Aracılığıyla paylaş

Synapse rol tabanlı erişim denetimi (RBAC) nedir?

  • Makale

Synapse RBAC, Synapse çalışma alanları ve içeriği için Azure RBAC'nin özelliklerini genişletir.

Azure RBAC, Synapse çalışma alanını ve SQL havuzlarını, Apache Spark havuzlarını ve Tümleştirme çalışma zamanlarını kimlerin oluşturabileceğini, güncelleştirebileceğini veya silebileceğini yönetmek için kullanılır.

Synapse RBAC, şunları yapabilecek kişileri yönetmek için kullanılır:

  • Kod yapıtlarını yayımlayın ve yayımlanan kod yapıtlarını listeleyin veya bu yapıtlara erişin,
  • Apaches Spark havuzlarında ve Tümleştirme çalışma zamanlarında kod yürütme,
  • Kimlik bilgileriyle korunan bağlı (veri) hizmetlere erişme
  • İş yürütmeyi izleyin veya iptal edin, iş çıktılarını ve yürütme günlüklerini gözden geçirin.

Not

Yayımlanan SQL betiklerine erişimi yönetmek için Synapse RBAC kullanılır ancak sunucusuz ve ayrılmış SQL havuzlarına yalnızca sınırlı erişim denetimi sağlar. SQL havuzlarına erişim öncelikli olarak SQL güvenliği kullanılarak denetlenmektedir.

Synapse RBAC ile ne yapabilirim?

Synapse RBAC ile neler yapabileceğinize dair bazı örnekler aşağıda verilmiştir:

  • Kullanıcının Apache Spark not defterlerinde ve işlerinde yapılan değişiklikleri canlı hizmette yayımlamasına izin verin.
  • Kullanıcının belirli bir Apache Spark havuzunda not defterlerini ve Spark işlerini çalıştırmasına ve iptal etmesine izin verin.
  • Kullanıcının çalışma alanı sistem kimliği tarafından güvenliği sağlanan işlem hatlarını çalıştırabilmesi ve kimlik bilgileriyle güvenliği sağlanan bağlı hizmetlerdeki verilere erişebilmesi için belirli kimlik bilgilerini kullanmasına izin verin.
  • Bir yöneticinin belirli Spark Havuzlarında iş yürütmesini yönetmesine, izlemesine ve iptal etmesine izin verin.

Synapse RBAC nasıl çalışır?

Azure RBAC gibi Synapse RBAC de rol atamaları oluşturarak çalışır. Rol ataması üç öğeden oluşur: güvenlik sorumlusu, rol tanımı ve kapsam.

Güvenlik Sorumluları

Güvenlik sorumlusu bir kullanıcı, grup, hizmet sorumlusu veya yönetilen kimliktir.

Roller

Rol, belirli kaynak türleri veya yapıt türleri üzerinde gerçekleştirilebilecek izinler veya eylemler koleksiyonudur.

Synapse, farklı kişiliklerin gereksinimlerine uyan eylem koleksiyonlarını tanımlayan yerleşik roller sağlar:

  • Yöneticiler çalışma alanı oluşturmak ve yapılandırmak için tam erişim elde edebilir
  • Geliştiriciler SQL betiklerini, not defterlerini, işlem hatlarını ve veri akışlarını oluşturabilir, güncelleştirebilir ve hatalarını ayıklayabilir, ancak bu kodu üretim işlem kaynakları/verilerinde yayımlayamaz veya yürütemez
  • Operatörler, koda veya yürütme çıktılarına erişim olmadan sistem durumunu, uygulama yürütmesini izleyebilir ve günlükleri gözden geçirebilir.
  • Güvenlik personeli koda, işlem kaynaklarına veya verilere erişmeden uç noktaları yönetebilir ve yapılandırabilir.

Yerleşik Synapse rolleri hakkında daha fazla bilgi edinin.

Kapsamlar

Kapsam, erişimin geçerli olduğu kaynakları veya yapıtları tanımlar. Azure Synapse hiyerarşik kapsamları destekler. Daha üst düzey bir kapsamda verilen izinler, daha düşük bir düzeydeki nesneler tarafından devralınır. Synapse RBAC'de üst düzey kapsam bir çalışma alanıdır. Çalışma alanı kapsamına sahip bir rol atamak, çalışma alanı içindeki tüm uygulanabilir nesnelere izin verir.

Çalışma alanı içinde desteklenen geçerli kapsamlar şunlardır:

  • Apache Spark havuzu
  • Tümleştirme çalışma zamanı
  • bağlı hizmet
  • kimlik bilgisi

Çalışma alanı kapsamıyla kod yapıtlarına erişim verilir. Çalışma alanı içindeki yapıt koleksiyonlarına erişim verme sonraki bir sürümde desteklenecektir.

İzinleri belirlemek için rol atamalarını çözümleme

Rol ataması, sorumluya belirtilen kapsamda rol tarafından tanımlanan izinleri verir.

Synapse RBAC, Azure RBAC gibi eklenebilir bir modeldir. Tek bir sorumluya ve farklı kapsamlara birden çok rol atanabilir. Bir güvenlik sorumlusunun izinlerini hesaplarken, sistem sorumluya ve doğrudan veya dolaylı olarak sorumluyu içeren gruplara atanan tüm rolleri dikkate alır. Ayrıca, geçerli izinleri belirlemede her atamanın kapsamını da dikkate alır.

Atanan izinleri zorunlu tutma

Synapse Studio belirli düğmeler veya seçenekler gri gösterilebilir veya gerekli izinlere sahip değilseniz bir eylem denerken izin hatası döndürülebilir.

Bir düğme veya seçenek devre dışı bırakılırsa, düğmenin veya seçeneğin üzerine gelindiğinde gerekli izne sahip bir araç ipucu gösterilir. Gerekli izni veren bir rol atamak için synapse yöneticisine başvurun. Belirli eylemleri sağlayan rolleri görebilirsiniz, bkz. Synapse RBAC Rolleri.

Synapse RBAC rollerini kimler atayabilir?

Synapse Yöneticileri Synapse RBAC rollerini atayabilir. Çalışma alanı düzeyinde bir Synapse Yöneticisi herhangi bir kapsamda erişim verebilir. Alt düzey kapsamdaki bir Synapse Yöneticisi yalnızca bu kapsamda erişim verebilir.

Yeni bir çalışma alanı oluşturulduğunda, çalışma alanı kapsamında oluşturucuya otomatik olarak Synapse Yöneticisi rolü verilir.

Hiçbir Synapse Yöneticisinin atanmaması veya kullanımınıza sunulması durumunda çalışma alanına yeniden erişim kazanmanıza yardımcı olmak için, çalışma alanında Azure RBAC rol atamalarını yönetme iznine sahip kullanıcılar Synapse RBAC rol atamalarını da yöneterek Synapse Yöneticisi veya diğer Synapse rol atamalarının eklenmesine olanak tanıyabilir.

Synapse RBAC'yi nerede yönetebilirim?

Synapse RBAC, Yönet hub'ında erişim denetimi araçları kullanılarak Synapse Studio içinden yönetilir.

Sonraki adımlar

Yerleşik Synapse RBAC rollerini anlama.

Çalışma alanı için Synapse RBAC rol atamalarını gözden geçirmeyi öğrenin.

Synapse RBAC rollerini atamayı öğrenin