什麼是 Synapse 角色型存取控制 (RBAC)?
Synapse RBAC 可延伸 Azure RBAC 的功能,以用於 Synapse 工作區及其內容。
Azure RBAC 用來管理誰可以建立、更新或刪除 Synapse 工作區及其 SQL 集區、Apache Spark 集區和整合執行階段。
Synapse RBAC 用來管理誰可以:
- 發佈程式碼成品,並列出或存取已發佈的程式碼成品、
- 在 Apaches Spark 集區和整合執行階段執行程式碼、
- 存取受認證保護的連結 (資料) 服務
- 監視或取消工作執行、檢閱工作輸出和執行記錄。
注意
雖然 Synapse RBAC 是用來管理已發佈 SQL 指令碼的存取權,但其僅對無伺服器和專用 SQL 集區提供有限的存取控制。 SQL 集區的存取權主要是使用 SQL 安全性來控制。
Synapse RBAC 的用途是什麼?
以下是 Synapse RBAC 用途的一些範例:
- 允許使用者將對 Apache Spark 筆記本和工作所做的變更發佈至即時服務。
- 允許使用者在特定的 Apache Spark 集區上執行和取消筆記本與 Spark 工作。
- 允許使用者使用特定的認證,讓其可以執行工作區系統身分識別所保護的管線,並存取以認證保護的連結服務中的資料。
- 允許系統管理員管理、監視和取消特定 Spark 集區上的工作執行。
Synapse RBAC 的運作方式
如同 Azure RBAC,Synapse RBAC 的運作方式是建立角色指派。 角色指派是由以下三個元素組成:安全性主體、角色定義和範圍。
安全性主體
安全性主體是使用者、群組、服務主體或受控識別。
角色
角色是權限或動作的集合,可以在特定資源類型或成品類型上執行。
Synapse 提供內建角色,可定義符合不同角色需求的動作集合:
- 系統管理員可以取得完整的存取權,以建立和設定工作區
- 開發人員可以建立、更新和 SQL 指令碼、筆記本、管線和資料流程,並對其偵錯,但無法在生產計算資源/資料上發佈或執行此程式碼
- 操作員可以監視和管理系統狀態、應用程式執行和檢閱記錄,而不需要存取程式碼或執行的輸出。
- 安全人員可以管理和設定端點,而不需要存取程式碼、計算資源或資料。
深入了解內建的 Synapse 角色。
範圍
範圍可定義存取權所適用的資源或成品。 Azure Synapse 支援階層式範圍。 在較高層級範圍授與的權限會由較低層級的物件繼承。 在 Synapse RBAC 中,最上層範圍是工作區。 指派具有工作區範圍的角色時,會將權限授與工作區中所有適用的物件。
工作區中目前支援的範圍如下:
- Apache Spark 集區
- 整合執行階段
- 連結服務
- 認證 (credential)
系統會使用工作區範圍,授與程式碼成品的存取權。 在之後的版本中,將會支援授與工作區中成品集合的存取權。
解析角色指派以確定權限
角色指派會為主體授與角色在指定範圍內所定義的權限。
Synapse RBAC 是 Azure RBAC 之類的加法模型。 您可以將多個角色指派給單一主體並在不同的範圍指派。 計算安全性主體的權限時,系統會考慮指派給主體,以及直接或間接包含主體的群組的所有角色。 其也會考慮每個指派的範圍,以確定適用的權限。
強制執行獲指派的權限
在 Synapse Studio 中,如果您沒有所需的權限,特定按鈕或選項可能會呈現灰色,或在嘗試執行動作時傳回權限錯誤。
如果已停用按鈕或選項,將滑鼠停留在按鈕或選項上方會顯示具有所需權限的工具提示。 請洽詢 Synapse 系統管理員,以指派授與所需權限的角色。 您可以參閱 Synapse RBAC 角色查看提供特定動作的角色。
誰可以指派 Synapse RBAC 角色?
Synapse 管理員可以指派 Synapse RBAC 角色。 工作區層級的 Synapse 系統管理員可以授與任何範圍的存取權。 較低層級範圍的 Synapse 系統管理員只能授與該範圍的存取權。
建立新的工作區時,建立者會自動獲得工作區範圍的 Synapse 系統管理員角色。
為了協助您在沒有任何 Synapse 管理員指派或可供使用的情況下,重新取得工作區的存取權,在工作區上有權管理 AZURE RBAC 角色指派的使用者也可以管理 Synapse RBAC 角色指派,進而允許新增 Synapse 管理員或其他 Synapse 角色指派。
我要在哪裡管理 Synapse RBAC?
您可以使用 [管理中樞] 中的存取控制工具,從 Synapse Studio 內管理 Synapse RBAC。
下一步
了解內建的 Synapse RBAC 角色。