O que é o controlo de acesso baseado em funções da Synapse (RBAC)?

O RBAC synapse alarga as capacidades do Azure RBAC para espaços de trabalho da Sinapse e seus conteúdos.

O Azure RBAC é usado para gerir quem pode criar, atualizar ou apagar o espaço de trabalho da Synapse e as suas piscinas SQL, piscinas Apache Spark e tempos de integração.

O RBAC de sinapse é usado para gerir quem pode:

  • Publicar artefactos de código e listar ou aceder a artefactos de código publicados,
  • Execute o código nas piscinas Apaches Spark e nos tempos de integração,
  • Serviços de acesso (dados) protegidos por credenciais
  • Monitorize ou cancele a execução de empregos, reveja a produção de emprego e os registos de execução.

Nota

Embora o SYNAPSe RBAC seja usado para gerir o acesso aos scripts SQL publicados, ele fornece apenas controlo de acesso limitado a piscinas SQL sem servidor e dedicadas. O acesso às piscinas SQL é controlado principalmente através da segurança SQL.

O que posso fazer com o SYNAPSE RBAC?

Aqui estão alguns exemplos do que pode fazer com o SYNAPSE RBAC:

  • Permitir que um utilizador publique alterações feitas aos cadernos e empregos da Apache Spark para o serviço ao vivo.
  • Permitir que um utilizador corra e cancele cadernos e faíscas numa piscina específica do Apache Spark.
  • Permitir que um utilizador utilize credenciais específicas para que possa executar gasodutos protegidos pela identidade do sistema de trabalho e dados de acesso em serviços ligados protegidos com credenciais.
  • Permitir que um administrador gere, monitorize e cancele a execução de emprego em Piscinas de Faíscas específicas.

Como funciona o Synapse RBAC

Tal como o Azure RBAC, o SYNAPSe RBAC trabalha criando atribuições de papéis. Uma atribuição de função consiste em três elementos: um principal de segurança, uma definição de função e um âmbito.

Principais de Segurança

Um diretor de segurança é um utilizador, grupo, diretor de serviço ou identidade gerida.

Funções

Um papel é uma coleção de permissões ou ações que podem ser realizadas em tipos específicos de recursos ou tipos de artefactos.

A Sinapse fornece papéis incorporados que definem coleções de ações que correspondem às necessidades de diferentes personalidades:

  • Os administradores podem ter acesso total para criar e configurar um espaço de trabalho
  • Os desenvolvedores podem criar, atualizar e depurar scripts SQL, cadernos, oleodutos e fluxos de dados, mas não ser capazes de publicar ou executar este código em recursos/dados computativos de produção
  • Os operadores podem monitorizar e gerir o estado do sistema, a execução de aplicações e os registos de revisão, sem acesso ao código ou às saídas da execução.
  • O pessoal de segurança pode gerir e configurar pontos finais sem ter acesso a códigos, recursos de computação ou dados.

Saiba mais sobre os papéis de Sinapse incorporados.

Âmbitos

Um âmbito define os recursos ou artefactos a que o acesso se aplica. Azure Synapse suporta âmbitos hierárquicos. As permissões concedidas num âmbito de nível superior são herdadas por objetos a um nível mais baixo. No SYNAPSE RBAC, o âmbito de nível superior é um espaço de trabalho. Atribuir uma função com âmbito de espaço de trabalho concede permissões a todos os objetos aplicáveis no espaço de trabalho.

Os âmbitos suportados atuais dentro de um espaço de trabalho são:

  • Piscina Apache Spark
  • Runtime de integração
  • serviço ligado
  • credencial

O acesso a artefactos de código é concedido com âmbito de espaço de trabalho. A concessão de acesso a coleções de artefactos dentro de um espaço de trabalho será apoiada num lançamento posterior.

Resolução de atribuições de funções para determinar permissões

Uma atribuição de funções concede a um diretor as permissões definidas pelo papel no âmbito especificado.

Synapse RBAC é um modelo aditivo como Azure RBAC. As funções múltiplas podem ser atribuídas a um único principal e em diferentes âmbitos. Ao calcular as permissões de um principal de segurança, o sistema considera todas as funções atribuídas ao principal e a grupos que direta ou indiretamente incluem o principal. Considera ainda o âmbito de cada atribuição na determinação das permissões que se aplicam.

Aplicação das permissões atribuídas

Na Synapse Studio, botões ou opções específicos podem ser acinzentados ou um erro de permissões pode ser devolvido ao tentar uma ação se não tiver as permissões necessárias.

Se um botão ou opção for desativado, pairar sobre o botão ou opção mostra uma ponta de ferramenta com a permissão necessária. Contacte um administrador da Sinapse para atribuir uma função que conceda a permissão necessária. Você pode ver os papéis que fornecem ações específicas, ver Papéis RBAC Synapse.

Quem pode atribuir papéis de Sinapse RBAC?

Os administradores da Sinapse podem atribuir funções de Sinapse RBAC. Um administrador de sinapse ao nível do espaço de trabalho pode conceder acesso em qualquer âmbito. Um administrador de sinapse num âmbito de nível inferior só pode conceder acesso nesse âmbito.

Quando um novo espaço de trabalho é criado, o criador recebe automaticamente o papel de Administrador synapse no âmbito do espaço de trabalho.

Para ajudá-lo a recuperar o acesso a um espaço de trabalho no caso de não serem atribuídos ou disponíveis administradores da Synapse, os utilizadores com permissões para gerir as atribuições de funções do Azure RBAC no espaço de trabalho também podem gerir atribuições de funções de SYNAPSE RBAC, permitindo a adição de administrador de Sinapse ou outras atribuições de funções de Sinapse.

Onde é que eu manco o SYNAPSE RBAC?

O RBAC de Sinapse é gerido a partir de dentro de Synapse Studio utilizando as ferramentas de controlo de acesso no hub Manage.

Passos seguintes

Compreenda os papéis de RBAC da Sinapse.

Saiba como rever as atribuições de funções de SYNAPC para um espaço de trabalho.

Saiba como atribuir funções de Sinapse RBAC