Vad är Rollbaserad åtkomstkontroll i Synapse (RBAC)?
Synapse RBAC utökar funktionerna i Azure RBAC för Synapse-arbetsytor och deras innehåll.
Azure RBAC används för att hantera vem som kan skapa, uppdatera eller ta bort Synapse-arbetsytan och dess SQL-pooler, Apache Spark-pooler och integrationskörningar.
Synapse RBAC används för att hantera vem som kan:
- Publicera kodartefakter och lista eller få åtkomst till publicerade kodartefakter,
- Kör kod på Apaches Spark-pooler och integrationskörningar,
- Åtkomst till länkade tjänster (data) som skyddas av autentiseringsuppgifter
- Övervaka eller avbryta jobbkörning, granska jobbutdata och körningsloggar.
Anteckning
Synapse RBAC används för att hantera åtkomst till publicerade SQL-skript, men ger endast begränsad åtkomstkontroll till serverlösa och dedikerade SQL-pooler. Åtkomst till SQL-pooler styrs främst med SQL-säkerhet.
Vad kan jag göra med Synapse RBAC?
Här är några exempel på vad du kan göra med Synapse RBAC:
- Tillåt att en användare publicerar ändringar som gjorts i Apache Spark-notebook-filer och jobb i livetjänsten.
- Tillåt att en användare kör och avbryter notebook-filer och spark-jobb i en specifik Apache Spark-pool.
- Tillåt en användare att använda specifika autentiseringsuppgifter så att de kan köra pipelines som skyddas av arbetsytans systemidentitet och komma åt data i länkade tjänster som skyddas med autentiseringsuppgifter.
- Tillåt en administratör att hantera, övervaka och avbryta jobbkörning på specifika Spark-pooler.
Så här fungerar Synapse RBAC
Liksom Azure RBAC fungerar Synapse RBAC genom att skapa rolltilldelningar. En rolltilldelning består av tre element: ett säkerhetsobjekt, en rolldefinition och ett omfång.
Säkerhetsobjekt
Ett säkerhetsobjekt är en användare, grupp, tjänstens huvudnamn eller hanterad identitet.
Roller
En roll är en samling behörigheter eller åtgärder som kan utföras på specifika resurstyper eller artefakttyper.
Synapse tillhandahåller inbyggda roller som definierar samlingar med åtgärder som matchar behoven hos olika personer:
- Administratörer kan få fullständig åtkomst för att skapa och konfigurera en arbetsyta
- Utvecklare kan skapa, uppdatera och felsöka SQL-skript, notebook-filer, pipelines och dataflöden, men de kan inte publicera eller köra den här koden på produktionsberäkningsresurser/data
- Operatörer kan övervaka och hantera systemstatus, programkörning och granskningsloggar, utan åtkomst till kod eller utdata från körningen.
- Säkerhetspersonal kan hantera och konfigurera slutpunkter utan att ha åtkomst till kod, beräkningsresurser eller data.
Läs mer om de inbyggda Synapse-rollerna.
Omfattningar
Ett omfång definierar de resurser eller artefakter som åtkomsten gäller för. Azure Synapse stöder hierarkiska omfång. Behörigheter som beviljas på en högre nivå ärvs av objekt på en lägre nivå. I Synapse RBAC är omfånget på den översta nivån en arbetsyta. Om du tilldelar en roll med arbetsyteomfånget får du behörighet till alla tillämpliga objekt på arbetsytan.
Aktuella omfång som stöds på en arbetsyta är:
- Apache Spark-pool
- Integration runtime
- länkad tjänst
- credential
Åtkomst till kodartefakter beviljas med arbetsytans omfång. Det går att bevilja åtkomst till samlingar av artefakter på en arbetsyta i en senare version.
Lösa rolltilldelningar för att fastställa behörigheter
En rolltilldelning ger ett huvudnamn de behörigheter som definieras av rollen i det angivna omfånget.
Synapse RBAC är en additiv modell som Azure RBAC. Flera roller kan tilldelas till ett enda huvudnamn och i olika omfång. När du beräknar behörigheterna för ett säkerhetsobjekt tar systemet hänsyn till alla roller som tilldelats till huvudkontot och till grupper som direkt eller indirekt inkluderar huvudkontot. Den tar också hänsyn till omfånget för varje tilldelning för att fastställa vilka behörigheter som gäller.
Framtvinga tilldelade behörigheter
I Synapse Studio kan specifika knappar eller alternativ vara nedtonade eller så kan ett behörighetsfel returneras när du försöker utföra en åtgärd om du inte har de behörigheter som krävs.
Om en knapp eller ett alternativ är inaktiverat visas en knappbeskrivning med nödvändig behörighet när du hovrar över knappen eller alternativet. Kontakta en Synapse-administratör för att tilldela en roll som ger den behörighet som krävs. Du kan se de roller som tillhandahåller specifika åtgärder, se Synapse RBAC-roller.
Vem kan tilldela Synapse RBAC-roller?
Synapse-administratörer kan tilldela Synapse RBAC-roller. En Synapse-administratör på arbetsytenivå kan bevilja åtkomst i valfritt omfång. En Synapse-administratör med ett omfång på lägre nivå kan bara bevilja åtkomst i det omfånget.
När en ny arbetsyta skapas får skaparen automatiskt rollen Synapse-administratör på arbetsytans omfång.
För att hjälpa dig att få åtkomst till en arbetsyta i händelse av att inga Synapse-administratörer tilldelas eller är tillgängliga för dig, kan användare med behörighet att hantera Azure RBAC-rolltilldelningar på arbetsytan också hantera Rolltilldelningar för Synapse RBAC, vilket tillåter tillägg av Synapse-administratör eller andra Synapse-rolltilldelningar.
Var hanterar jag Synapse RBAC?
Synapse RBAC hanteras inifrån Synapse Studio med hjälp av verktygen för åtkomstkontroll i hantera hubben.
Nästa steg
Förstå de inbyggda Synapse RBAC-rollerna.
Lär dig hur du granskar Rolltilldelningar för Synapse RBAC för en arbetsyta.