Manajemen data dan kontrol akses berbasis peran untuk analitik skala cloud di Azure
Otorisasi adalah tindakan pemberian izin pihak yang diautentikasi untuk melakukan suatu tindakan. Prinsip utama dari kontrol akses adalah hanya memberi pengguna jumlah akses yang mereka butuhkan untuk melakukan pekerjaan mereka dan hanya mengizinkan tindakan tertentu pada cakupan tertentu. Keamanan berbasis peran/kontrol akses berbasis peran (RBAC) sesuai dengan kontrol akses dan digunakan oleh banyak organisasi untuk mengontrol akses berdasarkan peran yang ditentukan atau fungsi pekerjaan versus pengguna individu. Pengguna kemudian diberi satu atau lebih peran keamanan, yang masing-masing diberi izin resmi untuk melakukan tugas tertentu.
Saat menggunakan ID Microsoft Entra sebagai penyedia identitas terpusat, otorisasi untuk mengakses layanan data dan penyimpanan dapat diberikan per pengguna atau per aplikasi dan didasarkan pada identitas Microsoft Entra. Otorisasi mencakup RBAC ke layanan dan daftar kontrol akses pada tingkat file, folder, atau objek dalam penyimpanan.
Otorisasi layanan Data
Microsoft Azure menyertakan RBAC standar dan bawaan, yang merupakan sistem otorisasi yang dibangun di Azure Resource Manager yang menyediakan manajemen akses terperinci ke sumber daya Azure. Peran RBAC membantu mengontrol tingkat akses ke sumber daya; apa yang dapat dilakukan oleh prinsip keamanan, pengguna, grup, layanan, atau aplikasi pada sumber daya dan area yang dapat mereka akses? Saat merencanakan strategi kontrol akses, disarankan untuk hanya memberi pengguna jumlah akses yang mereka butuhkan untuk melakukan pekerjaan mereka dan hanya mengizinkan tindakan tertentu pada cakupan tertentu.
Peran bawaan berikut ini penting untuk semua jenis sumber daya Azure, termasuk layanan data Azure:
| Deskripsi | |
|---|---|
| Pemilik: | Peran ini memiliki akses penuh ke sumber daya dan dapat mengelola segala hal yang berkaitan dengan sumber daya, termasuk hak untuk memberikan akses ke sumber daya. |
| Kontributor: | Peran ini dapat mengelola sumber daya tetapi tidak dapat memberikan akses ke sumber daya. |
| Pembaca: | Peran ini dapat melihat sumber daya dan informasi tentangnya (kecuali untuk informasi sensitif seperti kunci akses atau rahasia), tetapi mereka tidak dapat membuat perubahan apa pun pada sumber daya. |
Beberapa layanan memiliki peran RBAC tertentu seperti Kontributor Storage Blob Data atau Kontributor Data Factory, yang berarti bahwa peran RBAC tertentu harus digunakan untuk layanan ini. RBAC adalah model aditif di mana penambahan penetapan peran adalah izin aktif. RBAC juga mendukung penugasan penolakan yang lebih diutamakan daripada penetapan peran .
Praktik umum RBAC untuk analitik skala cloud di Azure
Praktik terbaik berikut dapat membantu Anda mulai menggunakan RBAC:
Gunakan peran RBAC untuk manajemen dan operasi layanan, dan gunakan peran khusus layanan untuk akses data dan tugas khusus beban kerja: Gunakan peran RBAC pada sumber daya Azure untuk memberikan izin kepada prinsip keamanan yang perlu melakukan tugas operasi dan manajemen sumber daya. Prinsip keamanan yang perlu mengakses data dalam penyimpanan tidak memerlukan peran RBAC pada sumber daya, karena mereka tidak perlu mengelolanya. Sebagai gantinya, berikan izin ke objek data secara langsung. Misalnya, berikan akses baca ke folder di Azure Data Lake Storage Gen2 atau izin pengguna database dan tabel yang ada di database di Azure SQL Database.
Gunakan peran RBAC bawaan: Pertama, gunakan peran sumber daya RBAC Azure bawaan untuk mengelola layanan dan menetapkan peran operasi untuk mengontrol akses. Buat dan gunakan peran kustom untuk sumber daya Azure hanya jika peran bawaan tidak memenuhi kebutuhan khusus.
Menggunakan grup untuk mengelola akses: Menetapkan akses ke grup Microsoft Entra, dan mengelola keanggotaan grup untuk manajemen akses yang sedang berlangsung.
Cakupan langganan dan grup sumber daya: Meskipun masuk akal untuk memberikan akses pada cakupan grup sumber daya untuk memisahkan manajemen layanan dan kebutuhan akses operasi versus memberikan akses ke sumber daya individual (terutama di lingkungan non-produksi), Anda dapat memberikan akses ke sumber daya individu untuk pekerjaan khusus beban kerja, seperti dukungan dan operasi sistem file data lake, terutama di lingkungan produksi. Ini karena di lingkungan non-produksi, pengembang dan penguji perlu mengelola sumber daya seperti membuat aluran penyerapan Azure Data Factory atau membuat kontainer di Data Lake Storage Gen2. Saat dalam produksi, pengguna hanya perlu menggunakan sumber daya seperti melihat status alur penyerapan Data Factory terjadwal atau membaca file data di Data Lake Storage Gen2.
Jangan memberikan akses yang tidak perlu pada cakupan langganan: Cakupan ini melingkupi semua sumber daya dalam langganan.
Pilih akses yang paling tidak memiliki hak istimewa: Pilih peran yang tepat dan satu-satunya untuk pekerjaan itu.