Управление данными и управление доступом на основе ролей для облачной аналитики в Azure
Авторизация — это акт предоставления разрешения на выполнение какого-либо действия стороне, прошедшей проверку подлинности. Ключевой принцип управления доступом состоит в том, чтобы доступ предоставлялся пользователям только в том объеме, который требуется для выполнения их задач, и позволял выполнять только определенные действия в определенной области. Безопасность на основе ролей/управление доступом на основе ролей (RBAC) соответствует управлению доступом и часто применяется для управления доступом на основе определенных ролей или функций заданий, а не с учетом отдельных пользователей. После этого пользователям назначается одна или несколько ролей безопасности, и каждый из них получает разрешения на выполнение конкретных задач.
При использовании идентификатора Microsoft Entra в качестве централизованного поставщика удостоверений авторизация для доступа к службам данных и хранилищу может быть предоставлена для каждого пользователя или каждого приложения и основана на удостоверении Microsoft Entra. Авторизация включает применение RBAC к службе и списку управления доступом на уровне файла, папки или объекта в хранилище.
Авторизация службы данных
Microsoft Azure включает стандартные и встроенные методы RBAC — системы авторизации, основанной на Azure Resource Manager и обеспечивающей детальное управление доступом к ресурсам Azure. Роли RBAC помогают управлять уровнями доступа к ресурсам. Что субъект безопасности, пользователь, группа, служба или приложение могут делать с ресурсами и областями, к которым у них есть доступ? При планировании стратегии управления доступом рекомендуется, чтобы доступ предоставлялся пользователям только в том объеме, который требуется для выполнения их задач, и позволял выполнять только определенные действия в определенной области.
Следующие встроенные роли являются основополагающими для всех типов ресурсов Azure, включая службы данных Azure:
| Description | |
|---|---|
| Владелец. | Эта роль имеет полный доступ к ресурсу и может управлять всем ресурсом, включая право на предоставление доступа к этому ресурсу. |
| Участник. | Эта роль может управлять ресурсом, но не может предоставлять к нему доступ. |
| Читатель. | Эта роль может просматривать ресурс и сведения о нем (кроме конфиденциальной информации, такой как ключи доступа или секреты), но не может вносить в него никакие изменения. |
Некоторые службы имеют определенные роли RBAC, такие как "Участник службы хранилища BLOB-объектов" или "Участник фабрики данных". Это означает, что для этих служб следует использовать определенные роли RBAC. RBAC представляет собой аддитивную модель, в которой добавление назначений ролей — это активное разрешение. RBAC также поддерживает запреты назначений, которые имеют приоритет над назначениями ролей .
Общие методики RBAC для облачной аналитики в Azure
Следующие рекомендации помогут вам приступить к работе с RBAC:
Используйте роли RBAC для управления службами и операций, а для доступа к данным и задач, связанных с определенными рабочими нагрузками, используйте роли для конкретных служб:Используйте роли RBAC в ресурсах Azure для предоставления разрешений субъектам безопасности, которым требуется выполнять задачи управления ресурсами и операций. Субъектам безопасности, которым требуется доступ к данным в хранилище, не требуется роль RBAC в ресурсе, так как им не нужно ими управлять. Вместо этого предоставьте разрешение на доступ непосредственно к объектам данных. Например, предоставьте доступ для чтения к папке в Azure Data Lake Storage 2-го поколения или к пользователю автономной базы данных и разрешения на доступ к таблицам в Базе данных SQL Azure.
Используйте встроенные роли RBAC: в первую очередь используйте встроенные роли RBAC Azure для управления службами и назначения ролей операций с целью управления доступом. Создавайте и используйте пользовательские роли для ресурсов Azure только в том случае, если встроенные роли не соответствуют определенным потребностям.
Используйте группы для управления доступом: назначение доступа к группам Microsoft Entra и управление членством в группах для текущего управления доступом.
Области подписки и группы ресурсов: имеет смысл предоставить доступ в области группы ресурсов и, таким образом, разделить потребностей в доступе к управлению службами и к операциям, а также предоставить доступ к отдельным ресурсам (особенно в непроизводственной среде), но вместо этого можно предоставить доступ к отдельным ресурсам для задач определенной рабочей нагрузки, таких как поддержка и операции файловой системы Data Lake, особенно в рабочей среде. Это связано с тем, что в непроизводственных средах разработчикам и тестировщикам требуется управлять такими ресурсами, как создание конвейера приема Фабрики данных Azure или создание контейнера в Data Lake Storage 2-го поколения. В рабочей среде пользователям необходимо использовать только такие ресурсы, как просмотр состояния запланированного конвейера приема Фабрики данных или чтение файлов данных в Data Lake Storage 2-го поколения.
Не предоставляйте ненужный доступ в области действия подписки: эта область охватывает все ресурсы в подписке.
Согласие на доступ с минимальными правами: выберите верную и единственную роль для задания.