Zarządzanie danymi i kontrola dostępu oparta na rolach na potrzeby analizy w skali chmury na platformie Azure
Autoryzacja to czynność udzielania uwierzytelnionej osobie uprawnienia do wykonywania akcji. Kluczową zasadą kontroli dostępu jest zapewnienie użytkownikom tylko ilości dostępu, którego potrzebują do wykonywania swoich zadań, i zezwalanie tylko na określone działania w określonym zakresie. Zabezpieczenia oparte na rolach/kontrola dostępu oparta na rolach (RBAC) odpowiada kontroli dostępu i jest używana przez wiele organizacji do kontrolowania dostępu na podstawie zdefiniowanych ról lub funkcji zadań w porównaniu z poszczególnymi użytkownikami. Następnie użytkownicy mają przypisaną co najmniej jedną rolę zabezpieczeń, z których każda ma uprawnienia autoryzowane do wykonywania określonych zadań.
W przypadku korzystania z identyfikatora Entra firmy Microsoft jako scentralizowanego dostawcy tożsamości autoryzacja dostępu do usług danych i magazynu może zostać udzielona dla każdego użytkownika lub aplikacji i jest oparta na tożsamości firmy Microsoft Entra. Autoryzacja obejmuje kontrolę dostępu opartą na rolach do usługi i listy kontroli dostępu na poziomie pliku, folderu lub obiektu w magazynie.
Autoryzacja usługi danych
Platforma Microsoft Azure obejmuje standardową i wbudowaną kontrolę dostępu opartą na rolach, która jest systemem autoryzacji opartym na usłudze Azure Resource Manager, który zapewnia szczegółowe zarządzanie dostępem do zasobów platformy Azure. Role RBAC pomagają kontrolować poziomy dostępu do zasobów; co może zrobić podmiot zabezpieczeń, użytkownik, grupa, usługa lub aplikacja z zasobami i obszarami, do których mają dostęp? Podczas planowania strategii kontroli dostępu zaleca się przyznanie użytkownikom tylko ilości dostępu potrzebnego do wykonywania zadań i zezwalania tylko na określone akcje w określonym zakresie.
Następujące wbudowane role są podstawowe dla wszystkich typów zasobów platformy Azure, w tym usług danych platformy Azure:
| opis | |
|---|---|
| Właściciel: | Ta rola ma pełny dostęp do zasobu i może zarządzać wszystkimi zasobami, w tym prawem do udzielenia mu dostępu. |
| Współautor: | Ta rola może zarządzać zasobem, ale nie może udzielić mu dostępu. |
| Czytelnik: | Ta rola może wyświetlać zasób i informacje o nim (z wyjątkiem informacji poufnych, takich jak klucze dostępu lub wpisy tajne), ale nie może wprowadzać żadnych zmian w zasobie. |
Niektóre usługi mają określone role RBAC, takie jak Współautor danych obiektu blob usługi Storage lub Współautor usługi Data Factory, co oznacza, że dla tych usług powinny być używane określone role RBAC. Kontrola dostępu oparta na rolach to model addytywne, w którym dodawanie przypisań ról jest aktywnym uprawnieniem. Kontrola dostępu oparta na rolach obsługuje również przypisania odmowy , które mają pierwszeństwo przed przypisaniami ról .
Ogólne praktyki kontroli dostępu opartej na rolach na potrzeby analizy w skali chmury na platformie Azure
Poniższe najlepsze rozwiązania mogą pomóc w rozpoczęciu pracy z kontrolą dostępu opartą na rolach:
Role RBAC umożliwiają zarządzanie usługami i operacje oraz używanie ról specyficznych dla usługi w celu uzyskiwania dostępu do danych i zadań specyficznych dla obciążenia: Użyj ról RBAC w zasobach platformy Azure, aby udzielić uprawnień podmiotom zabezpieczeń, które muszą wykonywać zadania związane z zarządzaniem zasobami i operacjami. Podmioty zabezpieczeń, które muszą uzyskiwać dostęp do danych w magazynie, nie wymagają roli RBAC w zasobie, ponieważ nie muszą nimi zarządzać. Zamiast tego przyznaj uprawnienie do obiektów danych bezpośrednio. Na przykład przyznaj dostęp do odczytu do folderu w usłudze Azure Data Lake Storage Gen2 lub zawartej bazie danych uprawnienia do bazy danych w usłudze Azure SQL Database.
Użyj wbudowanych ról RBAC: najpierw użyj wbudowanych ról zasobów RBAC platformy Azure do zarządzania usługami i przypisywania ról operacji w celu kontrolowania dostępu. Tworzenie i używanie ról niestandardowych dla zasobów platformy Azure tylko wtedy, gdy wbudowane role nie spełniają określonych potrzeb.
Użyj grup do zarządzania dostępem: przypisz dostęp do grup firmy Microsoft Entra i zarządzaj członkostwem w grupach w celu ciągłego zarządzania dostępem.
Zakresy subskrypcji i grupy zasobów: chociaż ma sens udzielanie dostępu w zakresie grupy zasobów w celu oddzielenia potrzeb związanych z zarządzaniem usługami i dostępem do operacji w porównaniu z udzielaniem dostępu do poszczególnych zasobów (zwłaszcza w środowisku nieprodukcyjnym), można zamiast tego udzielić dostępu do poszczególnych zasobów dla zadań specyficznych dla obciążenia, takich jak obsługa i operacje systemu plików typu data lake, zwłaszcza w środowisku produkcyjnym. Dzieje się tak dlatego, że w środowiskach nieprodukcyjnych deweloperzy i testerzy będą musieli zarządzać zasobami, takimi jak tworzenie potoku pozyskiwania usługi Azure Data Factory lub tworzenie kontenera w usłudze Data Lake Storage Gen2. W środowisku produkcyjnym użytkownicy muszą korzystać tylko z zasobów, takich jak wyświetlanie stanu zaplanowanego potoku pozyskiwania usługi Data Factory lub odczytywanie plików danych w usłudze Data Lake Storage Gen2.
Nie udzielaj niepotrzebnego dostępu w zakresie subskrypcji: ten zakres obejmuje wszystkie zasoby w ramach subskrypcji.
Wybierz dostęp z najniższymi uprawnieniami: wybierz odpowiednią i tylko rolę dla zadania.
Następne kroki
Aprowizuj zabezpieczenia na potrzeby analizy w skali chmury na platformie Azure