O que é o controlo de acesso baseado em funções do Synapse (RBAC)?
O RBAC do Synapse expande as capacidades do RBAC do Azure para áreas de trabalho do Synapse e respetivos conteúdos.
O RBAC do Azure é utilizado para gerir quem pode criar, atualizar ou eliminar a área de trabalho do Synapse e os respetivos conjuntos de SQL, conjuntos do Apache Spark e Runtimes de integração.
O RBAC do Synapse é utilizado para gerir quem pode:
- Publicar artefactos de código e listar ou aceder a artefactos de código publicados,
- Execute código em conjuntos do Apaches Spark e runtimes de integração,
- Aceder a serviços ligados (dados) protegidos por credenciais
- Monitorize ou cancele a execução de trabalhos, reveja a saída da tarefa e os registos de execução.
Nota
Embora o RBAC do Synapse seja utilizado para gerir o acesso a scripts SQL publicados, fornece apenas controlo de acesso limitado a conjuntos de SQL sem servidor e dedicados. O acesso aos conjuntos de SQL é controlado principalmente com a segurança do SQL.
O que posso fazer com o RBAC do Synapse?
Eis alguns exemplos do que pode fazer com o RBAC do Synapse:
- Permitir que um utilizador publique as alterações efetuadas aos blocos de notas e tarefas do Apache Spark no serviço em direto.
- Permitir que um utilizador execute e cancele blocos de notas e tarefas do Spark num conjunto específico do Apache Spark.
- Permitir que um utilizador utilize credenciais específicas para que possa executar pipelines protegidos pela identidade do sistema da área de trabalho e aceder a dados em serviços ligados protegidos com credenciais.
- Permitir que um administrador faça a gestão, monitorize e cancele a execução de tarefas em Conjuntos do Spark específicos.
Como funciona o RBAC do Synapse
Tal como o RBAC do Azure, o RBAC do Synapse funciona através da criação de atribuições de funções. Uma atribuição de função consiste em três elementos: um principal de segurança, uma definição de função e um âmbito.
Principais de Segurança
Um principal de segurança é um utilizador, grupo, principal de serviço ou identidade gerida.
Funções
Uma função é uma coleção de permissões ou ações que podem ser executadas em tipos de recursos ou tipos de artefactos específicos.
O Synapse fornece funções incorporadas que definem coleções de ações que correspondem às necessidades de diferentes personas:
- Os administradores podem obter acesso total para criar e configurar uma área de trabalho
- Os programadores podem criar, atualizar e depurar scripts SQL, blocos de notas, pipelines e fluxos de dados, mas não podem publicar ou executar este código em recursos/dados de computação de produção
- Os operadores podem monitorizar e gerir o estado do sistema, a execução de aplicações e rever registos, sem acesso ao código ou às saídas da execução.
- A equipa de segurança pode gerir e configurar pontos finais sem ter acesso a código, recursos de computação ou dados.
Saiba mais sobre as funções do Synapse incorporadas.
Âmbitos
Um âmbito define os recursos ou artefactos aos quais o acesso se aplica. Azure Synapse suporta âmbitos hierárquicos. As permissões concedidas num âmbito de nível superior são herdadas por objetos num nível inferior. No RBAC do Synapse, o âmbito de nível superior é uma área de trabalho. Atribuir uma função com âmbito de área de trabalho concede permissões a todos os objetos aplicáveis na área de trabalho.
Os âmbitos suportados atuais numa área de trabalho são:
- Conjunto do Apache Spark
- Runtime de integração
- serviço ligado
- credencial
O acesso a artefactos de código é concedido com o âmbito da área de trabalho. A concessão de acesso a coleções de artefactos numa área de trabalho será suportada numa versão posterior.
Resolver atribuições de funções para determinar permissões
Uma atribuição de função concede a um principal as permissões definidas pela função no âmbito especificado.
O RBAC do Synapse é um modelo aditivo como o RBAC do Azure. Podem ser atribuídas várias funções a um único principal e a âmbitos diferentes. Ao calcular as permissões de um principal de segurança, o sistema considera todas as funções atribuídas ao principal e a grupos que incluem direta ou indiretamente o principal. Também considera o âmbito de cada atribuição na determinação das permissões aplicáveis.
Impor permissões atribuídas
No Synapse Studio, os botões ou opções específicos podem estar desativados ou poderá ser devolvido um erro de permissões ao tentar uma ação se não tiver as permissões necessárias.
Se um botão ou opção estiver desativado, pairar o cursor sobre o botão ou opção mostra uma descrição com a permissão necessária. Contacte um Administrador do Synapse para atribuir uma função que conceda a permissão necessária. Pode ver as funções que fornecem ações específicas. Veja Funções RBAC do Synapse.
Quem pode atribuir funções RBAC do Synapse?
Os Administradores do Synapse podem atribuir funções RBAC do Synapse. Um Administrador do Synapse ao nível da área de trabalho pode conceder acesso a qualquer âmbito. Um Administrador do Synapse num âmbito de nível inferior só pode conceder acesso nesse âmbito.
Quando é criada uma nova área de trabalho, o criador recebe automaticamente a função de Administrador do Synapse no âmbito da área de trabalho.
Para o ajudar a recuperar o acesso a uma área de trabalho no caso de nenhum Administrador do Synapse estar atribuído ou disponível para si, os utilizadores com permissões para gerir atribuições de funções RBAC do Azure na área de trabalho também podem gerir atribuições de funções RBAC do Synapse, permitindo a adição de atribuições de funções do Administrador do Synapse ou outras atribuições de funções do Synapse.
Onde posso gerir o RBAC do Synapse?
O RBAC do Synapse é gerido a partir de Synapse Studio com as ferramentas de controlo de acesso no hub Gerir.
Passos seguintes
Compreenda as funções RBAC do Synapse incorporadas.
Saiba como rever as atribuições de funções RBAC do Synapse para uma área de trabalho.