Che cos'è il controllo degli accessi in base al ruolo di Synapse?

Il controllo degli accessi in base al ruolo di Synapse estende le funzionalità del controllo degli accessi in base al ruolo di Azure per le aree di lavoro di Synapse e il relativo contenuto.

Il controllo degli accessi in base al ruolo di Azure viene usato per gestire chi può creare, aggiornare o eliminare l'area di lavoro Synapse e i relativi pool SQL, pool di Apache Spark e runtime di integrazione.

Il controllo degli accessi in base al ruolo di Synapse viene usato per gestire chi può:

  • Pubblicare artefatti di codice ed elencare o accedere agli artefatti di codice pubblicati,
  • Eseguire il codice nei pool di Apaches Spark e nei runtime di integrazione,
  • Accedere ai servizi collegati (dati) protetti dalle credenziali
  • Monitorare o annullare l'esecuzione del processo, esaminare l'output del processo e i log di esecuzione.

Nota

Anche se il controllo degli accessi in base al ruolo di Synapse viene usato per gestire l'accesso agli script SQL pubblicati, fornisce solo un controllo di accesso limitato ai pool SQL serverless e dedicati. L'accesso ai pool SQL viene controllato principalmente tramite la sicurezza SQL.

Cosa è possibile fare con il controllo degli accessi in base al ruolo di Synapse?

Ecco alcuni esempi di operazioni che è possibile eseguire con il controllo degli accessi in base al ruolo di Synapse:

  • Consentire a un utente di pubblicare le modifiche apportate ai notebook e ai processi di Apache Spark nel servizio live.
  • Consentire a un utente di eseguire e annullare notebook e processi Spark in un pool di Apache Spark specifico.
  • Consentire a un utente di usare credenziali specifiche in modo che possano eseguire pipeline protette dall'identità del sistema dell'area di lavoro e accedere ai dati nei servizi collegati protetti con le credenziali.
  • Consentire a un amministratore di gestire, monitorare e annullare l'esecuzione del processo in pool di Spark specifici.

Funzionamento del controllo degli accessi in base al ruolo di Synapse

Come il controllo degli accessi in base al ruolo di Azure, Il controllo degli accessi in base al ruolo di Synapse funziona creando assegnazioni di ruolo. Un'assegnazione di ruolo è costituita da tre elementi: un'entità di sicurezza, una definizione del ruolo e un ambito.

Entità di sicurezza

Un'entità di sicurezza è un utente, un gruppo, un'entità servizio o un'identità gestita.

Ruoli

Un ruolo è una raccolta di autorizzazioni o azioni che possono essere eseguite su tipi di risorse o tipi di artefatti specifici.

Synapse offre ruoli predefiniti che definiscono raccolte di azioni che soddisfano le esigenze di diversi utenti:

  • Gli amministratori possono ottenere l'accesso completo per creare e configurare un'area di lavoro
  • Gli sviluppatori possono creare, aggiornare ed eseguire il debug di script SQL, notebook, pipeline e flussi di dati, ma non possono pubblicare o eseguire questo codice nelle risorse/dati di calcolo di produzione
  • Gli operatori possono monitorare e gestire lo stato del sistema, l'esecuzione dell'applicazione e esaminare i log, senza accedere al codice o agli output dall'esecuzione.
  • Il personale addetto alla sicurezza può gestire e configurare gli endpoint senza avere accesso al codice, alle risorse di calcolo o ai dati.

Altre informazioni sui ruoli synapse predefiniti.

Ambiti

Un ambito definisce le risorse o gli artefatti a cui si applica l'accesso. Azure Synapse supporta ambiti gerarchici. Le autorizzazioni concesse a un ambito di livello superiore vengono ereditate dagli oggetti a un livello inferiore. In Controllo degli accessi in base al ruolo di Synapse l'ambito principale è un'area di lavoro. L'assegnazione di un ruolo con ambito area di lavoro concede le autorizzazioni a tutti gli oggetti applicabili nell'area di lavoro.

Gli ambiti attualmente supportati all'interno di un'area di lavoro sono:

  • Pool di Apache Spark
  • Runtime di integrazione
  • linked service
  • credenziali

L'accesso agli artefatti di codice viene concesso con l'ambito dell'area di lavoro. La concessione dell'accesso alle raccolte di artefatti all'interno di un'area di lavoro sarà supportata in una versione successiva.

Risoluzione delle assegnazioni di ruolo per determinare le autorizzazioni

Un'assegnazione di ruolo concede a un'entità le autorizzazioni definite dal ruolo nell'ambito specificato.

Il controllo degli accessi in base al ruolo di Synapse è un modello aggiuntivo come il controllo degli accessi in base al ruolo di Azure. È possibile assegnare più ruoli a una singola entità e in ambiti diversi. Quando si calcolano le autorizzazioni di un'entità di sicurezza, il sistema considera tutti i ruoli assegnati all'entità di sicurezza e ai gruppi che includono direttamente o indirettamente l'entità. Considera anche l'ambito di ogni assegnazione per determinare le autorizzazioni che si applicano.

Applicazione delle autorizzazioni assegnate

In Synapse Studio i pulsanti o le opzioni specifici possono essere disattivati o quando si tenta di eseguire un'azione se non si dispone delle autorizzazioni necessarie, è possibile che venga restituito un errore di autorizzazione.

Se un pulsante o un'opzione è disabilitata, passando il puntatore del mouse sul pulsante o l'opzione viene visualizzata una descrizione comando con l'autorizzazione richiesta. Contattare un amministratore di Synapse per assegnare un ruolo che concede l'autorizzazione necessaria. È possibile visualizzare i ruoli che forniscono azioni specifiche, vedere Ruoli controllo degli accessi in base al ruolo di Synapse.

Chi può assegnare i ruoli controllo degli accessi in base al ruolo di Synapse?

Gli amministratori di Synapse possono assegnare ruoli Controllo degli accessi in base al ruolo di Synapse. Un amministratore di Synapse a livello di area di lavoro può concedere l'accesso a qualsiasi ambito. Un amministratore di Synapse a un ambito inferiore può concedere l'accesso solo a tale ambito.

Quando viene creata una nuova area di lavoro, all'autore viene assegnato automaticamente il ruolo di amministratore di Synapse nell'ambito dell'area di lavoro.

Per ottenere di nuovo l'accesso a un'area di lavoro nel caso in cui non siano assegnati o disponibili amministratori di Synapse, gli utenti con autorizzazioni per gestire le assegnazioni di ruolo controllo degli accessi in base al ruolo di Azure nell'area di lavoro possono anche gestire le assegnazioni di ruolo di Synapse RBAC, consentendo l'aggiunta di un amministratore di Synapse o di altre assegnazioni di ruolo synapse.

Dove si gestisce il controllo degli accessi in base al ruolo di Synapse?

Il controllo degli accessi in base al ruolo di Synapse viene gestito dall'interno di Synapse Studio usando gli strumenti di controllo di accesso nell'hub Di gestione.

Passaggi successivi

Informazioni sui ruoli predefiniti del controllo degli accessi in base al ruolo di Synapse.

Informazioni su come esaminare le assegnazioni di ruolo controllo degli accessi in base al ruolo di Synapse per un'area di lavoro.

Informazioni su come assegnare ruoli Controllo degli accessi in base al ruolo di Synapse