Share via

Azure Synapse hozzáférés-vezérlés

  • Cikk

Ez a cikk áttekintést nyújt az Azure Synapse számítási erőforrásaihoz és adataihoz való hozzáférés szabályozására rendelkezésre álló mechanizmusokról.

Áttekintés

Az Azure Synapse átfogó és részletes hozzáférés-vezérlési rendszert biztosít, amelyhez hozzátartoznak a következők:

  • Azure-szerepkörök az erőforrás-kezeléshez és a tárolókban található adatokhoz való hozzáféréshez,
  • Synapse-szerepkörök a kódhoz és a végrehajtáshoz való élő hozzáférés kezeléséhez,
  • SQL-szerepkörök az SQL-készletekben lévő adatok adatsíkon történő eléréséhez, és
  • Git permissions for source code control, including continuous integration and deployment support.

Azure Synapse roles provide sets of permissions that can be applied at different scopes. This granularity makes it easy to grant appropriate access to administrators, developers, security personnel, and operators to compute resources and data.

A hozzáférés-vezérlés egyszerűsödhet olyan biztonsági csoportokkal, amelyek igazodnak az emberek feladatszerepköreihez. A hozzáférés kezeléséhez csak a megfelelő biztonsági csoportok felhasználóit kell hozzáadnia és eltávolítania.

Hozzáférés-vezérlési elemek

Azure Synapse számítási erőforrások létrehozása és kezelése

Az Azure-szerepkörök a következők felügyeletének szabályozására szolgálnak:

  • Dedikált SQL-készletek
  • Adatkezelő-készletek
  • Apache Spark-készletek
  • Integrációs futtatókörnyezetek

Az erőforrások létrehozásához Azure-tulajdonosnak vagy közreműködőnek kell lennie az erőforráscsoportban. A létrehozásuk után a kezelésükhöz Azure-tulajdonosnak vagy közreműködőnek kell lennie az erőforráscsoporton vagy az egyes erőforrásokon.

Az Azure-tulajdonos vagy közreműködő engedélyezheti vagy letilthatja a Microsoft Entra-hitelesítést az Azure Synapse-munkaterületeken. A csak Microsoft Entra-hitelesítéssel kapcsolatos további információkért lásd: A helyi hitelesítés letiltása az Azure Synapse Analyticsben.

Kód fejlesztése és végrehajtása az Azure Synapse-ban

A Synapse két fejlesztési modellt támogat.

  • Synapse élő fejlesztés. Kódokat fejleszthet és hibakeresést végezhet a Synapse Studióban, majd közzéteheti a mentéshez és végrehajtáshoz. A Synapse szolgáltatás a kódszerkesztés és -végrehajtás igazságforrása. A Synapse Studio bezárásakor a nem közzétett munkák elvesznek.
  • Git-kompatibilis fejlesztés. Kódokat fejleszthet és hibakeresést végezhet a Synapse Studióban, és véglegesíthet módosításokat egy Git-adattár működő ágában. Egy vagy több ágból származó munka integrálva van egy együttműködési ágba, ahonnan közzéteheti azt a szolgáltatásban. A Git-adattár az igazság forrása a kódszerkesztéshez, míg a szolgáltatás az igazság forrása a végrehajtáshoz. A Synapse Studio bezárása előtt a módosításokat véglegesíteni kell a Git-adattárban, vagy közzé kell tenni a szolgáltatásban. További információ a Synapse Analytics gittel való használatáról.

Mindkét fejlesztési modellben a Synapse Studióhoz hozzáféréssel rendelkező felhasználók kódösszetevőket hozhatnak létre. Azonban további engedélyekre van szüksége az összetevők szolgáltatásban való közzétételéhez, a közzétett összetevők olvasásához, a Git módosításainak véglegesítéséhez, a kód végrehajtásához és a hitelesítő adatok által védett csatolt adatok eléréséhez. A felhasználóknak azure-közreműködői (Azure RBAC) vagy magasabb szerepkörrel kell rendelkezniük a Synapse-munkaterületen a beállítások konfigurálásához, szerkesztéséhez és a Git-adattár synapse-nal való leválasztásához.

Azure Synapse-szerepkörök

Az Azure Synapse-szerepkörök a Synapse szolgáltatáshoz való hozzáférés szabályozására szolgálnak. A különböző szerepkörök lehetővé teszik a következőket:

  • Közzétett kódösszetevők listázása,
  • Kódösszetevők, társított szolgáltatások és hitelesítő adatok definícióinak közzététele,
  • Synapse számítási erőforrásokat használó kód vagy folyamatok végrehajtása,
  • Hitelesítő adatokkal védett csatolt adatokhoz hozzáférő kód vagy folyamatok végrehajtása,
  • Közzétett kódösszetevőkhöz társított kimenetek megtekintése,
  • Monitorozza a számítási erőforrás állapotát, és tekintse meg a futásidejű naplókat.

Az Azure Synapse-szerepkörök hozzárendelhetők a munkaterület hatókörében vagy részletesebb hatókörökben az adott Azure Synapse-erőforrásokhoz megadott engedélyek korlátozásához.

Git-engedélyek

Ha Git-kompatibilis fejlesztést használ Git módban, a Synapse User vagy a Synapse RBAC (szerepköralapú hozzáférés-vezérlés) szerepkörön kívül Git-engedélyekre is szüksége lesz a kódösszetevők olvasásához, beleértve a társított szolgáltatást és a hitelesítőadat-definíciókat. Ha Git módban szeretné véglegesíteni a kódösszetevők módosításait, Git-engedélyekre és Synapse Artifact Publisher (Synapse RBAC) szerepkörre van szüksége.

Adatok elérése AZ SQL-ben

Dedikált és kiszolgáló nélküli SQL-készletek használatakor az adatsík-hozzáférés SQL-engedélyekkel van szabályozva.

A munkaterület létrehozója Active Directory-rendszergazdaként van hozzárendelve a munkaterülethez. A létrehozás után ez a szerepkör hozzárendelhető egy másik felhasználóhoz vagy biztonsági csoporthoz az Azure Portalon.

Kiszolgáló nélküli SQL-készletek: A Synapse Rendszergazda istrators (DBO) engedélyekkel rendelkezik db_owner a kiszolgáló nélküli SQL-készleten( beépített). Ahhoz, hogy más felhasználók hozzáférjenek a kiszolgáló nélküli SQL-készlethez, a Synapse-rendszergazdáknak SQL-szkripteket kell futtatniuk a kiszolgáló nélküli készleten.

Dedikált SQL-készletek: A Synapse Rendszergazda istratorok teljes hozzáféréssel rendelkeznek a dedikált SQL-készletekben lévő adatokhoz, és hozzáférést biztosíthatnak más felhasználók számára. A Synapse Rendszergazda istratorok konfigurációs és karbantartási tevékenységeket is végezhetnek dedikált készleteken, kivéve az adatbázisok elvetése esetén. Az Active Directory Rendszergazda engedélyt kap a munkaterület létrehozója és a munkaterület MSI-jének. A dedikált SQL-készletek elérésére való jogosultság egyébként nem automatikusan van megadva. Ahhoz, hogy más felhasználók vagy csoportok hozzáférjenek a dedikált SQL-készletekhez, az Active Directory Rendszergazda vagy a Synapse Rendszergazda istratornak sql-szkripteket kell futtatnia minden dedikált SQL-készleten.

Tekintse meg a Synapse hozzáférés-vezérlésének beállítását az SQL-készletekBEN sql-engedélyek megadására szolgáló SQL-szkriptek példáihoz.

Adatok elérése az Adatkezelő-készletekben

Az Adatkezelő-készletek használatakor az adatsík-hozzáférést Adatkezelő-engedélyek vezérlik. A Synapse Rendszergazda istratorok engedélyt kapnak All Database admin az Adatkezelő-készletekre. Ha más felhasználók vagy csoportok számára szeretne hozzáférést biztosítani az Adatkezelő-készletekhez, a Synapse-rendszergazdáknak a Biztonsági szerepkörök felügyeletére kell hivatkoznia. Az adatsík-hozzáféréssel kapcsolatos további információkért tekintse meg az Adatkezelő hozzáférés-vezérlésének áttekintését.

Rendszer által felügyelt adatok elérése a tárolóban

A kiszolgáló nélküli SQL-készletek és az Apache Spark-táblák a munkaterülethez társított ADLS Gen2-tárolóban tárolják az adataikat. A felhasználó által telepített Apache Spark-kódtárak is ugyanabban a tárfiókban vannak kezelve. Ezeknek a használati eseteknek az engedélyezéséhez a felhasználóknak és a munkaterület MSI-jének hozzáférést kell biztosítani a Storage Blob Data Közreműködő számára ehhez a munkaterülethez az ADLS Gen2 tárolóhoz.

Ajánlott eljárás a biztonsági csoportok használata

A hozzáférés-vezérlés kezelésének egyszerűsítése érdekében biztonsági csoportokkal szerepköröket rendelhet személyekhez és csoportokhoz. Biztonsági csoportok hozhatók létre a szervezet azon személyeinek vagy feladatfüggvényeinek tükrözésére, amelyeknek hozzáférésre van szükségük a Synapse-erőforrásokhoz vagy -összetevőkhöz. Ezek a személyalapú biztonsági csoportok ezután hozzárendelhetők egy vagy több Azure-szerepkörhöz, Synapse-szerepkörhöz, SQL-engedélyhez vagy Git-engedélyhez. A jól kiválasztott biztonsági csoportok esetén egyszerűen hozzárendelheti a felhasználóhoz a szükséges engedélyeket, ha hozzáadja őket a megfelelő biztonsági csoporthoz.

Megjegyzés:

Ha biztonsági csoportokkal kezeli a hozzáférést, a Microsoft Entra ID további késést okoz a módosítások érvénybe lépése előtt.

Hozzáférés-vezérlés kényszerítése a Synapse Studióban

A Synapse Studio az engedélyek és az aktuális mód alapján eltérően fog viselkedni:

  • Synapse élő mód: A Synapse Studio megakadályozza a közzétett tartalmak megtekintését, a tartalmak közzétételét vagy egyéb műveletek végrehajtását, ha nem rendelkezik a szükséges engedélyekkel. Bizonyos esetekben nem hozhat létre olyan kódösszetevőket, amelyeket nem használhat vagy menthet.
  • Git-mód: Ha Olyan Git-engedélyekkel rendelkezik, amelyek lehetővé teszik a módosítások véglegesítését az aktuális ágban, akkor a véglegesítési művelet akkor lesz engedélyezve, ha rendelkezik engedéllyel a módosítások közzétételére az élő szolgáltatásban (Synapse Artifact Publisher szerepkör).

Bizonyos esetekben még a közzétételi vagy véglegesítési engedély nélkül is létrehozhat kódösszetevőket. Ez lehetővé teszi a kód végrehajtását (a szükséges végrehajtási engedélyekkel). A gyakori feladatokhoz szükséges szerepkörökről további információt az Azure Synapse gyakori feladatainak elvégzéséhez szükséges szerepkörök ismertetése című témakörben talál.

Ha egy funkció le van tiltva a Synapse Studióban, egy elemleírás jelzi a szükséges engedélyt. A Synapse RBAC-szerepkörök útmutatójában megkeresse, hogy melyik szerepkör szükséges a hiányzó engedély megadásához.

Következő lépések