Gerenciamento de dados e controle de acesso baseado em função para a análise em escala de nuvem no Azure
Autorização é o ato de conceder a uma parte autenticada a permissão para executar uma ação. O princípio fundamental do controle de acesso é dar aos usuários apenas a quantidade de acesso de que eles precisam para executarem seus trabalhos e permitir somente certas ações em um escopo específico. O RBAC (controle de acesso baseado em função/segurança baseada em função) corresponde ao controle de acesso e é usado por muitas organizações para controlar o acesso com base em funções definidas ou funções de trabalho versus usuários individuais. Depois, os usuários recebem uma ou mais funções de segurança, cada uma das quais recebe permissões autorizadas para executar tarefas específicas.
Ao usar o Microsoft Entra ID como o provedor de identidade centralizado, a autorização para acessar serviços de dados e armazenamento pode ser concedida por usuário ou por aplicativo e é baseada em uma identidade do Microsoft Entra. A autorização abrange o RBAC para a lista de controle de acesso e serviço no nível de arquivo, pasta ou objeto no armazenamento.
Autorização do serviço de dados
O Microsoft Azure inclui o RBAC padrão e interno, que é um sistema de autorização criado no Azure Resource Manager e que fornece gerenciamento de acesso detalhado aos recursos do Azure. As funções RBAC ajudam a controlar os níveis de acesso aos recursos; o que uma entidade de segurança, usuário, grupo, serviço ou aplicativo pode fazer com os recursos e áreas às quais têm acesso? Ao planejar uma estratégia de controle de acesso, é recomendável conceder aos usuários apenas a quantidade de acesso de que eles precisam para executar seus trabalhos e permitir apenas determinadas ações em um escopo específico.
As seguintes funções internas são fundamentais para todos os tipos de recursos do Azure, incluindo os serviços de dados do Azure:
| Descrição | |
|---|---|
| Proprietário: | Essa função tem acesso completo ao recurso e pode gerenciar tudo sobre ele, incluindo o direito de conceder acesso a ele. |
| Colaborador: | Essa função pode gerenciar o recurso, mas não pode conceder acesso a ele. |
| Leitor: | Essa função pode ver o recurso e as informações sobre ele (exceto informações confidenciais, como chaves de acesso ou segredos), mas não pode fazer nenhuma alteração no recurso. |
Alguns serviços têm funções RBAC específicas, como Colaborador de dados do blob de armazenamento ou Colaborador do Data Factory, o que significa que funções RBAC específicas devem ser usadas para esses serviços. O RBAC é um modelo aditivo em que adicionar atribuições de função é uma permissão ativa. O RBAC também dá suporte a atribuições de negação, que têm precedência sobre atribuições de função.
Práticas gerais de RBAC para análises em escala de nuvem no Azure
As práticas recomendadas a seguir podem ajudar você a começar a usar o RBAC:
Usar funções RBAC para gerenciamento de serviços e operações e usar funções específicas ao serviço para acesso a dados e tarefas específicas da carga de trabalho: use funções RBAC em recursos do Azure para conceder permissão a entidades de segurança que precisam executar tarefas de operações e gerenciamento de recursos. As entidades de segurança que precisam acessar dados no armazenamento não exigem uma função RBAC no recurso, pois não precisam gerenciá-lo. Em vez disso, conceda diretamente a permissão a objetos de dados. Por exemplo, conceda acesso de leitura a uma pasta no Azure Data Lake Storage Gen2 ou uma permissão de usuário e tabela de banco de dados independente em um banco de dados no Banco de Dados SQL do Azure.
Usar funções internas de RBAC: primeiro, use as funções de recurso internas do Azure RBAC para gerenciar serviços e atribuir funções de operações para controlar o acesso. Crie e use funções personalizadas para recursos do Azure somente quando as funções internas não atenderem a necessidades específicas.
Usar grupos para gerenciar o acesso: atribua acesso a grupos do Microsoft Entra e gerencie associações de grupo para gerenciamento de acesso contínuo.
Escopos de assinatura e grupo de recursos: embora faça sentido conceder acesso no escopo do grupo de recursos para separar as necessidades de acesso para gerenciamento de serviços e operações em vez de conceder acesso a recursos individuais (especialmente em um ambiente que não seja de produção), você pode conceder acesso a recursos individuais para tarefas específicas da carga de trabalho, como suporte e operações do sistema de arquivos do data lake, especialmente no ambiente de produção. Isso porque, em ambientes que não são de produção, desenvolvedores e testadores precisarão gerenciar recursos como a criação de um pipeline de ingestão do Azure Data Factory ou criação de um contêiner no Data Lake Storage Gen2. Durante a produção, os usuários só precisam usar recursos como exibir o status de um pipeline de ingestão do Data Factory agendado ou ler arquivos de dados no Data Lake Storage Gen2.
Não conceda acesso desnecessário no escopo da assinatura: esse escopo abrange todos os recursos dentro da assinatura.
Optar pelo acesso de privilégios mínimos: selecione a função certa e única para o trabalho.
Próximas etapas
Provisionar segurança para análise de escala de nuvem no Azure