Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Kontrola dostępu oparta na rolach (RBAC) w Synapse rozszerza możliwości Azure RBAC dla obszarów roboczych Synapse i ich zawartości.
Azure RBAC służy do zarządzania osobami, które mogą tworzyć, aktualizować lub usuwać obszar roboczy usługi Synapse oraz jego pule SQL, pule platformy Apache Spark i środowiska uruchomieniowe Integration.
Kontrola dostępu oparta na rolach usługi Synapse służy do zarządzania osobami, które mogą:
- Publikowanie artefaktów kodu i wyświetlanie listy lub uzyskiwanie dostępu do opublikowanych artefaktów kodu,
- Wykonywanie kodu w pulach platformy Apaches Spark i środowiskach Integration Runtime,
- Dostęp do połączonych usług chronionych za pomocą poświadczeń
- Monitoruj lub anuluj wykonywanie zadań, przejrzyj dane wyjściowe zadania i dzienniki wykonywania.
Uwaga
Funkcja RBAC usługi Synapse służy do zarządzania dostępem do opublikowanych skryptów SQL, ale zapewnia tylko ograniczoną kontrolę dostępu do bezserwerowych i dedykowanych pul SQL. Dostęp do pul SQL jest kontrolowany głównie przy użyciu zabezpieczeń SQL.
Co mogę zrobić w ramach RBAC Synapse?
Oto kilka przykładów tego, co można zrobić za pomocą kontroli dostępu opartej na rolach usługi Synapse:
- Zezwalaj użytkownikowi na publikowanie zmian wprowadzonych w notesach i zadaniach platformy Apache Spark w usłudze na żywo.
- Zezwalaj użytkownikowi na uruchamianie i anulowanie notesów i zadań Spark w określonej puli Apache Spark.
- Zezwól użytkownikowi na używanie określonych poświadczeń, aby mógł uruchamiać pipeline'y zabezpieczone przez tożsamość systemu obszaru roboczego i dostępować danych w połączonych usługach zabezpieczonych poświadczeniami.
- Zezwalaj administratorowi na zarządzanie, monitorowanie i anulowanie wykonywania zadań w określonych pulach platformy Spark.
Jak działa kontrola dostępu oparta na rolach (RBAC) usługi Synapse
Podobnie jak kontrola dostępu oparta na rolach platformy Azure, Synapse RBAC działa przez tworzenie przypisań ról. Przypisanie roli obejmuje trzy elementy: podmiot zabezpieczeń, definicja roli i zakres.
Główne elementy bezpieczeństwa
Podmiot zabezpieczeń to użytkownik, grupa, podmiot usługi lub tożsamość zarządzana.
Role
Rola to kolekcja uprawnień lub akcji, które mogą być wykonywane na określonych typach zasobów lub typach artefaktów.
Usługa Synapse udostępnia wbudowane role, które definiują kolekcje akcji odpowiadających potrzebom różnych osób:
- Administratorzy mogą uzyskać pełny dostęp do tworzenia i konfigurowania obszaru roboczego
- Deweloperzy mogą tworzyć, aktualizować i debugować skrypty SQL, notesy, potoki i przepływy danych, ale nie mogą publikować ani wykonywać tego kodu na produkcyjnych zasobach obliczeniowych/danych
- Operatorzy mogą monitorować stan systemu, wykonywanie aplikacji i przeglądać dzienniki oraz zarządzać nimi bez dostępu do kodu lub danych wyjściowych z wykonania.
- Pracownicy ds. zabezpieczeń mogą zarządzać punktami końcowymi i konfigurować je bez dostępu do kodu, zasobów obliczeniowych lub danych.
Dowiedz się więcej o wbudowanych rolach usługi Synapse.
Zakresy
Zakres definiuje zasoby lub artefakty, do których ma zastosowanie dostęp. Usługa Azure Synapse obsługuje zakresy hierarchiczne. Uprawnienia przyznane na wyższym poziomie są dziedziczone przez obiekty na niższym poziomie. W usłudze Synapse RBAC zakres najwyższego poziomu jest obszarem roboczym. Przypisanie roli z zakresem obszaru roboczego przyznaje uprawnienia do wszystkich odpowiednich obiektów w obszarze roboczym.
Bieżące obsługiwane zakresy w obszarze roboczym to:
- Pula zasobów Apache Spark
- Środowisko wykonawcze integracji
- połączona usługa
- poświadczenie
Dostęp do artefaktów kodu jest przyznawany w zakresie obszaru roboczego. Udzielanie dostępu do kolekcji artefaktów w obszarze roboczym będzie obsługiwane w nowszej wersji.
Rozwiązywanie przypisań ról w celu określenia uprawnień
Przypisanie roli przyznaje głównemu podmiotowi uprawnienia określone przez rolę w wyznaczonym zakresie.
RBAC w Synapse jest modelem addytywnym, podobnie jak RBAC w Azure. Do pojedynczego podmiotu można przypisać wiele ról na różnych poziomach. Podczas przetwarzania uprawnień podmiotu zabezpieczeń system uwzględnia wszystkie role przypisane do podmiotu zabezpieczeń i do grup, które bezpośrednio lub pośrednio obejmują podmiot zabezpieczeń. Uwzględnia również zakres każdego przypisania przy określaniu mających zastosowanie uprawnień.
Wymuszanie przypisanych uprawnień
W programie Synapse Studio niektóre przyciski lub opcje mogą być czasami wyszarzane, lub podczas próby wykonania akcji może zostać zwrócony komunikat o błędzie dotyczącym uprawnień, jeśli nie masz wymaganych uprawnień.
Jeśli przycisk lub opcja jest wyłączona, zatrzymanie wskaźnika myszy na przycisku lub opcji powoduje wyświetlenie podpowiedzi z wymaganym uprawnieniem. Skontaktuj się z administratorem usługi Synapse, aby przypisać rolę, która przyznaje wymagane uprawnienia. Możesz zobaczyć role, które udostępniają określone akcje, zobaczysz Role RBAC Synapse.
Kto może przypisywać role RBAC usługi Synapse?
Administratorzy usługi Synapse mogą przypisywać role RBAC w usłudze Synapse. Administrator usługi Synapse na poziomie obszaru roboczego może udzielić dostępu w dowolnym zakresie. Administrator Synapse na niższym poziomie zakresu może udzielać dostępu tylko w tym zakresie.
Po utworzeniu nowego obszaru roboczego twórca automatycznie otrzymuje rolę Administratora usługi Synapse w zakresie obszaru roboczego.
Aby ułatwić odzyskanie dostępu do obszaru roboczego w przypadku, gdy żaden administrator usługi Synapse nie jest przypisany lub dostępny, użytkownicy z uprawnieniami do zarządzania przypisaniami ról RBAC platformy Azure w obszarze roboczym mogą również zarządzać przypisaniami ról RBAC usługi Synapse, umożliwiając dodawanie przypisań ról usługi Synapse lub innych przypisań ról usługi Synapse.
Gdzie mogę zarządzać RBAC w Synapse?
Kontrola dostępu oparta na rolach w Synapse jest zintegrowana w Synapse Studio, używając narzędzi do zarządzania dostępem w centrum zarządzania Zarządzanie.
Powiązana zawartość
Poznaj wbudowane role RBAC Synapse.
Dowiedz się, jak przeglądać przypisania ról RBAC dla usługi Synapse w obszarze roboczym.
Dowiedz się jak przypisywać role RBAC usługi Synapse.