Azure 中雲端規模分析的資料管理和角色型存取控制
授權是授與已驗證者執行動作許可權的動作。 存取控制的主要原則是只授與使用者執行其工作所需的存取量,並且只允許特定範圍的特定動作。 角色型安全性/角色型存取控制 (RBAC) 會對應至存取控制,而且許多組織會用來根據定義的角色或作業函式與個別使用者來控制存取。 然後,使用者會獲指派一或多個安全性角色,每個角色都會獲得授權許可權來執行特定工作。
使用 Microsoft Entra 識別碼做為集中式識別提供者時,可以授與存取資料服務和儲存體的授權給每位使用者或每個應用程式,並以 Microsoft Entra 身分識別為基礎。 授權涵蓋儲存體中檔案、資料夾或物件層級的服務與存取控制清單的 RBAC。
資料服務授權
Microsoft Azure 包含標準和內建的 RBAC,這是以 Azure Resource Manager 為基礎的授權系統,可提供 Azure 資源的詳細存取管理。 RBAC 角色有助於控制資源的存取層級;安全性主體、使用者、群組、服務或應用程式可以使用其存取的資源和區域做什麼? 規劃存取控制策略時,建議只授與使用者執行其工作所需的存取量,並只允許特定範圍的特定動作。
下列內建角色是所有 Azure 資源類型的基礎,包括 Azure 資料服務:
| 描述 | |
|---|---|
| 擁有者: | 此角色具有資源的完整存取權,並可管理資源的所有專案,包括授與其存取權的許可權。 |
| 參與者: | 此角色可以管理資源,但無法授與資源的存取權。 |
| 讀者: | 此角色可以檢視其資源及其相關資訊(除了存取金鑰或秘密等敏感性資訊之外),但無法對資源進行任何變更。 |
某些服務具有特定的 RBAC 角色,例如儲存體 Blob 資料參與者或 Data Factory 參與者,這表示應該針對這些服務使用特定的 RBAC 角色。 RBAC 是加法模型,其中新增角色指派是作用中許可權。 RBAC 也支援 優先于 角色 指派的拒絕 指派。
Azure 中雲端規模分析的 RBAC 一般作法
下列最佳做法可協助您開始使用 RBAC:
針對服務管理和作業使用 RBAC 角色,並使用服務特定角色進行資料存取和工作負載特定工作: 在 Azure 資源上使用 RBAC 角色,將許可權授與需要執行資源管理和作業工作的安全性主體。 需要存取儲存體內資料的安全性主體不需要資源上的 RBAC 角色,因為它們不需要管理它。 而是直接授與資料物件的許可權。 例如,授與 Azure Data Lake 儲存體 Gen2 中資料夾的讀取權限,或 Azure SQL 資料庫中資料庫的自主資料庫使用者和資料表許可權。
使用內建的 RBAC 角色: 首先,使用內建的 RBAC Azure 資源角色來管理服務,並指派作業角色來控制存取。 只有在內建角色不符合特定需求時,才建立及使用 Azure 資源的自訂角色。
使用群組來管理存取: 將存取權指派給 Microsoft Entra 群組,以及管理進行中存取管理的群組成員資格。
訂用帳戶和資源群組範圍: 雖然在資源群組範圍授與存取權以分隔服務管理和作業存取需求,而不是將存取權授與個別資源的存取權(特別是在非生產環境中),但您可以改為將存取權授與個別資源,例如 Data Lake 檔案系統支援和作業,特別是在生產環境中。 這是因為在非生產環境中,開發人員和測試人員必須管理資源,例如建立 Azure Data Factory 擷取管線或在 Data Lake 儲存體 Gen2 中建立容器。 在生產環境中,使用者只需要使用資源,例如檢視排程 Data Factory 擷取管線的狀態,或在 Data Lake 儲存體 Gen2 中讀取資料檔案。
請勿在訂用帳戶範圍授與不必要的存取權: 此範圍涵蓋訂用帳戶內的所有資源。
選擇最低許可權存取: 選取作業的正確和唯一角色。