Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Synapse RBAC, Synapse çalışma alanları ve içeriği için Azure RBAC'nin özelliklerini genişletir.
Azure RBAC, Synapse çalışma alanını ve SQL havuzlarını, Apache Spark havuzlarını ve Tümleştirme çalışma zamanlarını kimlerin oluşturabileceğini, güncelleştirebileceğini veya silebileceğini yönetmek için kullanılır.
Synapse RBAC, kimlerin yapabileceklerini yönetmek için kullanılır:
- Kod yapıtlarını yayımlayın ve yayımlanan kod yapıtlarını listeleyin veya bu yapıtlara erişin,
- Apache Spark havuzlarında ve Tümleştirme çalışma zamanlarında kod yürütür,
- Kimlik bilgileriyle korunan bağlantılı (veri) hizmetlere erişme
- İş yürütmeyi izleyin veya iptal edin, iş çıktılarını ve yürütme günlüklerini gözden geçirin.
Not
Yayımlanan SQL betiklerine erişimi yönetmek için Synapse RBAC kullanılır ancak sunucusuz ve ayrılmış SQL havuzlarına yalnızca sınırlı erişim denetimi sağlar. SQL havuzlarına erişim öncelikli olarak SQL güvenliği kullanılarak denetlenmektedir.
Synapse RBAC ile ne yapabilirim?
Synapse RBAC ile yapabileceklerinizle ilgili bazı örnekler aşağıda verilmiştir:
- Kullanıcının Apache Spark not defterlerinde ve işlerinde yapılan değişiklikleri canlı hizmette yayımlamasına izin verin.
- Kullanıcının belirli bir Apache Spark havuzunda not defterlerini ve Spark işlerini çalıştırmasına ve iptal etmesine izin verin.
- Kullanıcının çalışma alanı sistem kimliği tarafından güvenliği sağlanan işlem hatlarını çalıştırabilmesi ve kimlik bilgileriyle güvenliği sağlanan bağlı hizmetlerdeki verilere erişebilmesi için belirli kimlik bilgilerini kullanmasına izin verin.
- Bir yöneticinin belirli Spark Havuzlarında iş yürütmesini yönetmesine, izlemesine ve iptal etmesine izin verin.
Synapse RBAC nasıl çalışır?
Azure RBAC gibi Synapse RBAC de rol atamaları oluşturarak çalışır. Rol ataması üç öğeden oluşur: güvenlik sorumlusu, rol tanımı ve kapsam.
Güvenlik Sorumluları
Güvenlik sorumlusu bir kullanıcı, grup, hizmet sorumlusu veya yönetilen kimliktir.
Roller
Rol, belirli kaynak türlerinde veya yapıt türlerinde gerçekleştirilebilecek izinlerden veya eylemlerden oluşan bir koleksiyondur.
Synapse, farklı kişiliklerin gereksinimleriyle eşleşen eylem koleksiyonlarını tanımlayan yerleşik roller sağlar:
- Yöneticiler çalışma alanı oluşturmak ve yapılandırmak için tam erişim elde edebilir
- Geliştiriciler SQL betiklerini, not defterlerini, işlem hatlarını ve veri akışlarını oluşturabilir, güncelleştirebilir ve hatalarını ayıklayabilir, ancak bu kodu üretim işlem kaynakları/verilerinde yayımlayamaz veya yürütemez
- Operatörler, koda veya yürütme çıktılarına erişim olmadan sistem durumunu, uygulama yürütmesini izleyebilir ve günlükleri gözden geçirebilir.
- Güvenlik personeli koda, işlem kaynaklarına veya verilere erişmeden uç noktaları yönetebilir ve yapılandırabilir.
Yerleşik Synapse rolleri hakkında daha fazla bilgi edinin.
Kapsamlar
Kapsam, erişimin geçerli olduğu kaynakları veya yapıtları tanımlar. Azure Synapse hiyerarşik kapsamları destekler. Daha üst düzey bir kapsamda verilen izinler, daha düşük bir düzeydeki nesneler tarafından devralınır. Synapse RBAC'de üst düzey kapsam bir çalışma alanıdır. Çalışma alanı kapsamına sahip bir rol atamak, çalışma alanında geçerli olan tüm nesnelere izin verir.
Çalışma alanı içinde desteklenen geçerli kapsamlar şunlardır:
- Apache Spark havuzu
- Tümleştirme çalışma zamanı
- bağlı hizmet
- kimlik bilgisi
Çalışma alanı kapsamıyla kod yapıtlarına erişim verilir. Çalışma alanı içindeki yapıt koleksiyonlarına erişim verme işlemi sonraki bir sürümde desteklenecektir.
İzinleri belirlemek için rol atamalarını çözümleme
Rol ataması, sorumluya belirtilen kapsamdaki bir rol tanımında belirtilen izinleri verir.
Synapse RBAC, Azure RBAC gibi ek bir modeldir. Tek bir sorumluya ve farklı kapsamlara birden çok rol atanabilir. Bir güvenlik sorumlusunun izinlerini hesaplarken sistem sorumluya ve doğrudan veya dolaylı olarak sorumluyu içeren gruplara atanan tüm rolleri dikkate alır. Ayrıca, geçerli izinleri belirlerken her atamanın kapsamını da dikkate alır.
Atanan izinleri uygulama
Synapse Studio'da belirli düğmeler veya seçenekler gri gösterilebilir veya gerekli izinlere sahip değilseniz bir eylem denenirken izin hatası döndürülebilir.
Eğer bir düğme veya seçenek devre dışı bırakılmışsa, düğmenin veya seçeneğin üzerine gelindiğinde, gerekli izni belirten bir araç ipucu gösterilir. Gerekli izni veren bir rol atamak için synapse yöneticisine başvurun. Belirli eylemleri sağlayan rolleri görebilirsiniz. Bkz . Synapse RBAC Rolleri.
Synapse RBAC rollerini kimler atayabilir?
Synapse Yöneticileri Synapse RBAC rollerini atayabilir. Çalışma alanı düzeyinde bir Synapse Yöneticisi herhangi bir kapsamda erişim verebilir. Daha düşük düzeydeki bir kapsamdaki Synapse Yöneticisi yalnızca bu kapsamda erişim verebilir.
Yeni bir çalışma alanı oluşturulduğunda, oluşturucuya otomatik olarak çalışma alanı kapsamında Synapse Yöneticisi rolü verilir.
Synapse Yöneticilerinin atanmaması veya sizin için kullanılabilir olmaması durumunda çalışma alanına yeniden erişim kazanmanıza yardımcı olmak için, çalışma alanında Azure RBAC rol atamalarını yönetme izinleri olan kullanıcılar Synapse RBAC rol atamalarını da yöneterek Synapse Yöneticisi veya diğer Synapse rol atamalarının eklenmesine olanak tanıyabilir.
Synapse RBAC'i nerede yönetebilirim?
Synapse RBAC, Yönet hub'ında erişim denetimi araçları kullanılarak Synapse Studio'dan yönetilir.
İlgili içerik
Yerleşik Synapse RBAC rollerini anlayın.
Çalışma alanı için Synapse RBAC rol atamalarını gözden geçirmeyi öğrenin.
Synapse RBAC rollerini atamayı öğrenin.