Wat is op rollen gebaseerd toegangsbeheer (RBAC) van Synapse?

  • Artikel

Synapse RBAC breidt de mogelijkheden van Azure RBAC uit voor Synapse-werkruimten en hun inhoud.

Azure RBAC wordt gebruikt om te beheren wie de Synapse-werkruimte en de BIJBEHORENDE SQL-pools, Apache Spark-pools en Integratieruntimes kan maken, bijwerken of verwijderen.

Synapse RBAC wordt gebruikt om te beheren wie:

  • Codeartefacten publiceren en gepubliceerde codeartefacten vermelden of openen,
  • Code uitvoeren op Apaches Spark-pools en -integratieruntimes,
  • Toegang tot gekoppelde (gegevens)services die zijn beveiligd met referenties
  • Bewaak of annuleer taakuitvoering, bekijk taakuitvoer en uitvoeringslogboeken.

Notitie

Synapse RBAC wordt gebruikt voor het beheren van de toegang tot gepubliceerde SQL-scripts, maar biedt slechts beperkt toegangsbeheer voor serverloze en toegewezen SQL-pools. Toegang tot SQL-pools wordt voornamelijk beheerd met behulp van SQL-beveiliging.

Wat kan ik doen met Synapse RBAC?

Hier volgen enkele voorbeelden van wat u kunt doen met Synapse RBAC:

  • Toestaan dat een gebruiker wijzigingen in Apache Spark-notebooks en -taken naar de liveservice publiceert.
  • Een gebruiker toestaan notebooks en Spark-taken uit te voeren en te annuleren in een specifieke Apache Spark-pool.
  • Sta een gebruiker toe om specifieke referenties te gebruiken, zodat deze pijplijnen kan uitvoeren die zijn beveiligd door de systeemidentiteit van de werkruimte en toegang heeft tot gegevens in gekoppelde services die zijn beveiligd met referenties.
  • Sta een beheerder toe om de uitvoering van taken voor specifieke Spark-pools te beheren, te controleren en te annuleren.

Hoe Synapse RBAC werkt

Net als Azure RBAC werkt Synapse RBAC door roltoewijzingen te maken. Een roltoewijzing bestaat uit drie elementen: een beveiligingsprincipal, een roldefinitie en een bereik.

Beveiligingsprincipals

Een beveiligingsprincipal is een gebruiker, groep, service-principal of beheerde identiteit.

Rollen

Een rol is een verzameling machtigingen of acties die kunnen worden uitgevoerd op specifieke resourcetypen of artefacttypen.

Synapse biedt ingebouwde rollen waarmee verzamelingen acties worden gedefinieerd die voldoen aan de behoeften van verschillende persona's:

  • Beheerders kunnen volledige toegang krijgen om een werkruimte te maken en te configureren
  • Ontwikkelaars kunnen SQL-scripts, notebooks, pijplijnen en gegevensstromen maken, bijwerken en fouten opsporen, maar deze code niet publiceren of uitvoeren op productie-rekenresources/-gegevens
  • Operators kunnen de systeemstatus, de uitvoering van toepassingen en logboeken controleren, zonder toegang tot code of de uitvoer van de uitvoering.
  • Beveiligingsmedewerkers kunnen eindpunten beheren en configureren zonder toegang te hebben tot code, rekenresources of gegevens.

Meer informatie over de ingebouwde Synapse-rollen.

Bereiken

Een bereik definieert de resources of artefacten waarop de toegang van toepassing is. Azure Synapse ondersteunt hiërarchische bereiken. Machtigingen die worden verleend op een hoger niveau, worden overgenomen door objecten op een lager niveau. In Synapse RBAC is het bereik op het hoogste niveau een werkruimte. Het toewijzen van een rol met werkruimtebereik verleent machtigingen voor alle toepasselijke objecten in de werkruimte.

De huidige ondersteunde bereiken binnen een werkruimte zijn:

  • Apache Spark-pool
  • Integratie-runtime
  • gekoppelde service
  • referenties

Toegang tot codeartefacten wordt verleend met werkruimtebereik. Het verlenen van toegang tot verzamelingen artefacten binnen een werkruimte wordt ondersteund in een latere release.

Roltoewijzingen oplossen om machtigingen te bepalen

Een roltoewijzing verleent een principal de machtigingen die zijn gedefinieerd door de rol in het opgegeven bereik.

Synapse RBAC is een additief model zoals Azure RBAC. Meerdere rollen kunnen worden toegewezen aan één principal en in verschillende bereiken. Bij het berekenen van de machtigingen van een beveiligingsprincipal houdt het systeem rekening met alle rollen die zijn toegewezen aan de principal en aan groepen die direct of indirect de principal bevatten. Ook wordt rekening gehouden met het bereik van elke toewijzing bij het bepalen van de machtigingen die van toepassing zijn.

Toegewezen machtigingen afdwingen

In Synapse Studio kunnen specifieke knoppen of opties grijs worden weergegeven of kan er een machtigingsfout worden geretourneerd bij het uitvoeren van een actie als u niet over de vereiste machtigingen beschikt.

Als een knop of optie is uitgeschakeld, wordt met de muisaanwijzer over de knop of optie knopinfo met de vereiste machtiging weergegeven. Neem contact op met een Synapse-beheerder om een rol toe te wijzen die de vereiste machtiging verleent. U kunt de rollen zien die specifieke acties bieden. Zie Synapse RBAC-rollen.

Wie kan Synapse RBAC-rollen toewijzen?

Synapse-beheerders kunnen Synapse RBAC-rollen toewijzen. Een Synapse-beheerder op werkruimteniveau kan toegang verlenen op elk bereik. Een Synapse-beheerder met een lager bereik kan alleen toegang verlenen op dat bereik.

Wanneer een nieuwe werkruimte wordt gemaakt, krijgt de maker automatisch de rol Synapse-beheerder binnen het bereik van de werkruimte.

Gebruikers met machtigingen voor het beheren van Azure RBAC-roltoewijzingen in de werkruimte kunnen ook Synapse RBAC-roltoewijzingen beheren, zodat gebruikers met machtigingen voor het beheren van Azure RBAC-roltoewijzingen in de werkruimte synapse RBAC-roltoewijzingen kunnen beheren, zodat synapse-beheerders of andere Synapse-roltoewijzingen kunnen worden toegevoegd.

Waar beheer ik Synapse RBAC?

Synapse RBAC wordt beheerd vanuit Synapse Studio met behulp van de hulpprogramma's voor toegangsbeheer in de hub Beheren.

Volgende stappen

Inzicht in de ingebouwde Synapse RBAC-rollen.

Meer informatie over het controleren van Synapse RBAC-roltoewijzingen voor een werkruimte.

Meer informatie over het toewijzen van Synapse RBAC-rollen