Azure Synapse erişim denetimi
Bu makalede, Azure Synapse işlem kaynaklarına ve verilerine erişimi denetlemek için kullanılabilen mekanizmalara genel bir bakış sağlanır.
Genel Bakış
Azure Synapse şunları tümleştirebilen kapsamlı ve ayrıntılı bir erişim denetimi sistemi sunar:
- Kaynak yönetimi ve depolamadaki verilere erişim için Azure rolleri,
- Koda ve yürütmeye canlı erişimi yönetmek için Synapse rolleri,
- SQL havuzlarındaki verilere veri düzlemi erişimi için SQL rolleri ve
- Sürekli tümleştirme ve dağıtım desteği dahil olmak üzere kaynak kodu denetimi için Git izinleri.
Azure Synapse rolleri, farklı kapsamlarda uygulanabilecek izin kümeleri sunar. Bu ayrıntı düzeyi yöneticilere, geliştiricilere, güvenlik personeline ve işleçlere işlem kaynakları ve veriler için uygun erişimin verilmesini kolaylaştırır.
Erişim denetimi, kişilerin iş rolleriyle uyumlu güvenlik grupları kullanılarak basitleştirilebilir. Erişimi yönetmek için yalnızca uygun güvenlik gruplarına kullanıcı eklemeniz ve kaldırmanız gerekir.
Erişim denetimi öğeleri
Azure Synapse işlem kaynaklarını oluşturma ve yönetme
Azure rolleri şu işlemlerin yönetimini denetlemek için kullanılır:
- Ayrılmış SQL havuzları
- Veri Gezgini havuzları
- Apache Spark havuzları
- Tümleştirme çalışma zamanları
Bu kaynakları oluşturmak için kaynak grubunda Azure Sahibi veya Katkıda Bulunanı olmanız gerekir. Bunları oluşturduktan sonra yönetmek için kaynak grubunda veya tek tek kaynaklarda Azure Sahibi veya Katkıda Bulunanı olmanız gerekir.
Azure Sahibi veya Katkıda Bulunanı, Azure Synapse çalışma alanları için Microsoft Entra-only kimlik doğrulamasını etkinleştirebilir veya devre dışı bırakabilir. Microsoft Entra-only kimlik doğrulaması hakkında daha fazla bilgi için bkz . Azure Synapse Analytics'te yerel kimlik doğrulamasını devre dışı bırakma.
Azure Synapse'te kod geliştirme ve yürütme
Synapse iki geliştirme modeli destekler.
- Synapse canlı geliştirme. Synapse Studio'da kod geliştirip hatalarını ayıklar ve ardından kaydetmek ve yürütmek için yayımlarsınız . Synapse hizmeti, kod düzenleme ve yürütme için gerçeğin kaynağıdır. Synapse Studio'yu kapattığınızda yayımlanmamış tüm çalışmalar kaybolur.
- Git özellikli geliştirme. Synapse Studio'da kod geliştirip hatalarını ayıklar ve git deposunun çalışma dalında değişiklikleri işlersiniz . Bir veya daha fazla daldan çalışma, hizmette yayımladığınız bir işbirliği dalı ile tümleştirilir. Git deposu kod düzenleme için gerçeğin kaynağı, hizmet ise yürütme için gerçeğin kaynağıdır. Synapse Studio kapatılmadan önce değişikliklerin Git deposunda işlenmesi veya hizmette yayımlanması gerekir. Git ile Synapse Analytics'i kullanma hakkında daha fazla bilgi edinin.
Her iki geliştirme modelinde de Synapse Studio erişimi olan tüm kullanıcılar kod yapıtları oluşturabilir. Ancak, yapıtları hizmete yayımlamak, yayımlanan yapıtları okumak, Git'e değişiklikleri işlemek, kod yürütmek ve kimlik bilgileriyle korunan bağlı verilere erişmek için ek izinlere ihtiyacınız vardır. Synapse ile git deposunu yapılandırmak, düzenlemek ve bağlantısını kesmek için kullanıcıların Synapse çalışma alanında Azure Katkıda Bulunanı (Azure RBAC) veya daha yüksek rolü olmalıdır.
Azure Synapse rolleri
Azure Synapse rolleri, Synapse hizmetine erişimi denetlemek için kullanılır. Farklı roller size şu izinleri verebilir:
- Yayımlanan kod yapıtlarını listeleyin,
- Kod yapıtlarını, bağlı hizmetleri ve kimlik bilgisi tanımlarını yayımlama,
- Synapse işlem kaynaklarını kullanan kodu veya işlem hatlarını yürütme,
- Kimlik bilgileriyle korunan bağlı verilere erişen kodu veya işlem hatlarını yürütür,
- Yayımlanan kod yapıtlarıyla ilişkili çıkışları görüntüleyin,
- İşlem kaynağı durumunu izleyin ve çalışma zamanı günlüklerini görüntüleyin.
Azure Synapse rolleri, belirli Azure Synapse kaynaklarına verilen izinleri sınırlamak için çalışma alanı kapsamında veya daha ayrıntılı kapsamlarda atanabilir.
Git izinleri
Git modunda Git özellikli geliştirmeyi kullanırken, bağlı hizmet ve kimlik bilgisi tanımları da dahil olmak üzere kod yapıtlarını okumak için Synapse Kullanıcı veya Synapse RBAC (rol tabanlı erişim denetimi) rollerine ek olarak Git izinlerine ihtiyacınız vardır. Git modunda kod yapıtlarında değişiklikleri işlemek için Git izinlerine ve Synapse Artifact Publisher (Synapse RBAC) rolüne sahip olmanız gerekir.
SQL'de verilere erişme
Ayrılmış ve sunucusuz SQL havuzlarıyla çalışırken, veri düzlemi erişimi SQL izinleri kullanılarak denetlenmektedir.
Çalışma alanını oluşturan kullanıcı çalışma alanında Active Directory Yöneticisi olarak atanır. Oluşturma sonrasında, bu rol Azure portalda farklı bir kullanıcıya veya güvenlik grubuna atanabilir.
Sunucusuz SQL havuzları: Synapse Yönetici istrator'lara sunucusuz SQL havuzunda (DBO) 'Yerleşik' izinleri verilir db_owner . Diğer kullanıcılara sunucusuz SQL havuzuna erişim vermek için Synapse yöneticilerinin sunucusuz havuzda SQL betikleri çalıştırması gerekir.
Ayrılmış SQL havuzları: Synapse Yönetici istrator'lar, ayrılmış SQL havuzlarındaki verilere tam erişime ve diğer kullanıcılara erişim izni verme özelliğine sahiptir. Synapse Yönetici istrator'lar, veritabanlarını bırakma dışında ayrılmış havuzlarda yapılandırma ve bakım etkinlikleri de gerçekleştirebilir. Active Directory Yönetici izni, çalışma alanını oluşturana ve çalışma alanı MSI'sine verilir. Ayrılmış SQL havuzlarına erişim izni aksi takdirde otomatik olarak verilmez. Diğer kullanıcılara veya gruplara ayrılmış SQL havuzlarına erişim vermek için Active Directory Yönetici veya Synapse Yönetici istrator'ın her ayrılmış SQL havuzunda SQL betikleri çalıştırması gerekir.
SQL havuzlarında SQL izinleri vermek için SQL betiklerinin örnekleri için bkz . Synapse Erişim Denetimi'ni ayarlama.
Veri Gezgini havuzlarındaki verilere erişme
Veri Gezgini havuzlarıyla çalışırken, veri düzlemi erişimi Veri Gezgini izinler aracılığıyla denetlenmektedir. Synapse Yönetici istrator'lara Veri Gezgini havuzları üzerinde izinler verilirAll Database admin. Diğer kullanıcılara veya gruplara Veri Gezgini havuzlarına erişim vermek için Synapse yöneticileri Güvenlik rolleri yönetimine başvurmalıdır. Veri düzlemi erişimi hakkında daha fazla bilgi için bkz. erişim denetimine genel bakış Veri Gezgini.
Depolamada sistem tarafından yönetilen verilere erişme
Sunucusuz SQL havuzları ve Apache Spark tabloları, verilerini çalışma alanıyla ilişkilendirilmiş bir ADLS 2. Nesil kapsayıcısında depolar. Kullanıcı tarafından yüklenen Apache Spark kitaplıkları da aynı depolama hesabında yönetilir. Bu kullanım örneklerini etkinleştirmek için kullanıcılara ve çalışma alanı MSI'sine bu çalışma alanı ADLS 2. Nesil depolama kapsayıcısına Depolama Blob Veri Katkıda Bulunanı erişimi verilmelidir.
En iyi yöntem olarak güvenlik gruplarını kullanma
Erişim denetimini yönetmeyi basitleştirmek için güvenlik gruplarını kullanarak kişilere ve gruplara rol atayabilirsiniz. Kuruluşunuzda Synapse kaynaklarına veya yapıtlarına erişmesi gereken kişi veya iş işlevlerini yansıtmak için güvenlik grupları oluşturulabilir. Bu kişi tabanlı güvenlik gruplarına bir veya daha fazla Azure rolü, Synapse rolü, SQL izinleri veya Git izinleri atanabilir. İyi seçilmiş güvenlik gruplarıyla, uygun güvenlik grubuna ekleyerek kullanıcıya gerekli izinleri atamak kolaydır.
Dekont
Erişimi yönetmek için güvenlik grupları kullanılıyorsa, değişiklikler yürürlüğe girmeden önce Microsoft Entra ID tarafından sunulan ek gecikme süresi vardır.
Synapse Studio'da erişim denetimi zorlaması
Synapse Studio, izinlerinize ve geçerli moda göre farklı davranır:
- Synapse canlı modu: Synapse Studio, gerekli izne sahip değilseniz yayımlanan içeriği görmenizi, içerik yayımlamanızı veya başka eylemler gerçekleştirmenizi engeller. Bazı durumlarda, kullanamamanıza veya kaydedememenize neden olan kod yapıtları oluşturmanız engellenir.
- Git modu: Değişiklikleri geçerli dalda işlemenize olanak sağlayan Git izinleriniz varsa, değişiklikleri canlı hizmette yayımlama izniniz varsa işleme eylemine izin verilir (Synapse Artifact Publisher rolü).
Bazı durumlarda, yayımlama veya işleme izni olmadan bile kod yapıtları oluşturmanıza izin verilir. Bu, kod yürütmenizi sağlar (gerekli yürütme izinleriyle). Ortak görevler için gereken roller hakkında daha fazla bilgi için bkz . Azure Synapse'te ortak görevleri gerçekleştirmek için gereken rolleri anlama.
Synapse Studio'da bir özellik devre dışı bırakılırsa, araç ipucu gerekli izni gösterir. Eksik izni sağlamak için hangi rolün gerekli olduğunu aramak için Synapse RBAC rolleri kılavuzunu kullanın.
Sonraki adımlar
- Synapse RBAC hakkında daha fazla bilgi edinin
- Synapse RBAC rolleri hakkında daha fazla bilgi edinin
- Güvenlik gruplarını kullanarak Synapse Çalışma Alanı için erişim denetimini ayarlamayı öğrenin.
- Synapse RBAC rol atamalarını gözden geçirmeyi öğrenin
- Synapse RBAC rol atamalarını yönetmeyi öğrenin
Geri Bildirim
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz. https://aka.ms/ContentUserFeedback.
Gönderin ve geri bildirimi görüntüleyin