Apa itu kontrol akses berbasis peran (RBAC) Synapse?

  • Artikel

Synapse RBAC memperluas kemampuan RBAC Azure untuk ruang kerja Synapse dan kontennya.

RBAC Azure digunakan untuk mengelola pihak dapat membuat, memperbarui, atau menghapus ruang kerja Synapse dan kumpulan SQL-nya, kumpulan Apache Spark, dan runtime Integrasi.

RBAC Synapse digunakan untuk mengelola pihak yang dapat:

  • Menerbitkan artefak kode serta mencantumkan atau mengakses artefak kode yang diterbitkan,
  • Menjalankan kode pada kumpulan Apaches Spark dan runtime Integrasi,
  • Mengakses layanan tertaut (data) yang dilindungi oleh mandat
  • Memantau atau membatalkan eksekusi pekerjaan, meninjau output pekerjaan, dan log eksekusi.

Catatan

Sementara RBAC Synapse digunakan untuk mengelola akses ke skrip SQL yang dipublikasikan, RBAC Synapse hanya menyediakan kontrol akses terbatas ke kumpulan SQL tanpa server dan khusus. Akses ke kumpulan SQL utamanya dikontrol menggunakan keamanan SQL.

Apa yang bisa saya lakukan dengan RBAC Synapse?

Berikut adalah beberapa contoh hal yang dapat Anda lakukan dengan RBAC Azure:

  • Mengizinkan pengguna menerbitkan perubahan notebook dan pekerjaan Apache Spark ke layanan langsung.
  • Mengizinkan pengguna menjalankan dan membatalkan buku catatan dan pekerjaan spark di kumpulan Apache Spark tertentu.
  • Mengizinkan pengguna menggunakan mandat tertentu agar pengguna dapat menjalankan alur yang diamankan oleh identitas sistem ruang kerja dan data akses di layanan tertaut yang diamankan dengan info masuk.
  • Mengizinkan administrator untuk mengelola, memantau, dan membatalkan eksekusi pekerjaan pada Kumpulan Spark tertentu.

Cara kerja RBAC Synapse

Seperti RBAC Azure, RBAC Synapse bekerja dengan membuat penetapan peran. Penetapan peran terdiri dari tiga elemen: prinsip keamanan, definisi peran, dan cakupan.

Prinsip Keamanan

Prinsip keamanan adalah pengguna, grup, perwakilan layanan, atau identitas terkelola.

Peran

Peran adalah kumpulan izin atau tindakan yang dapat dilakukan pada jenis sumber daya atau jenis artefak tertentu.

Synapse menyediakan peran bawaan yang menentukan koleksi tindakan yang sesuai dengan kebutuhan persona yang berbeda:

  • Administrator bisa mendapatkan akses penuh untuk membuat dan mengonfigurasi ruang kerja
  • Pengembang dapat membuat, memperbarui, dan men-debug skrip SQL, buku catatan, alur, dan aliran data, tetapi tidak dapat menerbitkan atau menjalankan kode ini pada sumber daya/data komputasi produksi
  • Operator dapat memantau dan mengelola status sistem, eksekusi aplikasi, dan meninjau log, tanpa memiliki akses ke kode atau output dari eksekusi.
  • Staf keamanan dapat mengelola dan mengonfigurasi titik akhir tanpa memiliki akses ke kode, sumber daya/data komputasi.

Pelajari lebih lanjut peran Synapse bawaan.

Cakupan

Cakupan menentukan sumber daya atau artefak yang berlaku untuk akses. Azure Synapse mendukung cakupan hierarkis. Izin yang diberikan pada cakupan dengan tingkat yang lebih tinggi diwarisi oleh objek pada tingkat yang lebih rendah. Di RBAC Synapse, cakupan tingkat atas adalah ruang kerja. Menetapkan peran dengan cakupan ruang kerja memberikan izin ke semua objek yang berlaku di ruang kerja.

Cakupan yang didukung saat ini dalam ruang kerja adalah:

  • Kumpulan Apache Spark
  • Runtime integrasi
  • Layanan Tertaut
  • kredensial

Akses ke artefak kode diberikan dengan cakupan ruang kerja. Pemberian akses ke kumpulan artefak dalam ruang kerja akan didukung dalam rilis selanjutnya.

Mengatasi penetapan peran untuk menentukan izin

Penetapan peran memberikan izin kepada prinsipal yang ditentukan oleh peran pada cakupan yang ditentukan.

RBAC Synapse adalah model aditif seperti Azure RBAC. Beberapa peran dapat ditetapkan ke satu prinsipal dan pada cakupan yang berbeda. Saat komputasi izin dari prinsip keamanan, sistem mempertimbangkan semua peran yang ditetapkan kepada prinsipal dan kelompok yang secara langsung atau tidak langsung menyertakan utama. Sistem juga mempertimbangkan cakupan setiap penugasan dalam menentukan perizinan yang berlaku.

Memberlakukan izin yang ditetapkan

Di Synapse Studio, jika Anda tidak memiliki izin yang diperlukan, tombol atau opsi tertentu mungkin berwarna abu-abu, atau kesalahan izin dapat dikembalikan saat mencoba suatu tindakan.

Jika tombol atau opsi dinonaktifkan, mengarahkan kursor ke tombol atau opsi akan menampilkan tipsalat dengan izin yang diperlukan. Hubungi Administrator Synapse untuk menetapkan peran yang memberikan izin yang diperlukan. Anda dapat melihat peran yang memberikan tindakan tertentu, lihat Peran RBAC Synapse.

Siapa yang dapat menetapkan peran RBAC Synapse?

Administrator Synapse dapat menetapkan peran Synapse RBAC. Administrator Synapse di tingkat ruang kerja dapat memberikan akses di cakupan apa pun. Administrator Synapse di cakupan dengan tingkat yang lebih rendah hanya dapat memberikan akses pada cakupan tersebut.

Saat ruang kerja baru dibuat, pembuat secara otomatis diberi peran Administrator Synapse di cakupan ruang kerja.

Untuk membantu Anda mendapatkan kembali akses ke ruang kerja, apabila tidak ada Admin Synapse yang ditetapkan atau tersedia untuk Anda, pengguna dengan izin mengelola penetapan peran Azure RBAC di ruang kerja juga dapat mengelola penetapan peran Synapse RBAC yang memungkinkan penambahan Admin Synapse atau tugas peran Synapse lainnya.

Di mana saya dapat mengelola RBAC Synapse?

RBAC Synapse dikelola dari dalam Synapse Studio menggunakan alat kontrol akses di hub Kelola.

Langkah berikutnya

Memahami peran RBAC Synapse bawaan.

Pelajari cara meninjau penetapan peran RBAC Synapse untuk ruang kerja.

Pelajari cara menetapkan peran RBAC Synapse