Kontrol akses Azure Synapse
Artikel ini menyediakan gambaran umum mekanisme yang tersedia untuk mengontrol akses ke sumber daya dan data komputasi Azure Synapse.
Gambaran Umum
Azure Synapse menyediakan sistem kontrol akses yang komprehensif dan mendetail, yang mengintegrasikan:
- Peran Azure untuk manajemen sumber daya dan akses ke data dalam penyimpanan,
- Peran Synapse untuk mengelola akses langsung ke kode dan eksekusi,
- Peran SQL untuk akses bidang data ke data di kumpulan SQL, dan
- Izin Git untuk kontrol kode sumber, termasuk integrasi berkelanjutan dan dukungan penyebaran.
Peran Azure Synapse menyediakan set izin yang dapat diterapkan pada cakupan yang berbeda. Granularitas ini memudahkan untuk memberikan akses yang tepat kepada administrator, pengembang, personel keamanan, dan operator untuk menghitung sumber daya dan data.
Kontrol akses dapat disederhanakan dengan menggunakan grup keamanan yang selaras dengan peran pekerjaan orang. Anda hanya perlu menambahkan dan menghapus pengguna dari grup keamanan yang sesuai untuk mengelola akses.
Mengakses elemen kontrol
Buat dan kelola sumber daya komputasi Azure Synapse
Peran Azure digunakan untuk mengontrol manajemen:
- Kumpulan SQL khusus
- Kumpulan Data Explorer
- Kumpulan Apache Spark
- Runtime integrasi
Untuk membuat sumber daya ini, Anda harus menjadi Pemilik atau Kontributor Azure di grup sumber daya. Untuk mengelolanya setelah dibuat, Anda harus menjadi Pemilik atau Kontributor Azure di grup sumber daya atau sumber daya individual.
Pemilik atau Kontributor Azure dapat mengaktifkan atau menonaktifkan autentikasi Microsoft Entra-only untuk ruang kerja Azure Synapse. Untuk informasi selengkapnya tentang autentikasi khusus Microsoft Entra, lihat Menonaktifkan autentikasi lokal di Azure Synapse Analytics.
Kembangkan dan jalankan kode di Azure Synapse
Synapse mendukung dua model pengembangan.
- Pengembangan langsung Synapse. Anda mengembangkan dan men-debug kode di Synapse Studio, lalu menerbitkannya untuk menyimpan dan mengeksekusi. Layanan Synapse adalah sumber kebenaran untuk pengeditan dan eksekusi kode. Setiap pekerjaan yang belum diterbitkan akan hilang saat Anda menutup Studio Synapse.
- Pengembangan dengan dukungan Git. Anda mengembangkan dan men-debug kode di Synapse Studio dan menerapkan perubahan pada cabang kerja repositori Git. Pekerjaan dari satu atau beberapa cabang diintegrasikan ke dalam cabang kolaborasi, dari lokasi Anda menerbitkannya hingga ke layanan. Repo Git adalah sumber kebenaran untuk pengeditan kode, sementara layanan adalah sumber kebenaran untuk eksekusi. Perubahan harus dilakukan pada repositori Git atau diterbitkan ke layanan sebelum menutup Studio Synapse. Pelajari selengkapnya tentang menggunakan Synapse Analytics dengan Git.
Di kedua model pengembangan, setiap pengguna yang memiliki akses ke Synapse Studio dapat membuat artefak kode. Namun, Anda memerlukan izin tambahan untuk menerbitkan artefak ke layanan, membaca artefak yang diterbitkan, untuk menerapkan perubahan pada Git, untuk mengeksekusi kode, dan mengakses data tertaut yang dilindungi oleh kredensial. Pengguna harus memiliki Azure Contributor (Azure RBAC) atau peran yang lebih tinggi di ruang kerja Synapse untuk mengonfigurasi, mengedit pengaturan, dan memutuskan repositori Git dengan Synapse.
Peran Azure Synapse
Peran Azure Synapse digunakan untuk mengontrol akses ke layanan Synapse. Peran yang berbeda dapat memungkinkan Anda untuk:
- Membuat daftar artefak kode yang diterbitkan,
- Menerbitkan artefak kode, layanan tertaut, dan definisi kredensial,
- Menjalankan kode atau alur yang menggunakan sumber daya komputasi Synapse,
- Menjalankan kode atau alur yang mengakses data tertaut yang dilindungi oleh kredensial,
- Melihat output yang terkait dengan artefak kode yang diterbitkan,
- Memantau status sumber daya komputasi dan melihat log runtime.
Peran Azure Synapse dapat ditetapkan pada lingkup ruang kerja atau pada cakupan yang lebih detail untuk membatasi izin yang diberikan ke sumber daya Azure Synapse spesifik.
Izin Git
Saat menggunakan pengembangan berkemampuan Git dalam mode Git, Anda memerlukan izin Git selain peran Synapse User atau Synapse RBAC (kontrol akses berbasis peran) untuk membaca artefak kode, termasuk layanan tertaut dan definisi kredensial. Untuk melakukan perubahan pada artefak kode dalam mode Git, Anda memerlukan izin Git, dan peran Penerbit Artefak Synapse (RBAC Synapse).
Mengakses data dalam SQL
Saat bekerja dengan kumpulan SQL khusus dan tanpa server, akses bidang data dikontrol menggunakan izin SQL.
Pembuat ruang kerja ditetapkan sebagai Admin Direktori Aktif di ruang kerja. Setelah dibuat, peran ini dapat ditetapkan kepada pengguna lain atau ke grup keamanan di portal Microsoft Azure.
Kumpulan SQL tanpa server: Administrator Synapse diberikan izin db_owner (DBO) pada kumpulan SQL tanpa server, 'Bawaan'. Untuk memberi pengguna lain akses ke kumpulan SQL tanpa server, administrator Synapse perlu menjalankan skrip SQL di kumpulan tanpa server.
Kumpulan SQL khusus: Administrator Synapse memiliki akses penuh ke data di kumpulan SQL khusus, dan kemampuan untuk memberikan akses ke pengguna lain. Administrator Synapse juga dapat melakukan aktivitas konfigurasi dan pemeliharaan pada kumpulan khusus, kecuali untuk menghilangkan database. Kumpulan SQL khusus: Izin Admin Direktori Aktif diberikan kepada pembuat ruang kerja dan MSI ruang kerja. Izin untuk mengakses kumpulan SQL khusus tidak diberikan secara otomatis. Untuk memberikan akses kepada pengguna atau grup lain ke kumpulan SQL khusus, Admin Direktori Aktif atau Administrator Synapse harus menjalankan skrip SQL terhadap setiap kumpulan SQL khusus.
Lihat Cara menyiapkan Synapse Access Control sebagai contoh skrip SQL untuk memberikan izin SQL di kumpulan SQL.
Mengakses data di kumpulan Data Explorer
Saat bekerja dengan kumpulan Data Explorer, akses data plane dikontrol melalui izin Data Explorer. Administrator Synapse diberikan izin All Database admin pada kumpulan Data Explorer. Untuk memberi pengguna atau grup lain akses ke kumpulan Data Explorer, administrator Synapse harus merujuk ke Pengelolaan peran keamanan. Untuk informasi selengkapnya tentang akses data plane, lihat ikhtisar kontrol akses Data Explorer.
Mengakses data yang dikelola oleh sistem dalam penyimpanan
Kumpulan SQL tanpa server dan tabel Apache Spark menyimpan datanya dalam kontainer ADLS Gen2 yang sudah dikaitkan dengan ruang kerja. Pustaka Apache Spark yang dipasang pengguna juga dikelola di akun penyimpanan yang sama. Untuk mengaktifkan kasus penggunaan ini, pengguna dan MSI ruang kerja harus diberikan akses Storage Blob Data Contributor ke kontainer penyimpanan ADLS Gen2 ruang kerja ini.
Menggunakan grup keamanan sebagai praktik terbaik
Untuk menyederhanakan pengelolaan kontrol akses, Anda dapat menggunakan grup keamanan untuk menetapkan peran kepada individu dan grup. Grup keamanan dapat dibuat untuk mewakili persona atau fungsi pekerjaan di organisasi Anda yang memerlukan akses ke sumber daya atau artefak Synapse. Grup keamanan berbasis persona ini selanjutnya dapat diberi satu atau beberapa peran Azure, peran Synapse, izin SQL, atau izin Git. Dengan grup keamanan yang dipilih dengan baik, mudah untuk menetapkan izin yang diperlukan kepada pengguna dengan menambahkannya ke grup keamanan yang sesuai.
Catatan
Jika menggunakan grup keamanan untuk mengelola akses, ada latensi tambahan yang diperkenalkan oleh ID Microsoft Entra sebelum perubahan berlaku.
Mengakses penerapan kontrol di Synapse Studio
Synapse Studio akan berperilaku secara berbeda, tergantung izin Anda dan mode saat ini:
- Mode langsung Synapse: Synapse Studio akan mencegah Anda melihat konten yang diterbitkan, menerbitkan konten, atau mengambil tindakan lain jika Anda tidak memiliki izin yang diwajibkan. Dalam beberapa kasus, Anda tidak bisa membuat artefak kode yang tidak dapat Anda gunakan atau simpan.
- Git-mode: Jika Anda memiliki izin Git yang mengizinkan menerapkan perubahan ke cabang saat ini, maka tindakan penerapan akan diizinkan jika Anda memiliki izin untuk menerbitkan perubahan ke layanan langsung (peran Penerbit Artefak Synapse).
Dalam beberapa kasus, Anda diizinkan untuk membuat artefak kode bahkan tanpa izin untuk menerbitkan atau menerapkan. Ini memungkinkan Anda untuk mengeksekusi kode (dengan izin eksekusi yang diperlukan). Untuk informasi selengkapnya tentang peran yang diperlukan untuk tugas umum, lihat Memahami peran yang diperlukan untuk melakukan tugas umum di Azure Synapse.
Jika fitur dinonaktifkan di Synapse Studio, tipsalat akan menunjukkan izin yang diperlukan. Gunakan panduan peran RBAC Synapse untuk mencari peran mana yang diperlukan guna memberikan izin yang hilang.
Langkah berikutnya
- Pelajari selengkapnya tentang RBAC Synapse
- Pelajari selengkapnya tentang peran RBAC Synapse
- Pelajari cara menyiapkan kontrol akses untuk Ruang Kerja Synapse menggunakan kelompok keamanan.
- Pelajari cara meninjau penetapan peran RBAC Synapse
- Pelajari cara mengelola penetapan peran RBAC Synapse
Saran dan Komentar
Segera hadir: Sepanjang tahun 2024 kami akan menghentikan penggunaan GitHub Issues sebagai mekanisme umpan balik untuk konten dan menggantinya dengan sistem umpan balik baru. Untuk mengetahui informasi selengkapnya, lihat: https://aka.ms/ContentUserFeedback.
Kirim dan lihat umpan balik untuk