Synapse 역할 기반 access control (RBAC) 이란?What is Synapse role-based access control (RBAC)?

Synapse RBAC는 Synapse 작업 영역 및 해당 콘텐츠에 대 한 AZURE RBAC 의 기능을 확장 합니다.Synapse RBAC extends the capabilities of Azure RBAC for Synapse workspaces and their content.

Azure RBAC는 Synapse 작업 영역 및 해당 SQL 풀, Apache Spark 풀 및 통합 런타임을 만들고, 업데이트 하거나, 삭제할 수 있는 사람을 관리 하는 데 사용 됩니다.Azure RBAC is used to manage who can create, update, or delete the Synapse workspace and its SQL pools, Apache Spark pools, and Integration runtimes.

Synapse RBAC는 다음을 수행할 수 있는 사람을 관리 하는 데 사용 됩니다.Synapse RBAC is used to manage who can:

  • 코드 아티팩트를 게시 하 고 게시 된 코드 아티팩트를 나열 하거나 액세스 합니다.Publish code artifacts and list or access published code artifacts,
  • Apaches Spark 풀 및 통합 런타임에 코드 실행Execute code on Apaches Spark pools and Integration runtimes,
  • 자격 증명으로 보호 되는 연결 된 (데이터) 서비스 액세스Access linked (data) services protected by credentials
  • 작업 실행을 모니터링 하거나 취소 하 고, 작업 출력 및 실행 로그를 검토 합니다.Monitor or cancel job execution, review job output, and execution logs.

참고

Synapse RBAC는 게시 된 SQL 스크립트에 대 한 액세스를 관리 하는 데 사용 되지만 서버 리스 SQL 풀에 대 한 제한 된 액세스 제어만 제공 하며 전용 SQL 풀에 대 한 액세스를 제어 하는 데 사용 되지 않습니다.While Synapse RBAC is used to manage access to published SQL scripts, it provides only limited access control to serverless SQL pools and is not used to control access to dedicated SQL pools. Sql 풀에 대 한 액세스는 주로 SQL 보안을 사용 하 여 제어 됩니다.Access to SQL pools is primarily controlled using SQL security.

Synapse RBAC로 무엇을 할 수 있나요?What can I do with Synapse RBAC?

Synapse RBAC로 수행할 수 있는 작업의 몇 가지 예는 다음과 같습니다.Here are some examples of what you can do with Synapse RBAC:

  • 사용자가 Apache Spark 된 노트북 및 작업에 대 한 변경 내용을 라이브 서비스에 게시할 수 있습니다.Allow a user to publish changes made to Apache Spark notebooks and jobs to the live service.
  • 사용자가 특정 Apache Spark 풀에서 노트북 및 spark 작업을 실행 하 고 취소할 수 있도록 허용 합니다.Allow a user to run and cancel notebooks and spark jobs on a specific Apache Spark pool.
  • 사용자가 작업 영역 시스템 id로 보호 되는 파이프라인을 실행 하 고 자격 증명으로 보호 된 연결 된 서비스의 데이터에 액세스할 수 있도록 특정 자격 증명을 사용할 수 있습니다.Allow a user to use specific credentials so they can run pipelines secured by the workspace system identity and access data in linked services secured with credentials.
  • 관리자가 특정 Spark 풀에서 작업 실행을 관리, 모니터링 및 취소할 수 있도록 허용 합니다.Allow an administrator to manage, monitor, and cancel job execution on specific Spark Pools.

Synapse RBAC 작동 방법How Synapse RBAC works

Azure RBAC와 마찬가지로 Synapse RBAC는 역할 할당을 만드는 방식으로 작동 합니다.Like Azure RBAC, Synapse RBAC works by creating role assignments. 역할 할당은 보안 주체, 역할 정의, 범위라는 세 가지 요소로 구성됩니다.A role assignment consists of three elements: a security principal, a role definition, and a scope.

보안 주체Security Principals

보안 주체 는 사용자, 그룹, 서비스 주체 또는 관리 id입니다.A security principal is a user, group, service principal, or managed identity.

역할Roles

역할 은 특정 리소스 형식 또는 아티팩트 형식에 대해 수행할 수 있는 사용 권한 또는 작업의 컬렉션입니다.A role is a collection of permissions or actions that can be performed on specific resource types or artifact types.

Synapse은 여러 가상 사용자의 요구 사항과 일치 하는 작업의 컬렉션을 정의 하는 기본 제공 역할을 제공 합니다.Synapse provides built-in roles that define collections of actions that match the needs of different personas:

  • 관리자는 작업 영역을 만들고 구성 하기 위한 모든 권한을 얻을 수 있습니다.Administrators can get full access to create and configure a workspace
  • 개발자는 SQL 스크립트, 노트북, 파이프라인 및 데이터 흐름를 만들고 업데이트 하 고 디버그할 수 있지만 프로덕션 계산 리소스/데이터에는이 코드를 게시 하거나 실행할 수 없습니다.Developers can create, update and debug SQL scripts, notebooks, pipelines, and dataflows, but not be able to publish or execute this code on production compute resources/data
  • 운영자는 코드 또는 실행 출력에 액세스 하지 않고도 시스템 상태, 응용 프로그램 실행 및 검토 로그를 모니터링 하 고 관리할 수 있습니다.Operators can monitor and manage system status, application execution and review logs, without access to code or the outputs from execution.
  • 보안 담당자는 코드, 계산 리소스 또는 데이터에 액세스 하지 않고도 끝점을 관리 하 고 구성할 수 있습니다.Security staff can manage and configure endpoints without having access to code, compute resources or data.

기본 제공 Synapse 역할에 대해 자세히 알아보세요 .Learn more about the built-in Synapse roles.

범위Scopes

범위 는 액세스에 적용 되는 리소스 또는 아티팩트를 정의 합니다.A scope defines the resources or artifacts that the access applies to. Synapse는 계층적 범위를 지원 합니다.Synapse supports hierarchical scopes. 상위 수준 범위에서 부여 된 사용 권한은 하위 수준의 개체에 상속 됩니다.Permissions granted at a higher-level scope are inherited by objects at a lower level. Synapse RBAC에서 최상위 범위는 작업 영역입니다.In Synapse RBAC, the top-level scope is a workspace. 작업 영역 범위에 역할을 할당 하면 작업 영역에서 적용 가능한 모든 개체에 대 한 사용 권한을 부여 합니다.Assigning a role with workspace scope grants permissions to all applicable objects in the workspace.

작업 영역 내에서 현재 지원 되는 범위는 Apache Spark 풀, Integration runtime, 연결 된 서비스 및 자격 증명입니다.Current supported scopes within a workspace are: Apache Spark pool, Integration runtime, linked service, and credential.

작업 영역 범위에서 코드 아티팩트에 대 한 액세스 권한이 부여 됩니다.Access to code artifacts is granted with workspace scope. 작업 영역 내에서 아티팩트 컬렉션에 대 한 액세스 권한은 이후 릴리스에서 지원 될 예정입니다.Granting access to collections of artifacts within a workspace will be supported in a later release.

역할 할당을 확인 하 여 사용 권한 확인Resolving role assignments to determine permissions

역할 할당은 지정 된 범위에서 역할이 정의한 권한을 보안 주체에 부여 합니다.A role assignment grants the principal the permissions defined by the role at the specified scope.

Synapse RBAC는 Azure RBAC와 같은 추가 모델입니다.Synapse RBAC is an additive model like Azure RBAC. 여러 역할을 단일 보안 주체 및 여러 범위에 할당할 수 있습니다.Multiple roles may be assigned to a single principal and at different scopes. 보안 주체의 사용 권한을 계산할 때 시스템은 주 서버에 할당 된 모든 역할과 해당 보안 주체를 직접적 또는 간접적으로 포함 하는 그룹으로 간주 합니다.When computing the permissions of a security principal, the system considers all roles assigned to the principal and to groups that directly or indirectly include the principal. 또한 각 할당의 범위는 적용 되는 사용 권한을 결정 하는 것으로 간주 됩니다.It also considers the scope of each assignment in determining the permissions that apply.

할당 된 권한 적용Enforcing assigned permissions

Synapse Studio에서는 특정 단추나 옵션이 회색으로 표시 되거나 필요한 권한이 없는 경우 작업을 시도할 때 권한 오류가 반환 될 수 있습니다.In Synapse Studio, specific buttons or options may be grayed out or a permissions error may be returned when attempting an action if you don't have the required permissions.

단추나 옵션을 사용 하지 않도록 설정 하면 단추나 옵션을 마우스로 가리키면 필요한 권한이 있는 도구 설명이 표시 됩니다.If a button or option is disabled, hovering over the button or option shows a tooltip with the required permission. Synapse 관리자에 게 문의 하 여 필요한 사용 권한을 부여 하는 역할을 할당 합니다.Contact a Synapse Administrator to assign a role that grants the required permission. 여기에서 특정 작업을 제공 하는 역할을 볼 수 있습니다.You can see the roles that provide specific actions here.

Synapse RBAC 역할을 할당할 수 있는 사람은 누구 인가요?Who can assign Synapse RBAC roles?

Synapse 관리자만 Synapse RBAC 역할을 할당할 수 있습니다.Only a Synapse Administrator can assign Synapse RBAC roles. 작업 영역 수준에서 Synapse 관리자는 모든 범위에서 액세스 권한을 부여할 수 있습니다.A Synapse Administrator at the workspace level can grant access at any scope. 하위 수준 범위의 Synapse 관리자는 해당 범위 에서만 액세스 권한을 부여할 수 있습니다.A Synapse Administrator at a lower-level scope can only grant access at that scope.

새 작업 영역을 만들면 작업 영역 범위에서 작성자에 게 자동으로 Synapse 관리자 역할이 부여 됩니다.When a new workspace is created, the creator is automatically given the Synapse Administrator role at workspace scope.

Synapse RBAC는 어디에서 관리 하나요?Where do I manage Synapse RBAC?

Synapse RBAC는 관리 허브의 액세스 제어 도구를 사용 하 여 Synapse Studio 내에서 관리 됩니다.Synapse RBAC is managed from within Synapse Studio using the Access control tools in the Manage hub.

다음 단계Next steps

기본 제공 SYNAPSE RBAC 역할을 이해 합니다.Understand the built-in Synapse RBAC roles.

작업 영역에 대 한 SYNAPSE RBAC 역할 할당을 검토 하는 방법 에 대해 알아봅니다.Learn how to review Synapse RBAC role assignments for a workspace.

SYNAPSE RBAC 역할을 할당 하는 방법 알아보기Learn how to assign Synapse RBAC roles