Dokumen resmi keamanan Azure Synapse Analytics: Kontrol akses
Catatan
Artikel ini merupakan bagian dari rangkaian artikel laporan resmi keamanan Azure Synapse Analytics. Untuk ringkasan rangkaian, lihat Dokumen resmi keamanan Azure Synapse Analytics.
Bergantung pada bagaimana data dimodelkan dan disimpan, tata kelola data dan kontrol akses mungkin mengharuskan pengembang dan administrator keamanan menggunakan pendekatan yang berbeda, atau kombinasi teknik, untuk menerapkan fondasi keamanan yang kuat.
Azure Synapse mendukung berbagai kemampuan untuk mengontrol siapa yang dapat mengakses data apa. Kemampuan ini dibangun di atas serangkaian fitur kontrol akses tingkat lanjut, termasuk:
- Keamanan tingkat objek
- Keamanan tingkat baris
- Keamanan tingkat kolom
- Masking Data Dinamis
- Kontrol akses berbasis peran Synapse
Keamanan tingkat objek
Setiap objek dalam kumpulan SQL khusus memiliki izin terkait yang dapat diberikan kepada prinsipal. Dalam konteks pengguna dan akun layanan, begitulah tabel, tampilan, prosedur tersimpan, dan fungsi individual diamankan. Izin objek, seperti SELECT, dapat diberikan ke akun pengguna (login SQL, pengguna atau grup Microsoft Entra) dan peran database, yang memberikan fleksibilitas untuk administrator database. Selanjutnya, izin yang diberikan pada tabel dan tampilan dapat digabungkan dengan mekanisme kontrol akses lainnya (dijelaskan di bawah), seperti keamanan tingkat kolom, keamanan tingkat baris, dan masking data dinamis.
Di Azure Synapse, semua izin diberikan kepada pengguna dan peran tingkat database. Selain itu, setiap pengguna yang diberikan peran RBAC Administrator Synapse bawaan di tingkat ruang kerja secara otomatis diberikan akses penuh ke semua kumpulan SQL khusus.
Selain mengamankan tabel SQL di Azure Synapse, kumpulan SQL khusus (sebelumnya SQL DW), kumpulan SQL tanpa server, dan tabel Spark juga dapat diamankan. Secara default, pengguna yang ditetapkan ke peran Kontributor Data Blob Storage dari data lake yang tersambung ke ruang kerja memiliki izin READ, WRITE, dan EXECUTE di semua tabel yang dibuat Spark saat pengguna mengeksekusi kode secara interaktif di notebook. Ini disebut pass-through Microsoft Entra, dan berlaku untuk semua data lake yang terhubung ke ruang kerja. Namun, jika pengguna yang sama menjalankan notebook yang sama melalui alur, ruang kerja Managed Service Identity (MSI) digunakan untuk autentikasi. Jadi, agar alur berhasil menjalankan MSI ruang kerja, alur juga harus menjadi bagian dari peran Kontributor Data Blob Storage dari data lake yang diakses.
Keamanan tingkat baris
Keamanan tingkat baris memungkinkan administrator keamanan membuat dan mengontrol akses mendetail ke baris tabel tertentu berdasarkan profil pengguna (atau proses) yang menjalankan kueri. Profil atau karakteristik pengguna dapat merujuk pada keanggotaan grup atau konteks eksekusi. Keamanan tingkat baris membantu mencegah akses tidak sah saat pengguna meminta data dari tabel yang sama tetapi harus melihat subset data yang berbeda.
Catatan
Keamanan tingkat baris didukung di Azure Synapse dan kumpulan SQL khusus (sebelumnya SQL DW), tetapi tidak didukung untuk kumpulan Apache Spark dan kumpulan SQL tanpa server.
Keamanan tingkat-kolom
Keamanan tingkat kolom memungkinkan administrator keamanan mengatur izin yang membatasi siapa yang dapat mengakses kolom sensitif dalam tabel. Ini diatur pada tingkat database dan dapat diimplementasikan tanpa perlu mengubah desain model data atau tingkat aplikasi.
Catatan
Keamanan tingkat kolom didukung di Azure Synapse, tampilan kumpulan SQL tanpa server, dan kumpulan SQL khusus (sebelumnya SQL DW), tetapi tidak didukung untuk tabel eksternal kumpulan SQL tanpa server dan kumpulan Apache Spark. Jika solusi tabel eksternal kumpulan SQL tanpa server dapat diterapkan dengan membuat tampilan di atas tabel eksternal.
Penyelubungan data dinamis
Masking data dinamis memungkinkan administrator keamanan untuk membatasi paparan data sensitif dengan menutupinya saat dibaca untuk pengguna yang tidak memiliki hak istimewa. Ini membantu mencegah akses tidak sah ke data sensitif dengan memungkinkan administrator menentukan bagaimana data ditampilkan pada waktu kueri. Berdasarkan identitas pengguna yang diautentikasi dan penetapan grup mereka di kumpulan SQL, kueri menampilkan data yang ditutupi atau tidak ditutupi. Masking selalu diterapkan terlepas dari apakah data diakses langsung dari tabel atau dengan menggunakan tampilan atau prosedur tersimpan.
Catatan
Masking data dinamis didukung di Azure Synapse dan kumpulan SQL khusus (sebelumnya SQL DW), tetapi tidak didukung untuk kumpulan Apache Spark dan kumpulan SQL tanpa server.
Kontrol akses berbasis peran Synapse
Azure Synapse juga menyertakan peran kontrol akses berbasis peran (RBAC) Synapse untuk mengelola berbagai aspek Synapse Studio. Manfaatkan peran bawaan ini untuk memberikan izin kepada pengguna, grup, atau prinsip keamanan lainnya untuk mengelola siapa yang dapat:
- Menerbitkan artefak kode serta mencantumkan atau mengakses artefak kode yang diterbitkan.
- Menjalankan kode pada kumpulan Apache Spark dan runtime integrasi.
- Mengakses layanan (data) tertaut yang dilindungi oleh info masuk.
- Memantau atau membatalkan eksekusi pekerjaan, meninjau output pekerjaan dan log eksekusi.
Langkah berikutnya
Pada artikel berikutnya dalam rangkaian dokumen resmi ini, pelajari tentang autentikasi.
Saran dan Komentar
Segera hadir: Sepanjang tahun 2024 kami akan menghentikan penggunaan GitHub Issues sebagai mekanisme umpan balik untuk konten dan menggantinya dengan sistem umpan balik baru. Untuk mengetahui informasi selengkapnya, lihat: https://aka.ms/ContentUserFeedback.
Kirim dan lihat umpan balik untuk