database, SQL Managed Instance, dan Azure Synapse Analytics
- Menggunakan ID Microsoft Entra untuk mengautentikasi dengan Azure Database for MySQL
Kami menyarankan agar Anda menggunakan grup Microsoft Entra untuk mengamankan objek database alih-alih akun pengguna Microsoft Entra individual. Grup Microsoft Entra ini digunakan untuk mengautentikasi pengguna dan membantu melindungi objek database. Mirip dengan pola data lake, Anda dapat menggunakan orientasi domain atau produk data Anda untuk membuat grup ini dalam layanan Microsoft Entra Anda.
Pendekatan ini juga memberikan lokasi manajemen tunggal dan memungkinkan peninjauan hak akses di dalam Microsoft Azure AD Graph.
Untuk informasi selengkapnya tentang cara mendorong keamanan untuk zona pendaratan manajemen data dan zona pendaratan data yang mengelola data estate Anda, lihat Menyediakan keamanan untuk analitik skala cloud di Azure.