Che cos'è il controllo degli accessi in base al ruolo di Azure?

  • Articolo

Il controllo degli accessi in base al ruolo di Synapse estende le funzionalità di Controllo degli accessi in base al ruolo di Azure delle aree di lavoro di Synapse e del relativo contenuto.

Il controllo degli accessi in base al ruolo di Azure consente di gestire le autorizzazioni di chi può creare, aggiornare o eliminare l'area di lavoro di Synapse e i relativi pool SQL, pool di Apache Spark e runtime di integrazione.

Il controllo degli accessi in base al ruolo di Synapse consente di gestire le autorizzazioni di chi può:

  • Pubblicare artefatti di codice ed elencare o accedere agli artefatti di codice pubblicati,
  • Eseguire il codice nei pool di Apaches Spark e nei runtime di integrazione,
  • Accedere ai servizi collegati (dati) protetti da credenziali
  • Monitorare o annullare l'esecuzione di un processo, rivedere l'output del processo e i log di esecuzione.

Nota

Sebbene il controllo degli accessi in base al ruolo di Synapse si usi per gestire l'accesso agli script SQL pubblicati, esso fornisce solo un controllo di accesso limitato ai pool SQL serverless e dedicati. L'accesso ai pool SQL viene controllato principalmente dalla sicurezza SQL.

Cosa è possibile fare con il controllo degli accessi in base al ruolo di Synapse?

Di seguito sono riportati alcuni esempi di ciò che è possibile fare con il controllo degli accessi in base al ruolo di Synapse:

  • Consentire a un utente di pubblicare le modifiche apportate ai notebook e ai processi di Apache Spark nel servizio Live.
  • Consentire a un utente di eseguire e annullare i notebook e i processi Spark in un pool di Apache Spark specifico.
  • Consentire a un utente di utilizzare credenziali specifiche, in modo che sia possibile eseguire pipeline protette dall'identità del sistema dell'area di lavoro e accedere ai dati nei servizi collegati, protetti da credenziali.
  • Consentire a un amministratore di gestire, monitorare e annullare l'esecuzione di un processo in pool di Spark specifici.

Funzionamento del controllo degli accessi in base al ruolo di Synapse

Come il controllo degli accessi in base al ruolo di Azure, anche quello di Synapse funziona creando assegnazioni di ruolo. Un'assegnazione di ruolo è costituita da tre elementi: un'entità di sicurezza, una definizione del ruolo e un ambito.

Entità di sicurezza

Un'entità di sicurezza è un utente, un gruppo, un'entità servizio o un'identità gestita.

ruoli

Un ruolo è una raccolta di autorizzazioni o azioni che possono essere eseguite su tipi di risorse o tipi di artefatti specifici.

Synapse fornisce ruoli predefiniti che definiscono raccolte di azioni che soddisfano le esigenze di diversi utenti:

  • Gli amministratori possono ottenere l'accesso completo per creare e configurare un'area di lavoro
  • Gli sviluppatori possono creare, aggiornare ed eseguire il debug di script SQL, notebook, pipeline e flussi di dati, tuttavia, non possono pubblicare o eseguire questo codice in risorse di calcolo/dati di produzione
  • Gli operatori possono monitorare e gestire lo stato del sistema, l'esecuzione di applicazioni e rivedere i log, ma non possono accedere al codice o agli output dell'esecuzione.
  • Il personale addetto alla sicurezza può gestire e configurare gli endpoint pur non avendo accesso al codice, alle risorse di calcolo o ai dati.

Altre informazioni sui ruoli predefiniti di Synapse.

Ambiti

Un ambito definisce le risorse o gli artefatti per i quali è applicabile l'accesso. Azure Synapse supporta ambiti gerarchici. Le autorizzazioni concesse a un ambito di livello superiore vengono ereditate dagli oggetti di livello inferiore. In Controllo degli accessi in base al ruolo di Synapse l'ambito di primo livello è un'area di lavoro. Assegnare un ruolo con ambito area di lavoro concede le autorizzazioni a tutti gli oggetti applicabili nell'area di lavoro.

Gli ambiti attualmente supportati in un'area di lavoro, sono:

  • Pool di Apache Spark
  • Runtime di integrazione
  • linked service
  • credenziali

L'accesso agli artefatti del codice viene concesso con l'ambito area di lavoro. La concessione dell'accesso alle raccolte di artefatti in un'area di lavoro sarà supportata in una versione successiva.

Definizione delle assegnazioni di ruolo per determinare le autorizzazioni

L'assegnazione di un ruolo concede a un'entità le autorizzazioni definite dal ruolo nell'ambito specificato.

Il controllo degli accessi in base al ruolo di Synapse è un modello aggiuntivo, come il controllo degli accessi in base al ruolo di Azure. È possibile assegnare più ruoli a una singola entità e ad ambiti diversi. Quando si calcolano le autorizzazioni di un'entità di sicurezza, il sistema considera tutti i ruoli assegnati all'entità e ai gruppi che includono direttamente o indirettamente l'entità. Inoltre, considera l'ambito di ogni assegnazione per determinare le autorizzazioni applicabili.

Applicazione delle autorizzazioni assegnate

In Synapse Studio, se si tenta di eseguire un'azione senza avere le autorizzazioni necessarie, determinati pulsanti od opzioni potrebbero essere disabilitati o potrebbe essere visualizzato un errore di autorizzazione.

Se un pulsante o un'opzione è disabilitata, passando il puntatore del mouse sul pulsante o sull'opzione verrà visualizza una descrizione comando con l'autorizzazione richiesta. Contattare un amministratore di Synapse per assegnare un ruolo che conceda l'autorizzazione necessaria. È possibile visualizzare i ruoli che consentono azioni specifiche; vedere Ruoli Controllo degli accessi in base al ruolo di Synapse.

Chi può assegnare i ruoli Controllo degli accessi in base al ruolo di Synapse?

Gli Amministratori di Synapse possono assegnare ruoli Controllo degli accessi in base al ruolo di Synapse. Un amministratore di Synapse a livello di area di lavoro, può concedere l'accesso a qualsiasi ambito. Un amministratore di Synapse con un ambito di livello inferiore può concedere l'accesso solo a tale ambito.

Quando si crea una nuova area di lavoro, all'autore viene assegnato automaticamente il ruolo di Amministratore di Synapse nell'ambito dell'area di lavoro.

Per ottenere nuovamente l'accesso a un'area di lavoro, nel caso in cui nessun amministratore di Synapse sia stato assegnato o sia disponibile, gli utenti con autorizzazioni per gestire le assegnazioni di ruolo Controllo degli accessi in base al ruolo di Azure nell'area di lavoro, possono anche gestire le assegnazioni di ruolo Controllo degli accessi in base al ruolo di Synapse, e possono aggiungere un Amministratore di Synapse o altre assegnazioni di ruolo di Synapse.

Dove si gestisce il controllo degli accessi in base al ruolo di Synapse?

Il controllo degli accessi in base al ruolo di Synapse viene gestito in Synapse Studio, avvalendosi degli strumenti di controllo degli accesso nell'hub Gestione.

Passaggi successivi

Informazioni sui ruoli Controllo degli accessi in base al ruolo di Synapse predefiniti.

Informazioni su come rivedere le assegnazioni di ruolo Controllo degli accessi in base al ruolo per un'area di lavoro.

Informazioni su come assegnare ruoli Controllo degli accessi in base al ruolo di Synapse