Autorizace pro analýzy v cloudovém měřítku v Azure
Autorizace je udělení oprávnění ověřené strany k provedení akce. Klíčovým principem řízení přístupu je poskytnout uživatelům pouze množství přístupu, které potřebují ke svým úlohám, a povolit pouze určité akce v určitém rozsahu. Zabezpečení na základě role odpovídá řízení přístupu. Mnoho organizací používá zabezpečení na základě rolí k řízení přístupu na základě definovaných rolí nebo funkcí úloh místo jednotlivých uživatelů. Uživatelům se přiřadí jedna nebo více rolí zabezpečení a jednotlivým rolím se udělí oprávnění k provádění konkrétních úloh.
Microsoft Entra ID je centralizovaný zprostředkovatel identity, který uděluje autorizaci pro přístup k datovým službám a úložišti pro každého uživatele nebo pro každou aplikaci na základě identity Microsoft Entra.
Autorizace datové služby
Řízení přístupu na základě role (RBAC) a seznamy řízení přístupu (ACL) v Azure hrají zásadní role při správě přístupu a zajištění zabezpečení. Azure RBAC i seznamy ACL vyžadují, aby uživatel nebo aplikace měli identitu v Microsoft Entra ID. V cloudových analýzách je RBAC efektivní pro databáze a Azure Data Lake Storage. Seznamy ACL se používají především ve službě Data Lake Storage k zajištění podrobného řízení přístupu na úrovni souborů a adresářů. ACL doplňují řízení přístupu na základě rolí tím, že poskytují podrobnější oprávnění v hierarchii úložiště.
Azure RBAC poskytuje předdefinované role, jako jsou vlastníka, přispěvatelea čtenáře, ale můžete také vytvářet vlastní role pro konkrétní potřeby. Následující předdefinované role jsou zásadní pro všechny typy prostředků Azure, včetně datových služeb Azure:
| Role | Popis |
|---|---|
| vlastníka | Tato role má úplný přístup k prostředku a může spravovat vše o prostředku, včetně práva udělit mu přístup. |
| Přispěvatel | Tato role může spravovat prostředek, ale nemůže mu udělit přístup. |
| čtečka | Tato role může zobrazit prostředek a informace s výjimkou citlivých informací, jako jsou přístupové klíče nebo tajné kódy, o prostředku. Nemůžou v prostředku provádět žádné změny. |
Poznámka
Některé služby mají specifické role RBAC, jako je Přispěvatel dat objektů blob ve službě Storage nebo Přispěvatel dat služby Data Factory, takže byste pro tyto služby měli tyto role použít. RBAC je doplňkový model, ve kterém přidání přiřazení rolí představuje aktivní oprávnění. RBAC také podporuje odepření přiřazení, která mají přednost před přiřazeními rolí.
Spropitné
Při plánování strategie řízení přístupu doporučujeme uživatelům udělit jenom množství přístupu, které potřebují k provádění svých úloh. Měli byste také povolit jen určité akce v určitém rozsahu.
Řízení přístupu v databázích Azure
RBAC v databázích Azure se týká rolí, oborů a oprávnění. Azure poskytuje několik předdefinovaných rolí pro správu databází. Jednou z těchto rolí je přispěvatel SQL Serveru, což umožňuje správu sql serverů a databází. Další rolí je přispěvatel databáze SQL, který umožňuje správu databází SQL, ale ne samotného serveru. Kromě toho můžete vytvořit vlastní role, které mají konkrétní oprávnění ke splnění jedinečných požadavků.
Role můžete přiřadit v různých oborech, včetně:
- Na úrovni předplatného, kde se role vztahují na všechny prostředky v rámci předplatného.
- Na úrovni skupiny prostředků, kde se role vztahují na všechny prostředky v rámci zadané skupiny prostředků.
- Na úrovni prostředku, kde můžete role přiřadit přímo jednotlivým databázím nebo serverům. Tento přístup vám poskytne přesnou kontrolu.
Oprávnění definují akce, které může role provádět, jako je správa nastavení čtení, zápisu, odstranění nebo zabezpečení. Tato oprávnění jsou seskupené do rolí, aby se zjednodušila správa.
V Azure SQL Databasemůžete uživatelům, skupinám nebo aplikacím přiřadit role, abyste mohli řídit přístup. Správce databáze může mít například přiřazenou roli přispěvatele SQL Serveru pro správu serveru a databází. Role jako Přispěvatel databáze SQL uživatelům umožňují vytvářet, aktualizovat a odstraňovat databáze, zatímco role SQL Security Manageru se zaměřuje na konfigurace zabezpečení.
V azure Cosmos DBmůžete přiřadit role pro správu přístupu k účtům, databázím a kontejnerům Azure Cosmos DB. Předdefinované role, jako je čtenář účtů služby Cosmos DB a Přispěvatel účtů služby Cosmos DB, poskytují různé úrovně přístupu.
V azure Database for MySQL, azure Database for PostgreSQLa Azure Database for MariaDBmůžete přiřadit role pro správu databázových serverů a jednotlivých databází. K řízení přístupu můžete použít role, jako je Přispěvatel a Čtenář.
Další informace najdete v tématu předdefinovaných rolí Azure pro databáze.
Řízení přístupu ve službě Data Lake Storage
Azure RBAC umožňuje udělit hrubý přístup, například přístup pro čtení nebo zápis, ke všem datům účtu úložiště. Seznamy ACL umožňují udělit jemně odstupňovaný přístup, například přístup k zápisu do určitého adresáře nebo souboru.
V mnoha scénářích můžete použít RBAC a seznamy ACL společně k zajištění komplexního řízení přístupu ve službě Data Lake Storage. RBAC můžete použít ke správě přístupu k datům vysoké úrovně, což pomáhá zajistit, aby k této službě měli přístup jenom autorizovaní uživatelé. Pak můžete použít seznamy ACL v rámci účtu úložiště, abyste mohli řídit přístup ke konkrétním souborům a adresářům, což zlepšuje zabezpečení.
Řízení přístupu na základě atributů Azure vychází z Azure RBAC přidáním podmínek přiřazení rolí na základě atributů v kontextu konkrétních akcí. V podstatě umožňuje upřesnit přiřazení rolí RBAC přidáním podmínek. Přístup ke čtení nebo zápisu můžete například udělit všem datovým objektům v účtu úložiště, které mají určitou značku.
Následující role umožňují bezpečnostnímu subjektu přístup k datům v účtu úložiště.
| Role | Popis |
|---|---|
| Vlastník dat objektů Blob Storage | Tato role poskytuje úplný přístup k kontejnerům a datům úložiště objektů blob. Tento přístup umožňuje objektu zabezpečení nastavit vlastníka položky a upravit seznamy ACL všech položek. |
| Přispěvatel dat služby Storage Blob | Tato role poskytuje přístup ke čtení, zápisu a odstranění kontejnerů a objektů blob v rámci ukládání objektů blob. Tento přístup neumožňuje objektu zabezpečení nastavit vlastnictví položky, ale může upravit seznam ACL položek, které vlastní objekt zabezpečení. |
| Datový čteč objektu Blob služby úložiště | Tato role může číst a prohlížet kontejnery úložiště blobů a objekty blob. |
Role, jako jsou vlastník, přispěvatel, čtenářa přispěvatel účtu úložiště, umožňují principálu zabezpečení spravovat účet úložiště, ale neposkytují přístup k datům v rámci tohoto účtu. Tyto role, s výjimkou Reader, však mohou získat přístup k klíčům úložiště, které lze použít v různých klientských nástrojích pro přístup k datům. Další informace naleznete v tématu Model řízení přístupu v Data Lake Storage.
Řízení přístupu v Azure Databricks
Azure Databricks poskytuje systémy řízení přístupu pro správu přístupu v prostředí Azure Databricks. Tyto systémy se zaměřují na zabezpečitelné objekty a zásady správného řízení dat. Tři hlavní systémy řízení přístupu v Azure Databricks jsou:
- ACLs, které můžete použít ke konfiguraci oprávnění pro přístup k objektům pracovního prostoru, jako jsou poznámkové bloky. Další informace najdete v tématu Přehled řízení přístupu.
- účet RBAC, který můžete použít ke konfiguraci oprávnění používat objekty na úrovni účtu, jako jsou instanční objekty a skupiny.
- katalogu Unity, který můžete použít k zabezpečení a řízení datových objektů.
Kromě řízení přístupu k objektům poskytuje Azure Databricks předdefinované role na platformě. Role můžete přiřadit uživatelům, instančním objektům a skupinám. Další informace najdete v tématu role správce a oprávnění pracovního prostoru.
Osvědčené postupy pro autorizaci v analýzách v cloudovém měřítku
Tato příručka popisuje osvědčené postupy pro implementaci RBAC v cloudových analytických prostředích. Zahrnuje obecné principy řízení přístupu na základě role, řízení přístupu k databázím a osvědčené postupy řízení přístupu k data lake, které pomáhají zajistit bezpečnou a efektivní správu prostředků.
Obecné osvědčené postupy RBAC pro analýzy na úrovni cloudu
Následující osvědčené postupy vám mohou pomoci začít s RBAC (řízením přístupu na základě role):
Role RBAC můžete použít pro správu a provoz služeb a pro úlohy specifické pro přístup k datům a úlohy specifické pro konkrétní služby. Pomocí rolí RBAC v prostředcích Azure udělte oprávnění pro objekty zabezpečení, které potřebují provádět úlohy spojené se správou a provozem prostředků. Objekty zabezpečení, které potřebují přístup k datům v úložišti, nevyžadují u prostředku roli RBAC, protože je nepotřebují spravovat. Místo toho udělte oprávnění přímo datovým objektům. Například udělte oprávnění ke čtení ke složce ve službě Data Lake Storage nebo udělte oprávnění obsaženým uživatelům databáze a oprávnění tabulky v rámci databáze ve službě SQL Database.
Použijte předdefinované role RBAC. Nejprve použijte předdefinované role prostředků Azure RBAC ke správě služeb a přiřazování provozních rolí pro řízení přístupu. Vytváření a používání vlastních rolí pro prostředky Azure pouze v případě, že předdefinované role nevyhovují vašim konkrétním potřebám.
Ke správě přístupu použijte skupiny. Přiřaďte přístup ke skupinám Microsoft Entra a spravujte členství ve skupinách pro průběžnou správu přístupu.
Zvažte rozsahy předplatného a skupiny prostředků. V neprodukčních prostředích udělte přístup na úrovni skupiny prostředků, aby se oddělily potřeby správy služeb a provozu, místo přístupu k jednotlivým prostředkům. Tento přístup dává smysl, protože v neprodukčních prostředích potřebují vývojáři a testeři spravovat prostředky. Může například potřebovat vytvořit kanál příjmu dat služby Azure Data Factory nebo kontejner ve službě Data Lake Storage.
V produkčních prostředích můžete udělit přístup k jednotlivým prostředkům pro úlohy specifické pro pracovní zátěže, jako je podpora a operace systému souborů data lake. Tento přístup dává smysl v produkčních prostředích, protože uživatelé potřebují používat jenom prostředky, jako je zobrazení stavu naplánovaného kanálu příjmu dat služby Data Factory nebo čtení datových souborů ve službě Data Lake Storage.
Neudělujte nepotřebný přístup na úrovni předplatného. Rozsah předplatného pokrývá všechny prostředky v rámci předplatného.
Zvolte přístup s minimálními oprávněními. Vyberte správnou a jedinou roli pro úlohu.
Osvědčené postupy pro řízení přístupu k databázím
Implementace efektivního řízení přístupu na základě role (RBAC) je zásadní pro zachování zabezpečení a možnosti správy v analytickém prostředí. Tato část obsahuje osvědčené postupy pro používání skupin Microsoft Entra a předdefinovaných rolí a zabránění přímým uživatelským oprávněním, která pomáhají zajistit zjednodušený a zabezpečený proces správy přístupu.
Analytická prostředí v cloudovém měřítku obvykle obsahují několik typů řešení úložiště, včetně PostgreSQL, MySQL, SQL Database, Azure SQL Managed Instance a Azure Synapse Analytics.
Používejte skupiny Microsoft Entra místo jednotlivých uživatelských účtů. Doporučujeme používat skupiny Microsoft Entra k zabezpečení databázových objektů místo jednotlivých uživatelských účtů Microsoft Entra. Skupiny Microsoft Entra slouží k ověřování uživatelů a ochraně databázových objektů. Podobně jako ve vzoru datového jezera můžete k vytvoření těchto skupin použít proces onboardingu datové aplikace.
Ke správě přístupu použijte předdefinované role. Vytvořte vlastní role jen v případě, že potřebujete splnit konkrétní požadavky, nebo pokud předdefinované role udělují příliš mnoho oprávnění.
Nepřiřazujte oprávnění jednotlivým uživatelům. Místo toho používejte role, jako jsou databázové nebo serverové role, konzistentně. Role pomáhají s reportováním a odstraňováním potíží s oprávněními. Azure RBAC podporuje pouze přiřazení oprávnění prostřednictvím rolí.
Poznámka
Datové aplikace můžou ukládat citlivé datové produkty do SQL Database, SQL spravované instance nebo fondů Azure Synapse Analytics. Další informace najdete v tématu Ochrana osobních údajů pro analýzy v cloudovém měřítku v Azure.
Osvědčené postupy pro řízení přístupu ke službě Data Lake Storage
V moderních datových prostředích je zabezpečené a efektivní řízení přístupu zásadní. Data Lake Storage poskytuje robustní mechanismy pro správu přístupu prostřednictvím seznamů ACL. Tato část popisuje osvědčené postupy pro implementaci řízení přístupu na základě role ve službě Data Lake Storage a použití seznamů ACL, skupin zabezpečení Microsoft Entra a zásadu nejnižších oprávnění pro zajištění bezpečnějšího a spravovatelného prostředí Data Lake. Kromě toho zdůrazňuje důležitost sladění seznamů ACL se schématy dělení dat a používání katalogu Unity pro uživatele Azure Databricks, aby bylo možné zajistit komplexní zabezpečení a zásady správného řízení.
Používejte ACL pro jemně odstupňované řízení přístupu. Seznamy ACL hrají důležitou roli při definování přístupu na podrobné úrovni. Seznamy ACL ve službě Data Lake Storage pracují se zabezpečovacími subjekty ke správě granulárního přístupu k souborům a adresářům.
Použijte seznamy ACL na úrovni souborů a složek. Pokud chcete řídit přístup k datům v datovém jezeře, doporučujeme používat seznamy ACL na úrovni souborů a složek. Data Lake Storage také používá model ACL, který se podobá rozhraní POSIX (Portable Operating System Interface). POSIX je skupina standardů pro operační systémy. Jeden standard definuje jednoduchou, ale výkonnou strukturu oprávnění pro přístup k souborům a složkám. POSIX se běžně používá pro síťové sdílené složky a počítače se systémem Unix.
Skupiny zabezpečení Microsoft Entra použijte jako přiřazený objekt zabezpečení v položce seznamu ACL. Místo přímého přiřazování jednotlivých uživatelů nebo instančních objektů použijte tento přístup k přidání a odebrání uživatelů nebo instančních objektů bez nutnosti znovu použít seznamy ACL pro celou adresářovou strukturu. Prostě můžete přidat nebo odebrat uživatele a servisní principály z příslušné skupiny zabezpečení Microsoft Entra.
Přiřaďte přístup ke skupinám Microsoft Entra a spravujte členství ve skupinách pro průběžnou správu přístupu. Další informace naleznete v tématu Model řízení přístupu v Data Lake Storage.
Použijte zásadu nejnižších oprávnění na seznamy řízení přístupu (ACL). Ve většině případů by uživatelé měli mít oprávnění ke čtení souborů a složek, které potřebují v rámci datového jezera. Uživatelé dat by neměli mít přístup k kontejneru účtu úložiště.
Zarovnejte ACL se schématy dělení dat. Seznamy ACL a návrh datových oddílů musí být v souladu, aby bylo zajištěno efektivní řízení přístupu k datům. Další informace najdete v tématu dělení data lake.
Výhradní kontrolu přístupu k datovým objektům pro uživatele Azure Databricks poskytuje katalog Unity. Udělení přímého přístupu na úrovni úložiště k externímu úložnému místu v rámci Data Lake Storage nerespektuje žádná oprávnění udělená ani audity spravované katalogem Unity. Přímý přístup obchází auditování, rodokmen a další funkce zabezpečení a monitorování katalogu Unity, včetně řízení přístupu a oprávnění. Proto byste neměli uživatelům Azure Databricks udělit přímý přístup na úrovni úložiště ke spravovaným tabulkám a svazkům katalogu Unity.