Správa identit a přístupu
Tento článek popisuje aspekty návrhu a doporučení pro správu identit a přístupu. Zaměřuje se na nasazení analytické platformy v cloudovém měřítku v Microsoft Azure. Vzhledem k tomu, že analýza na úrovni cloudu je klíčovou komponentou, měli byste při návrhu řešení postupovat podle pokynů k návrhu oblastí cílové zóny Azure.
Tento článek se zabývá úvahami a doporučeními ohledně přistávacích zón Azure. Další informace najdete v tématu Oblast návrhu správy identit a přístupu.
Návrh cílové zóny dat
Analýzy na úrovni cloudu podporují model řízení přístupu pomocí identit Microsoft Entra. Tento model používá řízení přístupu na základě role v Azure (Azure RBAC) a seznamy řízení přístupu.
Projděte si administrativní a řídící aktivity platformy Azure, které provádějí vaše týmy. Vyhodnoťte analýzy v Azure v cloudovém měřítku. Určete nejlepší možnou distribuci zodpovědností v rámci vaší organizace.
Přiřazení rolí
Aby týmy datových aplikací mohli vyvíjet, dodávat a obsluhovat datové produkty samostatně v rámci datové platformy, vyžadují v prostředí Azure několik přístupových práv. Je důležité si uvědomit, že pro vývojová a vyšší prostředí byste měli používat různé modely přístupu. Skupiny zabezpečení používejte v případech, kdy je to možné, abyste snížili počet přiřazení rolí a zjednodušily správu a kontrolu procesů oprávnění RBAC. Tento krok je zásadní z důvodu omezeného počtu přiřazení rolí, které můžete vytvořit pro každé předplatné.
Vývojové prostředí by mělo být přístupné vývojovému týmu a jejich příslušným identitám uživatelů. Tento přístup jim umožňuje iterovat rychleji, dozvědět se o určitých funkcích v rámci služeb Azure a efektivně řešit problémy. Přístup k vývojovému prostředí vám může pomoct s vývojem nebo vylepšením infrastruktury jako kódu a dalších artefaktů kódu.
Po potvrzení, že implementace funguje podle očekávání ve vývojovém prostředí, je možné ji průběžně zavádět do vyšších prostředí. Pro tým datových aplikací by se měla uzamknout vyšší prostředí, jako je testování a produkční prostředí. K těmto prostředím by měl mít přístup pouze oprávněný zástupce služby. Proto musí být všechna nasazení prováděna prostřednictvím identity služebního principála pomocí kanálů kontinuální integrace a průběžného doručování (CI/CD). Ve vývojovém prostředí poskytněte přístupová práva služebnímu principálu i identitám uživatelů. Ve vyšších prostředích omezte přístupová práva pouze na identitu hlavní služby.
Aby bylo možné vytvářet prostředky a přiřazení rolí mezi prostředky v rámci skupin prostředků datové aplikace, musíte zadat práva Contributor a User Access Administrator. Tato práva umožňují týmům vytvářet a řídit služby ve svém prostředí v rámci hranic služby Azure Policy.
Pokud chcete snížit riziko exfiltrace dat, je to osvědčené postupy analýzy cloudu pro použití privátních koncových bodů. Tým platformy Azure blokuje další možnosti připojení prostřednictvím zásad, takže týmy datových aplikací potřebují přístupová práva ke sdílené virtuální síti cílové zóny dat. Tento přístup je nezbytný pro nastavení nezbytného síťového připojení pro služby, které plánují používat.
Pokud chcete dodržovat zásadu nejnižších oprávnění, vyhněte se konfliktům mezi různými týmy datových aplikací a máte jasné oddělení týmů. Osvědčenými postupy analýzy na úrovni cloudu je vytvoření vyhrazené podsítě pro každý tým datových aplikací a vytvoření přiřazení role Network Contributor pro danou podsíť nebo podřízený obor prostředků. Toto přiřazení role umožňuje týmům připojit se k podsíti pomocí privátních koncových bodů.
Tato první dvě přiřazení rolí umožňují samoobslužné nasazení datových služeb v těchto prostředích. Aby organizace vyřešily obavy týkající se správy nákladů, měly by do skupin prostředků přidat značku nákladového střediska, aby bylo možné provádět křížové účtování a vlastnictví distribuovaných nákladů. Tento přístup zvyšuje povědomí uvnitř týmů a pomáhá zajistit, aby informovaně rozhodovali o potřebných SKU a úrovních služeb.
Pokud chcete povolit samoobslužné použití jiných sdílených prostředků v cílové zóně dat, je potřeba několik dalších přiřazení rolí. Pokud je potřeba přístup k prostředí Azure Databricks, organizace by měly k poskytnutí přístupu použít synchronizaci SCIM z ID Microsoft Entra. Tento synchronizační mechanismus je důležitý, protože automaticky synchronizuje uživatele a skupiny z Microsoft Entra ID do roviny dat Azure Databricks. Zároveň automaticky odebere přístupová práva, když jednotlivec opustí organizaci nebo firmu. V Azure Databricks udělte týmům datových aplikací Can Restart přístupová práva k předdefinovanému clusteru, aby mohli spouštět úlohy v rámci pracovního prostoru.
Jednotlivé týmy vyžadují přístup k účtu Microsoft Purview ke zjišťování datových prostředků v příslušných cílových zónách dat. Týmy často potřebují upravovat katalogové datové prostředky, které vlastní, aby poskytovaly další podrobnosti, jako jsou kontaktní informace vlastníků dat a odborníků. Týmy také vyžadují možnost poskytovat podrobnější informace o tom, co každý sloupec v datové sadě popisuje a zahrnuje.
Souhrn požadavků RBAC
K automatizaci nasazení cílových zón dat jsou potřeba následující role:
Název role
Popis
Rozsah
Nasaďte všechny privátní zóny DNS pro všechny datové služby do jednoho předplatného a jedné skupiny prostředků. Hlavní službou musí být Private DNS Zone Contributor na globální skupině prostředků DNS, která byla vytvořena během nasazení datové zóny pro správu dat. Tato role je nutná k nasazení záznamů typu A pro privátní koncové body.
(Rozsah skupiny prostředků) /subscriptions/{{dataManagement}subscriptionId}/resourceGroups/{resourceGroupName}
K nastavení partnerského vztahu virtuálních sítí mezi sítí cílové zóny dat a sítí cílové zóny správy dat potřebuje instanční objekt Network Contributor přístupová práva ve skupině prostředků vzdálené virtuální sítě.
(Rozsah skupiny prostředků) /subscriptions/{{dataManagement}subscriptionId}/resourceGroups/{resourceGroupName}
správce uživatelských přístupů
Toto oprávnění se vyžaduje ke sdílení místního prostředí Integration Runtime, které se nasadí do skupiny prostředků integration-rg s jinými objekty pro vytváření dat. Je také potřeba poskytnout spravovaným identitám Azure Data Factory a Azure Synapse Analytics přístup k příslušným systémům souborů na účtu úložiště.
(Rozsah prostředků) /subscriptions/{{dataLandingZone}subscriptionId}
Poznámka
V produkčním scénáři můžete snížit počet přiřazení rolí. Role Network Contributor se vyžaduje jenom k nastavení partnerského vztahu virtuální sítě mezi zónou pro správu dat a zónou pro ukládání dat. Bez této role se rozlišení DNS nezdaří. Příchozí a odchozí provoz se také zahodí, protože do služby Azure Firewall není žádný dohled.
Role Private DNS Zone Contributor se nevyžaduje, pokud se nasazení záznamů DNS A pro privátní koncové body automatizuje prostřednictvím zásad Azure s účinkem deployIfNotExists. Totéž platí pro roli User Access Administrator, protože nasazení můžete automatizovat pomocí zásad deployIfNotExists.
Přiřazení rolí pro datové produkty
K nasazení datového produktu v cílové zóně dat se vyžadují následující přiřazení rolí:
Název role
Popis
Rozsah
Nasaďte všechny privátní zóny DNS pro všechny datové služby do jednoho předplatného a jedné skupiny prostředků. Hlavní službou musí být Private DNS Zone Contributor na globální skupině prostředků DNS, která byla vytvořena během nasazení datové zóny pro správu dat. Tato role je vyžadována k nasazení záznamů A pro příslušné privátní koncové body.
(Rozsah skupiny prostředků) /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}
Nasaďte všechny služby streamování integrace dat do jedné skupiny prostředků v rámci předplatného cílové zóny dat. Služební principal vyžaduje přiřazení role Contributor pro danou skupinu prostředků.
(Rozsah skupiny prostředků) /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}
K nasazení privátních koncových bodů do zadané podsítě Azure Private Link vytvořené během nasazování cílové zóny dat vyžaduje instanční objekt Network Contributor přístup k této podsíti.
(Rozsah podřízených prostředků) /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName} /providers/Microsoft.Network/virtualNetworks/{virtualNetworkName}/subnets/{subnetName}"
Přístup k jiným prostředkům
Mimo Azure týmy datových aplikací vyžadují přístup k úložišti, aby ukládaly artefakty kódu, efektivně spolupracovaly a zavádět aktualizace a změny konzistentně do vyšších prostředí prostřednictvím CI/CD. Měli byste poskytnout panel projektů, který umožňuje agilní vývoj, plánování sprintů, sledování úkolů a správu zpětné vazby uživatelů a žádostí o funkce.
Pokud chcete automatizovat CI/CD, vytvořte připojení k Azure. Tento proces se ve většině služeb provádí prostřednictvím servisních principálů. Kvůli tomuto požadavku musí mít týmy přístup ke služebnímu účtu pro automatizaci projektu.
Správa přístupu k datům
Správa přístupu k datům pomocí skupin Microsoft Entra Přidejte hlavní názvy uživatelů nebo instanční názvy do skupin Microsoft Entra. Potom tyto skupiny přidejte do služeb a udělte skupině oprávnění. Tento přístup umožňuje jemně odstupňované řízení přístupu.
Další informace o tom, jak zajistit zabezpečení cílových zón správy dat a cílových zón dat, které spravují vaše datová aktiva, najdete v tématu Ověřování pro analýzy v cloudovém měřítku v Azure.