Che cos'è il controllo degli accessi in base al ruolo di sinapsi (RBAC)?What is Synapse role-based access control (RBAC)?

Il controllo degli accessi in base al ruolo (RBAC) estende le funzionalità di controllo degli accessi in base al ruoloSynapse RBAC extends the capabilities of Azure RBAC for Synapse workspaces and their content.

Il controllo degli accessi in base al ruolo di Azure viene usato per gestire gli utenti che possono creare, aggiornare o eliminare l'area di lavoro sinapsi e i relativi pool SQL, pool di Apache Spark e runtime di integrazione.Azure RBAC is used to manage who can create, update, or delete the Synapse workspace and its SQL pools, Apache Spark pools, and Integration runtimes.

Il controllo degli accessi in base al ruolo viene usato per gestire chi può:Synapse RBAC is used to manage who can:

  • Pubblicare elementi di codice ed elencare o accedere a elementi di codice pubblicati,Publish code artifacts and list or access published code artifacts,
  • Eseguire codice nei pool Spark Apache e nei runtime di integrazioneExecute code on Apaches Spark pools and Integration runtimes,
  • Accedere ai servizi collegati (dati) protetti da credenzialiAccess linked (data) services protected by credentials
  • Monitorare o annullare l'esecuzione del processo, rivedere l'output del processo e i log di esecuzione.Monitor or cancel job execution, review job output, and execution logs.

Nota

Anche se il controllo degli accessi in base al ruolo viene usato per gestire l'accesso agli script SQL pubblicati, fornisce solo il controllo di accesso limitato ai pool SQL senza server e non viene usato per controllare l'accesso ai pool SQL dedicati.While Synapse RBAC is used to manage access to published SQL scripts, it provides only limited access control to serverless SQL pools and is not used to control access to dedicated SQL pools. L'accesso ai pool SQL è controllato principalmente mediante la sicurezza di SQL.Access to SQL pools is primarily controlled using SQL security.

Cosa è possibile fare con le sinapsi RBAC?What can I do with Synapse RBAC?

Ecco alcuni esempi di ciò che è possibile fare con il controllo degli accessi in base al ruolo:Here are some examples of what you can do with Synapse RBAC:

  • Consentire a un utente di pubblicare le modifiche apportate ai Apache Spark notebook e ai processi al servizio Live.Allow a user to publish changes made to Apache Spark notebooks and jobs to the live service.
  • Consentire a un utente di eseguire e annullare i notebook e i processi Spark in un pool di Apache Spark specifico.Allow a user to run and cancel notebooks and spark jobs on a specific Apache Spark pool.
  • Consentire a un utente di utilizzare credenziali specifiche in modo da poter eseguire pipeline protette dall'identità del sistema dell'area di lavoro e accedere ai dati nei servizi collegati protetti con le credenziali.Allow a user to use specific credentials so they can run pipelines secured by the workspace system identity and access data in linked services secured with credentials.
  • Consentire a un amministratore di gestire, monitorare e annullare l'esecuzione del processo in pool Spark specifici.Allow an administrator to manage, monitor, and cancel job execution on specific Spark Pools.

Funzionamento di sinapsi RBACHow Synapse RBAC works

Come per il controllo degli accessi in base al ruolo di Azure, la sinapsi RBAC funziona creando assegnazioniLike Azure RBAC, Synapse RBAC works by creating role assignments. Un'assegnazione di ruolo è costituita da tre elementi: un'entità di sicurezza, una definizione del ruolo e un ambito.A role assignment consists of three elements: a security principal, a role definition, and a scope.

Entità di sicurezzaSecurity Principals

Un' entità di sicurezza è un utente, un gruppo, un'entità servizio o un'identità gestita.A security principal is a user, group, service principal, or managed identity.

RuoliRoles

Un ruolo è una raccolta di autorizzazioni o azioni che possono essere eseguite su tipi di risorse o tipi di artefatti specifici.A role is a collection of permissions or actions that can be performed on specific resource types or artifact types.

Sinapsi fornisce ruoli predefiniti che definiscono raccolte di azioni che soddisfano le esigenze di utenti diversi:Synapse provides built-in roles that define collections of actions that match the needs of different personas:

  • Gli amministratori possono ottenere l'accesso completo per creare e configurare un'area di lavoroAdministrators can get full access to create and configure a workspace
  • Gli sviluppatori possono creare, aggiornare ed eseguire il debug di script SQL, notebook, pipeline e flussi di dati, ma non essere in grado di pubblicare o eseguire questo codice per le risorse di calcolo o i dati di produzioneDevelopers can create, update and debug SQL scripts, notebooks, pipelines, and dataflows, but not be able to publish or execute this code on production compute resources/data
  • Gli operatori possono monitorare e gestire lo stato del sistema, l'esecuzione dell'applicazione e i log di revisione, senza accedere al codice o agli output dell'esecuzione.Operators can monitor and manage system status, application execution and review logs, without access to code or the outputs from execution.
  • Il personale di sicurezza può gestire e configurare gli endpoint senza avere accesso al codice, a risorse di calcolo o a dati.Security staff can manage and configure endpoints without having access to code, compute resources or data.

Altre informazioni sui ruoli sinapsi predefiniti.Learn more about the built-in Synapse roles.

AmbitiScopes

Un ambito definisce le risorse o gli elementi a cui viene applicato l'accesso.A scope defines the resources or artifacts that the access applies to. La sinapsi supporta gli ambiti gerarchici.Synapse supports hierarchical scopes. Le autorizzazioni concesse a un ambito di livello superiore vengono ereditate dagli oggetti a un livello inferiore.Permissions granted at a higher-level scope are inherited by objects at a lower level. Nelle sinapsi RBAC l'ambito di primo livello è un'area di lavoro.In Synapse RBAC, the top-level scope is a workspace. L'assegnazione di un ruolo con ambito area di lavoro concede le autorizzazioni a tutti gli oggetti applicabili nell'area di lavoro.Assigning a role with workspace scope grants permissions to all applicable objects in the workspace.

Gli ambiti supportati correnti in un'area di lavoro sono: pool di Apache Spark, Runtime di integrazione, servizio collegato e credenziali.Current supported scopes within a workspace are: Apache Spark pool, Integration runtime, linked service, and credential.

L'accesso agli elementi del codice viene concesso con l'ambito dell'area di lavoro.Access to code artifacts is granted with workspace scope. La concessione dell'accesso alle raccolte di artefatti all'interno di un'area di lavoro sarà supportata in una versione successiva.Granting access to collections of artifacts within a workspace will be supported in a later release.

Risoluzione delle assegnazioni di ruolo per determinare le autorizzazioniResolving role assignments to determine permissions

Un'assegnazione di ruolo concede all'entità le autorizzazioni definite dal ruolo nell'ambito specificato.A role assignment grants the principal the permissions defined by the role at the specified scope.

Il controllo degli accessi in base al ruolo è un modello aggiuntivo, ad esempio RBACSynapse RBAC is an additive model like Azure RBAC. È possibile assegnare più ruoli a una singola entità e a ambiti diversi.Multiple roles may be assigned to a single principal and at different scopes. Quando si calcolano le autorizzazioni di un'entità di sicurezza, il sistema considera tutti i ruoli assegnati al principale e ai gruppi che includono direttamente o indirettamente l'entità.When computing the permissions of a security principal, the system considers all roles assigned to the principal and to groups that directly or indirectly include the principal. Considera inoltre l'ambito di ogni assegnazione nella determinazione delle autorizzazioni valide.It also considers the scope of each assignment in determining the permissions that apply.

Applicazione delle autorizzazioni assegnateEnforcing assigned permissions

In sinapsi studio è possibile che pulsanti o opzioni specifiche risultino disattivate o che venga restituito un errore di autorizzazione quando si tenta di eseguire un'azione se non si hanno le autorizzazioni necessarie.In Synapse Studio, specific buttons or options may be grayed out or a permissions error may be returned when attempting an action if you don't have the required permissions.

Se un pulsante o un'opzione è disabilitata, il puntatore del mouse sul pulsante o sull'opzione Mostra una descrizione comando con l'autorizzazione richiesta.If a button or option is disabled, hovering over the button or option shows a tooltip with the required permission. Contattare un amministratore di sinapsi per assegnare un ruolo che conceda l'autorizzazione necessaria.Contact a Synapse Administrator to assign a role that grants the required permission. È possibile visualizzare i ruoli che forniscono azioni specifiche.You can see the roles that provide specific actions here.

Chi può assegnare i ruoli RBAC controlloWho can assign Synapse RBAC roles?

Solo un amministratore di sinapsi può assegnare i ruoli RBAC.Only a Synapse Administrator can assign Synapse RBAC roles. Un amministratore di sinapsi a livello di area di lavoro può concedere l'accesso a qualsiasi ambito.A Synapse Administrator at the workspace level can grant access at any scope. Un amministratore di sinapsi a un ambito di livello inferiore può concedere l'accesso solo a tale ambito.A Synapse Administrator at a lower-level scope can only grant access at that scope.

Quando viene creata una nuova area di lavoro, al creatore viene assegnato automaticamente il ruolo di amministratore di sinapsi nell'ambito dell'area di lavoro.When a new workspace is created, the creator is automatically given the Synapse Administrator role at workspace scope.

Dove si gestisce la sinapsi RBAC?Where do I manage Synapse RBAC?

Il controllo degli accessi in base al ruolo è gestito da sinapsi Studio mediante gli strumenti di controllo di accesso nell'hub Gestisci.Synapse RBAC is managed from within Synapse Studio using the Access control tools in the Manage hub.

Passaggi successiviNext steps

Comprendere i ruoli di controllo degli accessi in base al ruolo di sinapsipredefiniti.Understand the built-in Synapse RBAC roles.

Informazioni su come esaminare le assegnazioni di ruolo RBAC per un'area di lavoro.Learn how to review Synapse RBAC role assignments for a workspace.

Informazioni su come assegnare i ruoli di controllo delle sinapsiLearn how to assign Synapse RBAC roles