Что такое управление доступом на основе ролей в Synapse (RBAC)?
Механизм RBAC в Synapse расширяет возможности Azure RBAC для рабочих областей Synapse и их содержимого.
Azure RBAC используется для управления пользователями, которые могут создавать, обновлять или удалять рабочую область Synapse и ее пулы SQL, пулы Apache Spark и среду выполнения интеграции.
Механизм RBAC в Synapse используется для управления пользователями, которые могут делать следующее:
- публиковать артефакты кода и перечислять опубликованные артефакты кода или получать к ним доступ;
- выполнять код в пулах Apache Spark и средах выполнения интеграции;
- получать доступ к связанным службам (данных), защищенным с помощью учетных данных;
- выполнять мониторинг или отмену выполнения задания, просматривать выходные данные задания и журналы выполнения.
Примечание
Хотя механизм RBAC в Synapse используется для управления доступом к опубликованным скриптам SQL, он обеспечивает только ограниченное управление доступом к бессерверным и выделенным пулам SQL. Доступ к пулам SQL в основном контролируется с помощью системы безопасности SQL.
Какие возможности предоставляет механизм RBAC в Synapse?
Вот примеры того, что можно выполнять с помощью RBAC в Synapse:
- Позволяет пользователю публиковать изменения, внесенные в записные книжки и задания Apache Spark в активной службе.
- Позволяет пользователю выполнять и отменять записные книжки и задания Spark в определенном пуле Apache Spark.
- Позволяет пользователю использовать определенные учетные данные для запуска конвейеров, защищенных удостоверением системы рабочей области, и получать доступ к данным в связанных службах, защищенных с помощью учетных данных.
- Позволяет администратору отслеживать и отменять выполнение заданий, а также управлять им в определенных пулах Spark.
Принцип работы RBAC в Synapse
Как и в случае с Azure RBAC, Synapse RBAC работает путем создания назначений ролей. Чтобы создать назначение ролей, требуются три элемента: субъект безопасности, определение роли и область действия.
Субъекты безопасности
Субъектом безопасности является пользователь, группа, субъект-служба или управляемое удостоверение.
Роли
Роль — это коллекция разрешений или действий, которые можно выполнять с конкретными типами ресурсов или типами артефактов.
Synapse предоставляет встроенные роли, определяющие коллекции действий, которые соответствуют потребностям различных пользователей:
- Администраторы могут получить полный доступ для создания и настройки рабочей области.
- Разработчики могут создавать, обновлять и отлаживать скрипты SQL, записные книжки, конвейеры и потоки данных, но не могут публиковать или выполнять этот код в рабочих вычислительных ресурсах или данных.
- Операторы могут отслеживать состояние системы, выполнение приложения и журналы проверок и управлять всем этим без доступа к коду или выходным данным выполнения.
- Персонал безопасности может настраивать конечные точки и управлять ими без доступа к коду, вычислительным ресурсам или данным.
Узнайте больше о встроенных ролях в Synapse.
Области действия
Область определяет ресурсы и артефакты, к которым предоставляется доступ. Azure Synapse поддерживает иерархические области. Разрешения, предоставленные в области более высокого уровня, наследуются объектами более низкого уровня. В Synapse RBAC областью верхнего уровня является рабочая область. При назначении роли с областью действия в рабочей области разрешения предоставляются всем применимым объектам в рабочей области.
Текущие поддерживаемые области в рабочей области:
- Пул Apache Spark
- Среда выполнения интеграции
- linked service
- учетные данные
Доступ к артефактам кода предоставляется на уровне области действия рабочей области. Предоставление доступа к коллекциям артефактов в рамках рабочей области будет поддерживаться в более позднем выпуске.
Выделение назначений ролей для определения разрешений
Назначение ролей предоставляет субъекту разрешения, определенные ролью в указанной области.
Synapse RBAC — это аддитивная модель, такая как Azure RBAC. Одному субъекту в разных областях можно назначить несколько ролей. При вычислении разрешений субъекта безопасности система учитывает все роли, назначенные субъекту и группам, которые напрямую или косвенно включают субъект. Она также учитывает область каждого назначения при определении применяемых разрешений.
Применение назначенных разрешений
В Synapse Studio определенные кнопки или параметры могут быть неактивны или при выполнении действия могут возникать ошибки, связанные с разрешениями, если у вас нет необходимых разрешений.
Если кнопка или параметр отключены, при наведении указателя мыши на кнопку или параметр отображается подсказка с требуемым разрешением. Обратитесь к администратору Synapse, чтобы назначить роль, которая предоставляет необходимые разрешения. Сведения о ролях, предоставляющих конкретные действия, см. в статье Роли Synapse RBAC.
Кто может назначать роли RBAC в Synapse?
Администраторы Synapse может назначать роли RBAC в Synapse. Администратор Synapse на уровне рабочей области может предоставлять доступ в любой области. Администратор Synapse в области более низкого уровня может предоставлять доступ только в этой области.
При создании рабочей области создатель автоматически получает роль администратора Synapse в области действия рабочей области.
Чтобы вы могли восстановить доступ к рабочей области в случае, если роль администратора Synapse не назначена или недоступна вам, пользователи с разрешениями на управление назначениями ролей RBAC Azure в рабочей области также могут управлять назначениями ролей RBAC Synapse. Это позволяет им добавлять администраторов Synapse или другие назначения ролей Synapse.
Где можно управлять RBAC в Synapse?
Управление RBAC в Synapse осуществляется из Synapse Studio с помощью средств управления доступом в центре управления.
Дальнейшие действия
Изучите встроенные роли RBAC в Synapse.
Узнайте, как просматривать назначения ролей RBAC в Synapse для рабочей области.
Узнайте, как назначать роли RBAC в Synapse.