Co to jest kontrola dostępu oparta na rolach (RBAC) usługi Synapse?

  • Artykuł

Kontrola dostępu oparta na rolach usługi Synapse rozszerza możliwości kontroli dostępu opartej na rolach platformy Azure dla obszarów roboczych usługi Synapse i ich zawartości.

Kontrola dostępu oparta na rolach platformy Azure służy do zarządzania osobami, które mogą tworzyć, aktualizować lub usuwać obszar roboczy usługi Synapse oraz jego pule SQL, pule platformy Apache Spark i środowiska Integration Runtime.

Kontrola dostępu oparta na rolach usługi Synapse służy do zarządzania tym, kto może:

  • Publikowanie artefaktów kodu i wyświetlanie listy lub uzyskiwanie dostępu do opublikowanych artefaktów kodu,
  • Wykonywanie kodu w pulach platformy Apaches Spark i środowiskach Integration Runtime,
  • Uzyskiwanie dostępu do połączonych (danych) usług chronionych przy użyciu poświadczeń
  • Monitorowanie lub anulowanie wykonywania zadania, przeglądanie danych wyjściowych zadania i dzienniki wykonywania.

Uwaga

Chociaż kontrola dostępu oparta na rolach usługi Synapse służy do zarządzania dostępem do opublikowanych skryptów SQL, zapewnia tylko ograniczoną kontrolę dostępu do bezserwerowych i dedykowanych pul SQL. Dostęp do pul SQL jest kontrolowany głównie przy użyciu zabezpieczeń SQL.

Co mogę zrobić za pomocą kontroli dostępu opartej na rolach usługi Synapse?

Oto kilka przykładów tego, co można zrobić za pomocą kontroli dostępu opartej na rolach usługi Synapse:

  • Zezwalaj użytkownikowi na publikowanie zmian wprowadzonych w notesach i zadaniach platformy Apache Spark w usłudze na żywo.
  • Zezwalaj użytkownikowi na uruchamianie i anulowanie notesów i zadań platformy Spark w określonej puli platformy Apache Spark.
  • Zezwalaj użytkownikowi na używanie określonych poświadczeń, aby mógł uruchamiać potoki zabezpieczone przez tożsamość systemu obszaru roboczego i uzyskiwać dostęp do danych w połączonych usługach zabezpieczonych przy użyciu poświadczeń.
  • Zezwól administratorowi na zarządzanie, monitorowanie i anulowanie wykonywania zadań w określonych pulach platformy Spark.

Jak działa kontrola dostępu oparta na rolach usługi Synapse

Podobnie jak kontrola dostępu oparta na rolach platformy Azure, kontrola dostępu oparta na rolach usługi Synapse działa przez tworzenie przypisań ról. Przypisanie roli obejmuje trzy elementy: podmiot zabezpieczeń, definicję roli i zakres.

Podmioty zabezpieczeń

Podmiot zabezpieczeń jest użytkownikiem, grupą, jednostką usługi lub tożsamością zarządzaną.

Role

Rola to kolekcja uprawnień lub akcji, które mogą być wykonywane na określonych typach zasobów lub typach artefaktów.

Usługa Synapse udostępnia wbudowane role, które definiują kolekcje akcji, które odpowiadają potrzebom różnych osób:

  • Administratorzy mogą uzyskać pełny dostęp do tworzenia i konfigurowania obszaru roboczego
  • Deweloperzy mogą tworzyć, aktualizować i debugować skrypty SQL, notesy, potoki i przepływy danych, ale nie mogą publikować ani wykonywać tego kodu na produkcyjnych zasobach obliczeniowych/danych
  • Operatorzy mogą monitorować stan systemu, wykonywanie aplikacji i przeglądać dzienniki oraz zarządzać nimi bez dostępu do kodu lub danych wyjściowych z wykonania.
  • Pracownicy ds. zabezpieczeń mogą zarządzać punktami końcowymi i konfigurować je bez dostępu do kodu, zasobów obliczeniowych lub danych.

Dowiedz się więcej o wbudowanych rolach usługi Synapse.

Zakresy

Zakres definiuje zasoby lub artefakty, do których ma zastosowanie dostęp. Azure Synapse obsługuje zakresy hierarchiczne. Uprawnienia przyznane w zakresie wyższego poziomu są dziedziczone przez obiekty na niższym poziomie. W usłudze Synapse RBAC zakres najwyższego poziomu jest obszarem roboczym. Przypisanie roli z zakresem obszaru roboczego przyznaje uprawnienia do wszystkich odpowiednich obiektów w obszarze roboczym.

Bieżące obsługiwane zakresy w obszarze roboczym to:

  • Pula platformy Apache Spark
  • Integration Runtime
  • połączona usługa
  • poświadczenia

Dostęp do artefaktów kodu jest udzielany z zakresem obszaru roboczego. Udzielanie dostępu do kolekcji artefaktów w obszarze roboczym będzie obsługiwane w nowszej wersji.

Rozpoznawanie przypisań ról w celu określenia uprawnień

Przypisanie roli przyznaje jednostce uprawnienia zdefiniowane przez rolę w określonym zakresie.

Kontrola dostępu oparta na rolach usługi Synapse to model addytywne, taki jak kontrola dostępu oparta na rolach platformy Azure. Wiele ról można przypisać do jednego podmiotu zabezpieczeń i w różnych zakresach. Podczas przetwarzania uprawnień podmiotu zabezpieczeń system uwzględnia wszystkie role przypisane do podmiotu zabezpieczeń i grupy, które bezpośrednio lub pośrednio obejmują podmiot zabezpieczeń. Uwzględnia również zakres każdego przypisania w określaniu uprawnień, które mają zastosowanie.

Wymuszanie przypisanych uprawnień

W Synapse Studio określone przyciski lub opcje mogą być wyszarane lub może zostać zwrócony błąd uprawnień podczas próby wykonania akcji, jeśli nie masz wymaganych uprawnień.

Jeśli przycisk lub opcja jest wyłączona, zatrzymanie wskaźnika myszy na przycisku lub opcji powoduje wyświetlenie etykietki narzędzia z wymaganym uprawnieniem. Skontaktuj się z administratorem usługi Synapse, aby przypisać rolę, która udziela wymaganych uprawnień. Zobaczysz role, które udostępniają określone akcje, zobacz Role kontroli dostępu opartej na rolach usługi Synapse.

Kto może przypisywać role RBAC usługi Synapse?

Administratorzy usługi Synapse mogą przypisywać role RBAC usługi Synapse. Administrator usługi Synapse na poziomie obszaru roboczego może udzielić dostępu w dowolnym zakresie. Administrator usługi Synapse w zakresie niższego poziomu może udzielać dostępu tylko w tym zakresie.

Po utworzeniu nowego obszaru roboczego twórca otrzymuje automatycznie rolę administratora usługi Synapse w zakresie obszaru roboczego.

Aby ułatwić odzyskanie dostępu do obszaru roboczego w przypadku, gdy żaden administrator usługi Synapse nie jest przypisany lub dostępny dla Ciebie, użytkownicy z uprawnieniami do zarządzania przypisaniami ról RBAC platformy Azure w obszarze roboczym mogą również zarządzać przypisaniami ról RBAC usługi Synapse, umożliwiając dodawanie przypisań ról usługi Synapse lub innych przypisań ról usługi Synapse.

Gdzie mogę zarządzać kontrolą dostępu opartą na rolach usługi Synapse?

Kontrola dostępu oparta na rolach usługi Synapse jest zarządzana z poziomu Synapse Studio przy użyciu narzędzi kontroli dostępu w centrum Zarządzanie.

Następne kroki

Omówienie wbudowanych ról RBAC usługi Synapse.

Dowiedz się , jak przeglądać przypisania ról RBAC usługi Synapse dla obszaru roboczego.

Dowiedz się , jak przypisywać role RBAC usługi Synapse