Gerenciamento de identidade e acesso para a Instância Gerenciada SQL habilitada para Azure Arc
Este artigo descreve a arquitetura de gerenciamento de identidade e acesso (IAM) da Instância Gerenciada SQL habilitada para Azure Arc, considerações de design e recomendações para vários cenários.
A Instância Gerenciada SQL habilitada para Arc depende da extensão de serviços de dados habilitada para ArcGIS do Azure em execução no cluster Kubernetes habilitado para ArcGIS do Azure. A seguir estão os vários componentes dos serviços de dados habilitados para Azure Arc que são importantes para o gerenciamento de identidade e acesso como parte dessa área de design crítica.
- Azure Arc Data Controller
- Azure Arc Ative Directory Connector
- SQL Managed Instance preparado para o Azure Arc
Arquitetura
Autenticação do SQL
A autenticação SQL é suportada para a Instância Gerenciada SQL habilitada para Arc usando identidades SQL locais. O método de autenticação SQL é usado durante o primeiro logon para criar credenciais de entrada do Windows para administradores e conceder permissões ao banco de dados para acessar a Instância Gerenciada SQL habilitada para Arc usando a autenticação do Ative Directory. Os painéis Grafana e Kibana suportam apenas autenticação básica no momento.
Autenticação do Active Directory
Para muitas organizações empresariais, a autenticação do Ative Directory (AD) é o padrão para impor o RBAC (controle de acesso baseado em função) com SQL Servers em execução no local e em ambientes de nuvem. A Instância Gerenciada SQL habilitada para Azure Arc dá suporte à autenticação AD para migrar perfeitamente bancos de dados existentes do SQL Server para a Instância Gerenciada SQL habilitada para Arc e manter-se atualizado com a versão mais recente do SQL Server e os patches de segurança.
A Instância Gerenciada SQL habilitada para Arc usa o keytab Kerberos para dar suporte à autenticação do AD quando executada em clusters Kubernetes habilitados para Arc. O conector do Ative Directory é um componente chave nos serviços de dados habilitados para Arc para dar suporte à autenticação do AD.
A seguir estão duas maneiras de gerar e gerenciar o keytab Kerberos e usá-lo na Instância Gerenciada SQL habilitada para Arc. As seções a seguir explicam os cenários e quando usar o modo keytab apropriado.
Keytab gerenciado pelo sistema
O conector do Ative Directory no modo keytab gerenciado pelo sistema simplifica a geração de contas do AD e o gerenciamento de keytab para a Instância Gerenciada SQL habilitada para Arc. O conector do AD é responsável por criar as contas de serviço, atribuir entidades de serviço e gerar keytab para dar suporte à autenticação do AD. Esse método é recomendado para clientes que preferem simplificar operações em vez de controle granular para gerenciar automaticamente o keytab para autenticação do AD.
Figura 1: Diagrama de arquitetura para o conector AD no modo keytab gerenciado pelo sistema.
Keytab gerenciado pelo cliente
O conector do Ative Directory no modo keytab gerenciado pelo cliente fornece controle total do gerenciamento de contas de serviço, entidades de serviço e geração de keytab para os clientes que seguem estritamente o processo ITIL (Information Technology Infrastructure Library) e a separação de tarefas para delegar atividades a diferentes equipes.
Figura 2: Diagrama de arquitetura para o conector AD no modo keytab gerenciado pelo cliente.
Azure Arc Data Controller
Quando a extensão de serviços de dados habilitada para Arc é instalada no modo Diretamente conectado, uma identidade gerenciada é criada para que os serviços de dados habilitados para Arc interajam com o plano de controle e o plano de dados das APIs do Azure Resource Manager (ARM). O Azure Arc Data Controller usa essa identidade gerenciada para executar essas ações ao gerenciar a Instância Gerenciada SQL habilitada para Arc.
Em um modo de conectividade indireta, uma entidade de serviço com as permissões necessárias é necessária pelo Azure Arc Data Controller para exportar periodicamente informações de uso, como inventário e uso de recursos, para o Azure.
Azure RBAC em serviços de dados habilitados para Azure Arc
A seguir estão as permissões RBAC necessárias para publicar métricas de monitoramento no Azure Monitor.
| Função | Descrição |
|---|---|
| Editor de Métricas de Monitoramento | Permite a publicação de métricas em relação aos recursos do Azure. |
Acesso seguro à Instância Gerenciada SQL habilitada para Azure Arc
O diagrama de arquitetura a seguir mostra o acesso seguro usando a autenticação do AD.
O diagrama de arquitetura a seguir mostra o acesso seguro usando a autenticação SQL.
Considerações de design
Analise a área de design crítica de gerenciamento de identidade e acesso das zonas de aterrissagem do Azure para avaliar o efeito dos serviços de dados habilitados para o Azure Arc em seu modelo geral de identidade e acesso.
Implantação de serviços de dados habilitados para Arc
Considere a identidade que está sendo usada para implantar serviços de dados habilitados para ArcGIS dependendo do tipo de implantação, como manual ou automatizada, para implantação de serviços de dados habilitados para Arc. Essa identidade pode ser uma conta Microsoft Entra ou uma conta LDAP (Lightweight Directory Access Protocol) dos Serviços de Domínio Ative Directory (AD DS) ou um provedor LDAP de terceiros com base em como os controles de acesso Kubernetes habilitados para Azure Arc subjacentes são gerenciados no local ou em outros ambientes de nuvem.
Considere se o controle de acesso baseado em grupo ou os controles de acesso baseados em identidade individual são mais apropriados para sua organização de Tecnologia da Informação (TI) gerenciar serviços de dados habilitados para Arc com base na sobrecarga de operações criada por ambas as opções.
Considere entre administradores do Kubernetes habilitados para Azure Arc vs grupo de gerenciamento de banco de dados (DMG) versus grupo de administração de aplicativos para implantar e gerenciar serviços de dados habilitados para Azure Arc, dependendo da governança de segurança da sua organização e dos requisitos de separação de tarefas.
Considere o padrão de uso entre keytab gerenciado pelo sistema e keytab gerenciado pelo cliente para implantar o Azure Arc AD Connector para dar suporte à autenticação do AD na Instância Gerenciada SQL habilitada para Arc. Ambos os métodos têm os benefícios de operações simplificadas em comparação com o controle total do cliente de gerenciamento de contas de serviço e keytab para suporte à autenticação do AD.
Acesso a serviços de dados habilitados para Arc
Os controles de acesso da Instância Gerenciada SQL habilitados para Arc são totalmente independentes dos controles de acesso Kubernetes habilitados para Azure Arc subjacentes. É importante tomar algumas decisões de design para administrar a Instância Gerenciada SQL habilitada para Arc e fornecer acesso a aplicativos de consumo e usuários finais.
Escolha entre autenticação AD e SQL, dependendo dos aplicativos ou recursos de serviço da sua organização. Como nem todos os aplicativos oferecem suporte à autenticação do AD, revise as políticas de segurança da sua organização para tipos de autenticação permitidos e imponha os controles de segurança adicionais necessários ao usar a autenticação SQL.
Quando os serviços nativos da nuvem precisarem autenticar e se conectar a bancos de dados de Instância Gerenciada SQL habilitados para Arc para extrair e ingerir dados em serviços de análise de dados, considere o uso de máquinas virtuais ou físicas de tempo de execução auto-hospedadas no local que são associadas ao AD por SQL para autenticar e se conectar à Instância Gerenciada SQL habilitada para Arc.
Recomendações de design
Além das recomendações de design a seguir, revise as recomendações de design de gerenciamento de identidade e acesso para o Kubernetes habilitado para ArcGIS desde que a Instância Gerenciada SQL habilitada para ArcGIS é implantada no cluster Kubernetes habilitado para Arc.
Implantação de serviços de dados habilitados para Arc
Para organizações empresariais que seguem processos ITIL rigorosos, isole as equipes responsáveis pelo gerenciamento de serviços de dados habilitados para ArcGIS do Kubernetes habilitado para Arc criando grupos de segurança diferentes e, em seguida, atribua permissões para gerenciar serviços de dados habilitados para Arc.
Use o modo keytab gerenciado pelo sistema para suporte à autenticação do AD para descarregar a sobrecarga de gerenciamento de keytab e conta de domínio para simplificar as operações.
Use o modo keytab gerenciado pelo cliente para autenticação do AD para ter controle total da criação da conta de serviço e da geração do keytab.
Crie uma unidade organizacional (UO) do AD dedicada para delegar o controle de acesso e simplificar as operações para todas as contas da Instância Gerenciada SQL habilitada para Arc.
Use a criptografia AES256 para arquivos keytab Kerberos e evite o uso de cifras RC4.
Acesso a serviços de dados habilitados para Arc
Quando apropriado, use a autenticação do AD com a Instância Gerenciada do SQL para descarregar o gerenciamento do ciclo de vida do usuário para serviços de diretório e use grupos de segurança no AD para gerenciar permissões de usuário.
Use a autenticação SQL com a Instância Gerenciada SQL habilitada para Arc como um tipo de autenticação menos preferencial e quando não for possível usar a autenticação do AD.
Depois que a autenticação do AD for possível para suas necessidades organizacionais, evite usar a autenticação SQL para operações diárias. Use a autenticação SQL somente para acesso de emergência ao servidor de banco de dados para administração de banco de dados.
Em cenários de implantação que não oferecem suporte à autenticação do AD, use a autenticação SQL com suporte na Instância Gerenciada SQL habilitada para Arc. Certifique-se de usar políticas de senha forte e habilitar a auditoria para monitorar identidades de usuário SQL e permissões concedidas para acessar servidores de banco de dados e bancos de dados.
Controles de acesso baseados em função (RBAC)
No modo keytab gerenciado pelo sistema, permissões explícitas para DSA (Conta de Serviço de Domínio) são necessárias no nível da UO do Ative Directory para a Instância Gerenciada SQL habilitada para Arc.
A seguir estão as permissões RBAC necessárias. Para o modo keytab gerenciado pelo cliente, não são necessárias permissões explícitas para a conta de serviço de domínio no nível da UO do Ative Directory.
Permissões do Azure Arc AD Connector
| Permissão | Descrição |
|---|---|
| Ler todos os imóveis | Permite ler todas as propriedades de um objeto de diretório. |
| Escrever todas as propriedades | Permitir atualizações para todas as propriedades do objeto de diretório. |
| Criar objetos de usuário | Permitir a criação de objetos de diretório na UO. |
| Excluir objetos de usuário | Permitir a exclusão de objetos de diretório na UO. |
| Repor palavra-passe | Permitir a redefinição de senha de objetos de usuário na UO. |
Funções do SQL Server
Próximos passos
Para obter mais informações sobre o gerenciamento de identidade e acesso da Instância Gerenciada SQL habilitada para Azure Arc, consulte os seguintes artigos:
- Instância Gerenciada SQL habilitada para Azure Arc com autenticação do Ative Directory
- Instância Gerenciada SQL habilitada para Azure Arc nos pré-requisitos de autenticação do Ative Directory
- Tutorial: Implantar o conector do Ative Directory usando a CLI do Azure
- Implantar a Instância Gerenciada SQL integrada do Azure Arc integrada ao Ative Directory
- Experimente cenários automatizados da Instância Gerenciada SQL habilitada para Azure Arc com o Azure Arc Jumpstart.
- Para saber mais sobre o Azure Arc, revise o caminho de aprendizado do Azure Arc no Microsoft Learn.