Kimlik ve erişim yönetimi
Bu makalede, kimlik ve erişim yönetimi için tasarımla ilgili önemli noktalar ve öneriler incelenmektedir. Microsoft Azure'da bulut ölçeğinde bir analiz platformunun dağıtımına odaklanır. Bulut ölçeğinde analiz, görev açısından kritik bir öğe olduğundan, Azure giriş bölgesi tasarım alanlarıyla ilgili yönergeler de tasarımınıza dahil edilmelidir.
Bu makalede Azure giriş bölgeleri hakkında dikkat edilmesi gerekenler ve öneriler ele alınmaktadır. Daha fazla bilgi için bkz . Kimlik ve erişim yönetimi.
Veri giriş bölgesi tasarımı
Bulut ölçeğinde analiz, Microsoft Entra kimliklerini kullanan bir erişim denetimi modelini destekler. Model hem Azure rol tabanlı erişim denetimini (Azure RBAC) hem de erişim denetimi listelerini (ACL) kullanır.
Ekiplerinizin gerçekleştirdiği Azure yönetim ve yönetim etkinliklerini gözden geçirin. Azure'da bulut ölçeğindeki analizlerinizi göz önünde bulundurun. Kuruluşunuzdaki sorumlulukların mümkün olan en iyi dağıtımını belirleyin.
Rol atamaları
Veri platformunda veri ürünlerini otonom olarak geliştirmek, sunmak ve sunmak için veri uygulaması ekipleri Azure ortamında az sayıda erişim hakkı gerektirir. İlgili RBAC gereksinimlerine geçmeden önce, geliştirme ve daha yüksek ortamlar için farklı erişim modellerinin kullanılması gerektiği vurgulanmalıdır. Ayrıca, rol atamalarının sayısını azaltmak ve RBAC haklarının yönetimini ve gözden geçirme sürecini basitleştirmek için mümkün olduğunca güvenlik grupları kullanılmalıdır. Abonelik başına oluşturulabilecek rol atamalarının sınırlı sayıda olması nedeniyle bu kritik öneme sahiptir.
Geliştirme ekibinin ve ilgili kullanıcı kimliklerinin daha hızlı yineleme yapmasına, Azure hizmetlerindeki belirli özellikler hakkında bilgi edinebilmesine ve sorunları etkili bir şekilde gidermesine olanak tanımak için geliştirme ortamına erişim izni verilmelidir. Bir geliştirme ortamına erişim, kod olarak altyapıyı (IaC) ve diğer kod yapıtlarını geliştirirken veya geliştirirken yardımcı olur. Geliştirme ortamındaki bir uygulama beklendiği gibi çalıştığında, daha yüksek ortamlara sürekli olarak dağıtılabilir. Test ve üretim gibi daha yüksek ortamların veri uygulaması ekibi için kilitlenmesi gerekir. Yalnızca bir hizmet sorumlusunun bu ortamlara erişimi olmalıdır ve bu nedenle tüm dağıtımlar CI/CD işlem hatları kullanılarak hizmet sorumlusu kimliği aracılığıyla yürütülmelidir. Özetlemek gerekirse, geliştirme ortamında erişim hakları bir hizmet sorumlusuNA VE kullanıcı kimliklerine sağlanmalıdır ve daha yüksek ortamlarda erişim hakları yalnızca hizmet sorumlusu kimliğine sağlanmalıdır.
Veri uygulaması kaynak grupları Contributor içindeki kaynaklar arasında kaynak ve rol atamaları oluşturabilmek için ve User Access Administrator haklar sağlanmalıdır. Bu, ekiplerin Azure İlkesi sınırları içinde ortamlarında hizmet oluşturmasına ve denetlemesine olanak tanır. Bulut ölçeğinde analiz, veri sızdırma riskini aşmak için özel uç noktaların kullanılmasını önerir ve diğer bağlantı seçeneklerinin ilkeler aracılığıyla Azure platform ekibi tarafından engellenmesi gerektiğinden, veri uygulama ekipleri kullanmayı planladıkları hizmetler için gerekli ağ bağlantısını başarıyla kurabilmek için veri giriş bölgesinin paylaşılan sanal ağına erişim hakları gerektirir. En az ayrıcalık ilkesini izlemek, farklı veri uygulaması ekipleri arasındaki çakışmaların üstesinden gelmek ve takımlar arasında net bir ayrım yapmak için bulut ölçeğinde analiz, veri uygulaması ekibi başına ayrılmış bir alt ağ oluşturmayı ve bu alt ağa (alt kaynak kapsamı) rol Network Contributor ataması oluşturmayı önerir. Bu rol ataması, ekiplerin özel uç noktaları kullanarak alt ağa katılmasını sağlar.
Bu iki ilk rol ataması, bu ortamlar içinde veri hizmetlerinin self servis dağıtımını etkinleştirir. Maliyet yönetimi endişesini gidermek için kuruluşların çapraz ücretlendirme ve dağıtılmış maliyet sahipliğini etkinleştirmek için kaynak gruplarına bir maliyet merkezi etiketi eklemesi gerekir. Bu, ekipler içinde farkındalığı artırarak gerekli SKU'lar ve hizmet katmanlarıyla ilgili doğru kararları almalarını sağlar.
Veri giriş bölgesi içindeki diğer paylaşılan kaynakların self servis kullanımını etkinleştirmek için birkaç ek rol ataması gerekir. Databricks ortamına erişim gerekiyorsa, kuruluşlar erişim sağlamak için Microsoft Entra Id'den SCIM Synch'i kullanmalıdır. Bu mekanizma, kullanıcıları ve grupları Microsoft Entra Id'den Databricks veri düzlemine otomatik olarak eşitlediğinde ve bir kişi kuruluştan veya işletmeden ayrıldığında erişim haklarını otomatik olarak kaldırdığında bu önemlidir. Azure Databricks'te ayrı kullanıcı hesapları kullanılıyorsa bu durum geçerli olamaz. Veri uygulaması ekipleri ve içindeki Databricks çalışma alanına shared-product-rgshared-integration-rgeklenmelidir. Azure Databricks'in içinde, çalışma alanı içinde iş yüklerini çalıştırabilmek için veri uygulaması ekiplerine önceden tanımlanmış bir kümeye erişim hakları verilmelidir Can Restart .
Tek tek ekiplerin ilgili veri giriş bölgelerindeki veri varlıklarını keşfetmek için merkezi Purview hesabına erişmesi gerekir. Bu nedenle, ekiplerin Purview üst düzey koleksiyonuna olarak Data Reader eklenmesi gerekir. Buna ek olarak, ekipler çoğu durumda veri sahiplerinin ve uzmanların iletişim bilgileri gibi ek ayrıntıların yanı sıra veri kümesindeki hangi sütunların açıklandığı ve hangi bilgileri içerdikleri hakkında daha ayrıntılı ayrıntılar sağlamak için sahip oldukları kataloglanmış veri varlıklarını düzenleme seçeneğine ihtiyaç duyar.
Rol tabanlı erişim denetimi gereksinimlerinin özeti
Veri giriş bölgelerini dağıtmaya yönelik otomasyon amaçları için şu rollere ihtiyacınız vardır:
Rol adı
Açıklama
Scope
Tüm veri hizmetleri için tüm özel DNS bölgelerini tek bir aboneliğe ve kaynak grubuna dağıtın. Hizmet sorumlusunun, veri yönetimi giriş bölgesi dağıtımı sırasında oluşturulan genel DNS kaynak grubunda olması Private DNS Zone Contributor gerekir. Bu rol, özel uç noktalar için A kayıtlarını dağıtmak için gereklidir.
(Kaynak grubu kapsamı) /subscriptions/{{dataManagement}subscriptionId}/resourceGroups/{resourceGroupName}
Veri giriş bölgesi ağı ile veri yönetimi giriş bölgesi ağı arasında sanal ağ eşlemesi ayarlamak için, hizmet sorumlusunun uzak sanal ağın kaynak grubunda erişim haklarına ihtiyacı vardır Network Contributor .
(Kaynak grubu kapsamı) /subscriptions/{{dataManagement}subscriptionId}/resourceGroups/{resourceGroupName}
Bu izin, kaynak grubuna integration-rg dağıtılan şirket içinde barındırılan tümleştirme çalışma zamanını diğer veri fabrikalarıyla paylaşmak için gereklidir. Ayrıca ilgili depolama hesabı dosya sistemlerinde Azure Data Factory ve Azure Synapse Analytics yönetilen kimliklerine erişim atamak da gerekir.
(Kaynak kapsamı) /subscriptions/{{dataLandingZone}subscriptionId}
Not
Bir üretim senaryosunda rol atamalarının sayısı azaltılabilir. Rol ataması Network Contributor yalnızca veri yönetimi giriş bölgesi ile veri giriş bölgesi arasında sanal ağ eşlemesini ayarlamak için gereklidir. Bu dikkate alınmadan DNS çözümlemesi çalışmaz. Azure Güvenlik Duvarı hiçbir görüş çizgisi olmadığından gelen ve giden trafik bırakılır.
Private DNS Zone Contributor Ayrıca, özel uç noktaların DNS A kayıtlarının dağıtımı Azure ilkeleri deployIfNotExists aracılığıyla etkili bir şekilde otomatikleştirilmişse de gerekli değildir. Dağıtım ilkeler kullanılarak deployIfNotExists otomatikleştirilebilir çünkü için de aynı durum geçerlidirUser Access Administrator.
Veri ürünleri için rol atamaları
Veri giriş bölgesi içinde bir veri ürününü dağıtmak için aşağıdaki rol atamaları gereklidir:
Rol adı
Açıklama
Scope
Tüm veri hizmetleri için tüm özel DNS bölgelerini tek bir aboneliğe ve kaynak grubuna dağıtın. Hizmet sorumlusunun, veri yönetimi giriş bölgesi dağıtımı sırasında oluşturulan genel DNS kaynak grubunda olması Private DNS Zone Contributor gerekir. İlgili özel uç noktalar için A kayıtlarını dağıtmak için bu rol gereklidir.
(Kaynak grubu kapsamı) /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}
Tüm veri tümleştirme akış hizmetlerini veri giriş bölgesi aboneliği içinde tek bir kaynak grubuna dağıtın. Hizmet sorumlusu, bu kaynak grubunda bir Contributor rol ataması gerektirir.
(Kaynak grubu kapsamı) /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}
Özel uç noktaları, veri giriş bölgesi dağıtımı sırasında oluşturulan belirtilen Özel Bağlantı alt ağında dağıtmak için hizmet sorumlusunun bu alt ağa erişmesi Network Contributor gerekir.
(Alt kaynak kapsamı) /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName} /providers/Microsoft.Network/virtualNetworks/{virtualNetworkName}/subnets/{subnetName}"
Diğer kaynaklara erişim
Azure dışında, Veri Ürünü ve Veri Entegrasyonu ekipleri de kod yapıtlarını depolamak, etkili bir şekilde işbirliği yapmak ve CI/CD aracılığıyla güncelleştirmeleri ve değişiklikleri daha yüksek ortamlara tutarlı bir şekilde dağıtmak için bir depoya erişim gerektirir. Buna ek olarak, çevik geliştirme, sprint planlaması, görevlerin izlenmesi ve kullanıcı geri bildirimleri ile özellik istekleri için bir proje panosu sağlanmalıdır.
Son olarak CI/CD otomasyonu, hizmet ilkeleri aracılığıyla çoğu hizmette gerçekleştirilen azure bağlantısının ayarlanmasını gerektirir. Bu nedenle ekipler, projelerinde otomasyona ulaşmak için bir hizmet ilkesine erişime ihtiyaç duyar.
Verilere erişimi yönetme
Verilere erişimi yönetme işlemi Microsoft Entra grupları kullanılarak yapılmalıdır. Microsoft Entra gruplarına kullanıcı ilkesi adları veya hizmet asıl adları ekleyin. Grupları hizmetlere ekleyin ve gruba izin verin. Bu yaklaşım ayrıntılı erişim denetimi sağlar.
Azure veri göllerindeki veri ürünleri için erişim denetim listelerini (ACL' ler) kullanmayı göz önünde bulundurun. Daha fazla bilgi için bkz. Azure Data Lake Storage 2. Nesil'de erişim denetimi modeli. Erişim denetimi listeleriyle Microsoft Entra geçişini kullanmak Azure Machine Learning, Azure Synapse SQL Sunucusuz, Azure Synapse için Apache Spark ve Azure Databricks gibi çoğu yerel Azure hizmeti tarafından desteklenir.
Bulut ölçeğinde analizde büyük olasılıkla diğer çok teknolojili depolama alanı kullanılmaktadır. Örnek olarak PostgreSQL için Azure Veritabanı, MySQL için Azure Veritabanı, Azure SQL Veritabanı, SQL Yönetilen Örneği ve Azure Synapse SQL Ayrılmış Havuzları verilebilir. Veri ürünlerini depolamak için veri uygulaması ekipleri tarafından kullanılabilir.
- PostgreSQL için Azure Veritabanı ile kimlik doğrulaması için Microsoft Entra Id kullanma
- Azure SQL Veritabanı, SQL Yönetilen Örneği ve Azure Synapse Analytics ile Microsoft Entra kimlik doğrulamayı kullanma
- MySQL için Azure Veritabanı ile kimlik doğrulaması için Microsoft Entra Kimliğini kullanma
Tek tek Microsoft Entra kullanıcı hesapları yerine veritabanı nesnelerinin güvenliğini sağlamak için Microsoft Entra gruplarını kullanmanızı öneririz. Bu Microsoft Entra grupları, kullanıcıların kimliğini doğrulamak ve veritabanı nesnelerinin korunmasına yardımcı olmak için kullanılır. Data Lake desenine benzer şekilde, Microsoft Entra hizmetinizde bu grupları oluşturmak için etki alanınızı veya veri ürünlerinizi ekleme özelliğini kullanabilirsiniz.
Bu yaklaşım aynı zamanda tek bir yönetim konumu sağlar ve Azure Graph içindeki erişim haklarının gözden geçirilmesine olanak tanır.
Veri yönetimi giriş bölgeleri ve veri varlıklarınızı yöneten veri giriş bölgeleri için güvenliği sağlama hakkında daha fazla bilgi için bkz . Azure'da bulut ölçeğinde analiz için güvenlik sağlama.