Mi az a Synapse szerepköralapú hozzáférés-vezérlés (RBAC)?

  • Cikk

A Synapse RBAC kibővíti az Azure RBAC képességeit a Synapse-munkaterületekhez és azok tartalmaihoz.

Az Azure RBAC segítségével kezelheti, hogy ki hozhatja létre, frissítheti vagy törölheti a Synapse-munkaterületet és annak SQL-készleteit, az Apache Spark-készleteket és az integrációs futtatókörnyezeteket.

A Synapse RBAC a következő jogosultságok kezelésére használható:

  • Kódösszetevők közzététele és a közzétett kódösszetevők listázása vagy elérése,
  • Kód végrehajtása Apaches Spark-készleteken és integrációs futtatókörnyezeteken,
  • Hitelesítő adatokkal védett társított (adat)szolgáltatások elérése
  • A feladat végrehajtásának figyelése vagy megszakítása, a feladatkimenet és a végrehajtási naplók áttekintése.

Megjegyzés

Bár a Synapse RBAC a közzétett SQL-szkriptekhez való hozzáférés kezelésére szolgál, csak korlátozott hozzáférés-vezérlést biztosít a kiszolgáló nélküli és dedikált SQL-készletekhez. Az SQL-készletekhez való hozzáférést elsősorban AZ SQL-biztonság használatával lehet szabályozni.

Mit tehetek a Synapse RBAC-vel?

Íme néhány példa a Synapse RBAC-vel elvégezhető műveletekre:

  • Lehetővé teszi, hogy a felhasználó közzétegye az Apache Spark-jegyzetfüzetek és -feladatok módosításait az élő szolgáltatásban.
  • Lehetővé teszi egy felhasználó számára, hogy jegyzetfüzeteket és Spark-feladatokat futtasson és szakítsa meg egy adott Apache Spark-készleten.
  • Lehetővé teszi a felhasználó számára, hogy meghatározott hitelesítő adatokat használjon, hogy a munkaterületi rendszer identitása által védett folyamatokat futtathasson, és hitelesítő adatokkal védett társított szolgáltatásokban lévő adatokhoz férhessen hozzá.
  • Lehetővé teszi a rendszergazda számára, hogy felügyelje, monitorozza és megszakítsa a feladatok végrehajtását az adott Spark-készletekben.

A Synapse RBAC működése

Az Azure RBAC-hez hasonlóan a Synapse RBAC is szerepkör-hozzárendelések létrehozásával működik. Egy szerepkör-hozzárendelés három elemből tevődik össze: egy rendszerbiztonsági tagból, egy szerepkör-definícióból és egy hatókörből.

Biztonsági tagok

A rendszerbiztonsági tag egy felhasználó, csoport, szolgáltatásnév vagy felügyelt identitás.

Szerepkörök

A szerepkör olyan engedélyek vagy műveletek gyűjteménye, amelyek adott erőforrástípusokon vagy összetevőtípusokon végrehajthatók.

A Synapse beépített szerepköröket biztosít, amelyek különböző személyek igényeinek megfelelő műveletgyűjteményeket határoznak meg:

  • A rendszergazdák teljes hozzáféréssel hozhatnak létre és konfigurálhatnak egy munkaterületet
  • A fejlesztők SQL-szkripteket, jegyzetfüzeteket, folyamatokat és adatfolyamokat hozhatnak létre, frissíthetnek és hibakeresést végezhetnek, de nem tehetik közzé vagy hajthatják végre ezt a kódot éles számítási erőforrásokon/adatokon
  • Az operátorok figyelhetik és kezelhetik a rendszer állapotát, az alkalmazások végrehajtását és a naplók áttekintését anélkül, hogy hozzáférnek a kódhoz vagy a végrehajtás kimeneteihez.
  • A biztonsági személyzet anélkül kezelheti és konfigurálhatja a végpontokat, hogy hozzá kellene férnie a kódhoz, a számítási erőforrásokhoz vagy az adatokhoz.

További információ a beépített Synapse-szerepkörökről.

Hatókörök

A hatókör határozza meg azokat az erőforrásokat vagy összetevőket, amelyekre a hozzáférés vonatkozik. Azure Synapse támogatja a hierarchikus hatóköröket. A magasabb szintű hatókörben megadott engedélyeket alacsonyabb szintű objektumok öröklik. A Synapse RBAC-ben a legfelső szintű hatókör egy munkaterület. A munkaterület hatókörével rendelkező szerepkörök hozzárendelése engedélyeket ad a munkaterület összes alkalmazható objektumához.

A munkaterületen belüli aktuálisan támogatott hatókörök a következők:

  • Apache Spark-készlet
  • Integrációs modul
  • társított szolgáltatás
  • hitelesítő adat

A kódösszetevőkhöz való hozzáférés munkaterület-hatókörrel érhető el. A munkaterületen belüli összetevők gyűjteményéhez való hozzáférés biztosítása egy későbbi kiadásban támogatott lesz.

Szerepkör-hozzárendelések feloldása az engedélyek meghatározásához

A szerepkör-hozzárendelések a szerepkör által a megadott hatókörben meghatározott engedélyeket ad egy tagnak.

A Synapse RBAC egy olyan additív modell, mint az Azure RBAC. Több szerepkör is hozzárendelhető egyetlen egyszerűhöz és különböző hatókörökhöz. Egy rendszerbiztonsági tag engedélyeinek kiszámításakor a rendszer figyelembe veszi a rendszerbiztonsági taghoz rendelt összes szerepkört, valamint azokat a csoportokat, amelyek közvetlenül vagy közvetve tartalmazzák a rendszernevet. Az egyes hozzárendelések hatókörét is figyelembe veszi az érvényes engedélyek meghatározásakor.

Hozzárendelt engedélyek kényszerítése

A Synapse Studio bizonyos gombokat vagy beállításokat szürkén jelenhet meg, vagy engedélyhiba jelenhet meg egy művelet megkísérlésekor, ha nem rendelkezik a szükséges engedélyekkel.

Ha egy gomb vagy beállítás le van tiltva, a gomb vagy beállítás fölé mutatva megjelenik egy elemleírás a szükséges engedéllyel. Lépjen kapcsolatba egy Synapse-rendszergazdával, és rendeljen hozzá egy szerepkört, amely megadja a szükséges engedélyt. Megtekintheti az adott műveleteket biztosító szerepköröket, lásd: Synapse RBAC-szerepkörök.

Ki rendelhet Synapse RBAC-szerepköröket?

A Synapse-rendszergazdák Synapse RBAC-szerepköröket rendelhetnek hozzá. A Synapse-rendszergazda a munkaterület szintjén bármilyen hatókörben biztosíthat hozzáférést. Az alacsonyabb szintű hatókörben lévő Synapse-rendszergazdák csak ezen a hatókörön adhatnak hozzáférést.

Új munkaterület létrehozásakor a létrehozó automatikusan megkapja a Synapse-rendszergazda szerepkört a munkaterület hatókörében.

A munkaterülethez való hozzáférés helyreállításához abban az esetben, ha nincs Synapse-rendszergazdák hozzárendelve vagy elérhetők Ön számára, a munkaterületen az Azure RBAC-szerepkör-hozzárendelések kezelésére jogosult felhasználók a Synapse RBAC-szerepkör-hozzárendeléseket is kezelhetik, lehetővé téve a Synapse-rendszergazda vagy más Synapse-szerepkör-hozzárendelések hozzáadását.

Hol kezelhetem a Synapse RBAC-t?

A Synapse RBAC kezelése Synapse Studio belülről történik a Kezelés központ hozzáférés-vezérlési eszközeinek használatával.

Következő lépések

A beépített Synapse RBAC-szerepkörök ismertetése.

Megtudhatja, hogyan tekintheti át a Synapse RBAC-szerepkör-hozzárendeléseket egy munkaterületen.

Megtudhatja, hogyan rendelhet hozzá Synapse RBAC-szerepköröket