Toegangsbeheer voor Azure Synapse

  • Artikel

Dit artikel bevat een overzicht van de mechanismen die beschikbaar zijn voor het beheren van de toegang tot Azure Synapse-rekenresources en -gegevens.

Overzicht

Azure Synapse biedt een uitgebreid en nauwkeurig toegangscontrolesysteem dat de volgende elementen met elkaar integreert:

  • Azure-rollen voor het beheren van resources en voor toegang tot gegevens in de opslag;
  • Synapse-rollen voor het beheren van livetoegang tot code en de uitvoering ervan;
  • SQL-rollen voor gegevensvlaktoegang tot gegevens in SQL-pools en
  • Git-machtigingen voor broncodebeheer, inclusief ondersteuning voor continue integratie en implementatie.

Azure Synapse-rollen bieden machtigingensets die kunnen worden toegepast op verschillende bereiken. Deze granulariteit maakt het eenvoudig om de juiste toegang te verlenen aan beheerders, ontwikkelaars, beveiligingspersoneel en operators tot rekenresources en gegevens.

Toegangsbeheer kan worden vereenvoudigd door gebruik te maken van beveiligingsgroepen die zijn afgestemd op de functies van personen. Om toegang te beheren hoeft u alleen maar gebruikers toe te voegen aan de juiste beveiligingsgroepen of ze eruit te verwijderen.

Elementen van toegangsbeheer

Azure Synapse-rekenresources maken en beheren

Azure-rollen worden gebruikt voor het beheren van:

  • Toegewezen SQL-pools
  • Data Explorer-pools
  • Apache Spark-pools
  • Integration Runtimes

Als u deze resources wilt maken, moet u een Azure-eigenaar of -inzender zijn voor de resourcegroep. Als u ze wilt beheren nadat ze zijn gemaakt, moet u een Azure-eigenaar of -inzender zijn voor de resourcegroep of voor de afzonderlijke resources.

Een Azure-eigenaar of -inzender kan verificatie voor Microsoft Entra-only in- of uitschakelen voor Azure Synapse-werkruimten. Zie Lokale verificatie uitschakelen in Azure Synapse Analytics voor meer informatie over alleen-Entra-verificatie.

Code ontwikkelen en uitvoeren in Azure Synapse

Synapse ondersteunt twee ontwikkelmodellen.

  • Synapse-liveontwikkeling. In Synapse Studio ontwikkelt u code en lost u fouten in code op, waarna u de code publiceert om deze op te slaan en uit te voeren. De Synapse-service is de bron van waarheid als het gaat om het bewerken en uitvoeren van code. Ongepubliceerd werk gaat verloren wanneer u Synapse Studio sluit.
  • Ontwikkelen met Git-functionaliteit. U kunt code ontwikkelen en fouten opsporen in Synapse Studio en wijzigingen doorvoeren in een werkende vertakking van een Git-opslagplaats. Werk van een of meer vertakkingen wordt geïntegreerd in een samenwerkingsvertakking, van waaruit u deze naar de service kunt publiceren. De Git-opslagplaats is de bron van waarheid voor het bewerken van code, terwijl de service de bron van waarheid is voor de uitvoering ervan. Wijzigingen moeten worden doorgevoerd in de Git-opslagplaats of naar de service worden gepubliceerd voordat Synapse Studio wordt gesloten. Meer informatie over het gebruik van Synapse Analytics met Git.

In beide ontwikkelmodellen kan elke gebruiker met toegang tot Synapse Studio codeartefacten maken. U hebt echter aanvullende machtigingen nodig om artefacten te publiceren naar de service, gepubliceerde artefacten te lezen, wijzigingen door te voeren in Git, code uit te voeren en om toegang te krijgen tot gekoppelde gegevens die worden beveiligd met referenties. Gebruikers moeten de rol Azure-inzender (Azure RBAC) of hoger hebben in de Synapse-werkruimte om instellingen te configureren, te bewerken en een Git-opslagplaats te verbreken met Synapse.

Azure Synapse-rollen

Azure Synapse-rollen worden gebruikt om de toegang tot de Synapse-service te beheren. Met verschillende rollen kunt u het volgende doen:

  • Gepubliceerde codeartefacten weergeven;
  • Codeartefacten, gekoppelde services en referentiedefinities publiceren;
  • Code of pijplijnen uitvoeren die gebruikmaken van Synapse -rekenresources;
  • Code of pijplijnen uitvoeren die toegang hebben tot gekoppelde gegevens die zijn beveiligd met referenties;
  • Uitvoer weergeven die is gekoppeld aan gepubliceerde codeartefacten;
  • De status van rekenresources controleren en runtimelogboeken bekijken.

Azure Synapse-rollen kunnen worden toegewezen aan het werkruimtebereik of aan nauwkeurigere bereiken om de machtigingen te beperken die zijn verleend aan specifieke Azure Synapse-resources.

Git-machtigingen

Wanneer u ontwikkeling met Git in de Git-modus gebruikt, hebt u Naast de Synapse-gebruikers- of Synapse RBAC-rollen (op rollen gebaseerd toegangsbeheer) git-machtigingen nodig om codeartefacten te lezen, waaronder gekoppelde service- en referentiedefinities. Als u wijzigingen wilt doorvoeren in codeartefacten in de Git-modus, hebt u Git-machtigingen en de rol Synapse Artifact Publisher (Synapse RBAC) nodig.

Toegang tot gegevens in SQL

Wanneer u met toegewezen en serverloze SQL-pools werkt, wordt de toegang tot het gegevensvlak beheerd met behulp van SQL-machtigingen.

De maker van een werkruimte wordt als Active Directory-beheerder aan de werkruimte toegewezen. Nadat deze rol is gemaakt, kan deze in Azure Portal worden toegewezen aan een andere gebruiker of aan een beveiligingsgroep.

Serverloze SQL-pools: Synapse Beheer istrators worden (DBO) machtigingen verleend db_owner voor de serverloze SQL-pool, 'Ingebouwd'. Als u andere gebruikers toegang wilt verlenen tot de serverloze SQL-pool, moeten Synapse-beheerders SQL-scripts uitvoeren in de serverloze pool.

Toegewezen SQL-pools: Synapse Beheer istrators hebben volledige toegang tot gegevens in toegewezen SQL-pools en de mogelijkheid om toegang te verlenen aan andere gebruikers. Synapse Beheer istrators kunnen ook configuratie- en onderhoudsactiviteiten uitvoeren op toegewezen pools, met uitzondering van het verwijderen van databases. Aan de maker van de werkruimte en de MSI van de werkruimte wordt de Active Directory-beheerdersmachtiging verleend. Anders worden machtigingen voor toegang tot toegewezen SQL-pools niet automatisch verleend. Als u andere gebruikers of groepen toegang wilt verlenen tot toegewezen SQL-pools, moet de Active Directory-Beheer of Synapse-Beheer istrator SQL-scripts uitvoeren op elke toegewezen SQL-pool.

In Toegangsbeheer voor Synapse instellen vindt u voorbeelden van SQL-scripts voor het verlenen van SQL-machtigingen in SQL-pools.

Toegang tot gegevens in Data Explorer-pools

Wanneer u met Data Explorer-pools werkt, wordt de toegang tot het gegevensvlak beheerd via Data Explorer-machtigingen. Synapse Beheer istrators krijgen machtigingen voor All Database admin Data Explorer-pools. Als u andere gebruikers of groepen toegang wilt verlenen tot Data Explorer-pools, moeten Synapse-beheerders verwijzen naar beveiligingsrollenbeheer. Zie het overzicht van Data Explorer-toegangsbeheer voor meer informatie over toegang tot gegevensvlakken.

Toegang tot door het systeem beheerde gegevens in de opslag

Serverloze SQL-pools en Apache Spark-tabellen slaan hun gegevens op in een ADLS Gen2-container die aan de werkruimte is gekoppeld. Door de gebruiker geïnstalleerde Apache Spark-bibliotheken worden ook in hetzelfde opslagaccount beheerd. Om deze gebruikstoepassingen mogelijk te maken moet aan gebruikers en aan de MSI van de werkruimte toegang als Gegevensbijdrager voor opslagblob zijn verleend voor deze ADLS Gen2-opslagcontainer.

Beveiligingsgroepen gebruiken als best practice

Als u het toegangsbeheer wilt vereenvoudigen, kunt u beveiligingsgroepen gebruiken om rollen aan individuen en groepen toe te wijzen. Beveiligingsgroepen kunnen worden gemaakt om persona's of functies in uw organisatie die toegang nodig hebben tot Synapse-resources of -artefacten, te spiegelen. Aan deze beveiligingsgroepen op basis van een persona kunnen vervolgens een of meer Azure-rollen, Synapse-rollen, SQL-machtigingen of Git-machtigingen worden toegewezen. Met goed gekozen beveiligingsgroepen is het makkelijk om aan een gebruiker de vereiste machtigingen toe te wijzen door deze toe te voegen aan de juiste beveiligingsgroep.

Notitie

Als u beveiligingsgroepen gebruikt om de toegang te beheren, wordt er extra latentie geïntroduceerd door Microsoft Entra ID voordat wijzigingen van kracht worden.

Afdwinging van toegangsbeheer in Synapse Studio

Synapse Studio werkt anders afhankelijk van uw machtigingen en de huidige modus:

  • Synapse livemodus: Synapse Studio voorkomt dat u gepubliceerde inhoud, publicatie-inhoud of andere acties kunt uitvoeren als u niet over de vereiste machtigingen beschikt. In sommige gevallen wordt voorkomen dat u codeartefacten maakt die u niet kunt gebruiken of opslaan.
  • Git-modus: Als u Git-machtigingen hebt waarmee u wijzigingen kunt doorvoeren in de huidige vertakking, is de doorvoeractie toegestaan als u gemachtigd bent om wijzigingen te publiceren in de liveservice (synapse Artifact Publisher-rol).

In sommige gevallen kunt u codeartefacten maken, zelfs zonder toestemming om te publiceren of doorvoeren. Op die manier kunt u code uitvoeren (met de vereiste uitvoeringsmachtigingen). Zie Voor meer informatie over de rollen die vereist zijn voor algemene taken inzicht in de rollen die vereist zijn voor het uitvoeren van algemene taken in Azure Synapse.

Als een functie is uitgeschakeld in Synapse Studio, wordt in de knop Info de vereiste machtiging weergegeven. Gebruik de Handleiding Synapse RBAC-rollen als u wilt opzoeken welke rol de ontbrekende machtiging heeft.

Volgende stappen