Что такое управление доступом на основе ролей в Synapse (RBAC)?

Механизм RBAC в Synapse расширяет возможности Azure RBAC для рабочих областей Synapse и их содержимого.

Azure RBAC используется для управления пользователями, которые могут создавать, обновлять или удалять рабочую область Synapse и ее пулы SQL, пулы Apache Spark и среду выполнения интеграции.

Механизм RBAC в Synapse используется для управления пользователями, которые могут делать следующее:

  • публиковать артефакты кода и перечислять опубликованные артефакты кода или получать к ним доступ;
  • выполнять код в пулах Apache Spark и средах выполнения интеграции;
  • получать доступ к связанным службам (данных), защищенным с помощью учетных данных;
  • выполнять мониторинг или отмену выполнения задания, просматривать выходные данные задания и журналы выполнения.

Примечание

Хотя механизм RBAC в Synapse используется для управления доступом к опубликованным скриптам SQL, он обеспечивает только ограниченное управление доступом к бессерверным пулам SQL и не используется для управления доступом к выделенным пулам SQL. Доступ к пулам SQL в основном контролируется с помощью системы безопасности SQL.

Какие возможности предоставляет механизм RBAC в Synapse?

Вот примеры того, что можно выполнять с помощью RBAC в Synapse:

  • Позволяет пользователю публиковать изменения, внесенные в записные книжки и задания Apache Spark в активной службе.
  • Позволяет пользователю выполнять и отменять записные книжки и задания Spark в определенном пуле Apache Spark.
  • Позволяет пользователю использовать определенные учетные данные для запуска конвейеров, защищенных удостоверением системы рабочей области, и получать доступ к данным в связанных службах, защищенных с помощью учетных данных.
  • Позволяет администратору отслеживать и отменять выполнение заданий, а также управлять им в определенных пулах Spark.

Принцип работы RBAC в Synapse

Как и в случае с Azure RBAC, Synapse RBAC работает путем создания назначений ролей. Чтобы создать назначение ролей, требуются три элемента: субъект безопасности, определение роли и область действия.

Субъекты безопасности

Субъектом безопасности является пользователь, группа, субъект-служба или управляемое удостоверение.

Роли

Роль — это коллекция разрешений или действий, которые можно выполнять с конкретными типами ресурсов или типами артефактов.

Synapse предоставляет встроенные роли, определяющие коллекции действий, которые соответствуют потребностям различных пользователей:

  • Администраторы могут получить полный доступ для создания и настройки рабочей области.
  • Разработчики могут создавать, обновлять и отлаживать скрипты SQL, записные книжки, конвейеры и потоки данных, но не могут публиковать или выполнять этот код в рабочих вычислительных ресурсах или данных.
  • Операторы могут отслеживать состояние системы, выполнение приложения и журналы проверок и управлять всем этим без доступа к коду или выходным данным выполнения.
  • Персонал безопасности может настраивать конечные точки и управлять ими без доступа к коду, вычислительным ресурсам или данным.

Узнайте больше о встроенных ролях в Synapse.

Области действия

Область определяет ресурсы и артефакты, к которым предоставляется доступ. Synapse поддерживает иерархические области. Разрешения, предоставленные в области более высокого уровня, наследуются объектами более низкого уровня. В Synapse RBAC областью верхнего уровня является рабочая область. При назначении роли с областью действия в рабочей области разрешения предоставляются всем применимым объектам в рабочей области.

Текущие поддерживаемые области в рамках рабочей области: пул Apache Spark, среда выполнения интеграции, связанная служба и учетные данные.

Доступ к артефактам кода предоставляется на уровне области действия рабочей области. Предоставление доступа к коллекциям артефактов в рамках рабочей области будет поддерживаться в более позднем выпуске.

Выделение назначений ролей для определения разрешений

Назначение ролей предоставляет субъекту разрешения, определенные ролью в указанной области.

Synapse RBAC — это аддитивная модель, такая как Azure RBAC. Одному субъекту в разных областях можно назначить несколько ролей. При вычислении разрешений субъекта безопасности система учитывает все роли, назначенные субъекту и группам, которые напрямую или косвенно включают субъект. Она также учитывает область каждого назначения при определении применяемых разрешений.

Применение назначенных разрешений

В Synapse Studio определенные кнопки или параметры могут быть неактивны или при выполнении действия могут возникать ошибки, связанные с разрешениями, если у вас нет необходимых разрешений.

Если кнопка или параметр отключены, при наведении указателя мыши на кнопку или параметр отображается подсказка с требуемым разрешением. Обратитесь к администратору Synapse, чтобы назначить роль, которая предоставляет необходимые разрешения. Роли, предоставляющие конкретные действия, можно просмотреть здесь.

Кто может назначать роли RBAC в Synapse?

Только администратор Synapse может назначать роли RBAC в Synapse. Администратор Synapse на уровне рабочей области может предоставлять доступ в любой области. Администратор Synapse в области более низкого уровня может предоставлять доступ только в этой области.

При создании рабочей области создатель автоматически получает роль администратора Synapse в области действия рабочей области.

Где можно управлять RBAC в Synapse?

Управление RBAC в Synapse осуществляется из Synapse Studio с помощью средств управления доступом в центре управления.

Дальнейшие действия

Изучите встроенные роли RBAC в Synapse.

Узнайте, как просматривать назначения ролей RBAC в Synapse для рабочей области.

Узнайте, как назначать роли RBAC в Synapse.