Řízení přístupu k Azure Synapse
Tento článek obsahuje přehled mechanismů dostupných pro řízení přístupu k výpočetním prostředkům a datům Azure Synapse.
Přehled
Azure Synapse nabízí komplexní a jemně odstupňovaný systém řízení přístupu, který integruje:
- Role Azure pro správu prostředků a přístup k datům v úložišti
- Role Synapse pro správu živého přístupu ke kódu a jeho provádění
- Role SQL pro přístup roviny dat k datům ve fondech SQL
- Oprávnění Git pro správu zdrojového kódu, včetně podpory kontinuální integrace a průběžného nasazování
Role Azure Synapse nabízí sady oprávnění, které je možné použít na různé obory. Tato členitost umožňuje snadno udělit správcům, vývojářům, pracovníkům v oblasti zabezpečení a operátorům odpovídající přístup k výpočetním prostředkům a datům.
Řízení přístupu je možné zjednodušit pomocí skupin zabezpečení, které jsou v souladu s pracovními rolemi lidí. Abyste mohli spravovat přístup, stačí přidávat a odebírat uživatele z příslušných skupin zabezpečení.
Prvky řízení přístupu
Vytváření a správa výpočetních prostředků Azure Synapse
Role Azure slouží k řízení správy:
- Vyhrazené fondy SQL
- Fondy Průzkumníka dat
- Fondy Apache Sparku
- Prostředí Integration Runtime
Pokud chcete tyto prostředky vytvořit , musíte být vlastníkem nebo přispěvatelem Azure ve skupině prostředků. Pokud je chcete spravovat po vytvoření, musíte být vlastníkem Nebo přispěvatelem Azure buď ve skupině prostředků, nebo v jednotlivých prostředcích.
Vlastník nebo přispěvatel Azure může povolit nebo zakázat ověřování Microsoft Entra-only pro pracovní prostory Azure Synapse. Další informace o ověřování pouze Microsoft Entra najdete v tématu Zakázání místního ověřování ve službě Azure Synapse Analytics.
Vývoj a spouštění kódu v Azure Synapse
Synapse podporuje dva vývojové modely.
- Vývoj synapse za provozu. Vyvíjíte a ladíte kód v nástroji Synapse Studio a pak ho publikujete , abyste ho uložili a spustili. Služba Synapse je zdrojem pravdy pro úpravy a spouštění kódu. Při zavření nástroje Synapse Studio dojde ke ztrátě všech nepublikovaných prací.
- Vývoj s podporou Gitu Vyvíjíte a ladíte kód v synapse Studiu a potvrdíte změny do pracovní větve úložiště Git. Práce z jedné nebo více větví je integrovaná do větve pro spolupráci, odkud ji publikujete do služby. Úložiště Git je zdrojem pravdy pro úpravy kódu, zatímco služba je zdrojem pravdy pro provádění. Změny musí být potvrzeny v úložišti Git nebo publikovány do služby před zavřením synapse Studia. Přečtěte si další informace o používání Synapse Analytics s Gitem.
V obou vývojových modelech může každý uživatel s přístupem ke službě Synapse Studio vytvářet artefakty kódu. K publikování artefaktů do služby, čtení publikovaných artefaktů, k potvrzení změn v Gitu, spouštění kódu a přístupu k propojeným datům chráněným přihlašovacími údaji však potřebujete další oprávnění. Uživatelé musí mít v pracovním prostoru Synapse roli Přispěvatel Azure (Azure RBAC) nebo vyšší, aby mohli nakonfigurovat, upravit nastavení a odpojit úložiště Git se službou Synapse.
Role Azure Synapse
Role Azure Synapse slouží k řízení přístupu ke službě Synapse. Různé role vám můžou umožnit:
- Výpis publikovaných artefaktů kódu
- Publikování artefaktů kódu, propojených služeb a definic přihlašovacích údajů
- Spouštění kódu nebo kanálů, které používají výpočetní prostředky Synapse,
- Spusťte kód nebo kanály, které přistupují k propojeným datům chráněným přihlašovacími údaji,
- Zobrazení výstupů přidružených k publikovaným artefaktům kódu
- Monitorujte stav výpočetních prostředků a zobrazte protokoly modulu runtime.
Role Azure Synapse je možné přiřadit v oboru pracovního prostoru nebo v jemně odstupňovaných oborech, aby se omezila oprávnění udělená konkrétním prostředkům Azure Synapse.
Oprávnění Gitu
Pokud používáte vývoj s podporou Gitu v režimu Gitu, potřebujete oprávnění Gitu kromě rolí Uživatele Synapse nebo Synapse RBAC (řízení přístupu na základě role), abyste mohli číst artefakty kódu, včetně propojených služeb a definic přihlašovacích údajů. K potvrzení změn artefaktů kódu v režimu Git potřebujete oprávnění Gitu a roli Synapse Artifact Publisher (Synapse RBAC).
Přístup k datům v SQL
Při práci s vyhrazenými a bezserverovými fondy SQL se přístup k rovině dat řídí pomocí oprávnění SQL.
Autor pracovního prostoru se přiřadí jako správce Active Directory daného pracovního prostoru. Po vytvoření je možné na webu Azure Portal tuto roli přiřadit jinému uživateli nebo skupině zabezpečení.
Bezserverové fondy SQL: Synapse Správa istrátory mají udělená db_owner
(DBO
) oprávnění pro bezserverový fond SQL, integrovaný. Aby mohli ostatní uživatelé udělit přístup k bezserverovém fondu SQL, musí správci Synapse spouštět skripty SQL v bezserverovém fondu.
Vyhrazené fondy SQL: Synapse Správa istrátory mají úplný přístup k datům ve vyhrazených fondech SQL a možnost udělit přístup jiným uživatelům. Synapse Správa istrátory můžou také provádět aktivity konfigurace a údržby ve vyhrazených fondech s výjimkou vyřazení databází. Oprávnění ke službě Active Directory Správa je uděleno tvůrci pracovního prostoru a MSI pracovního prostoru. Oprávnění pro přístup k vyhrazeným fondům SQL se jinak neuděluje automaticky. Pokud chcete ostatním uživatelům nebo skupinám udělit přístup k vyhrazeným fondům SQL, musí služba Active Directory Správa nebo Synapse Správa istrator spouštět skripty SQL pro každý vyhrazený fond SQL.
Viz Postup nastavení řízení přístupu Synapse pro příklady skriptů SQL pro udělení oprávnění SQL ve fondech SQL.
Přístup k datům ve fondech Průzkumníka dat
Při práci s fondy Průzkumníka dat se přístup k rovině dat řídí prostřednictvím oprávnění Průzkumníka dat. Správa istrátory Synapse mají udělená All Database admin
oprávnění k fondům Průzkumníka dat. Pokud chcete ostatním uživatelům nebo skupinám udělit přístup k fondům Průzkumníka dat, měli by správci Synapse odkazovat na správu rolí zabezpečení. Další informace o přístupu k rovině dat najdete v tématu Přehled řízení přístupu Průzkumníka dat.
Přístup k datům spravovaným systémem v úložišti
Bezserverové fondy SQL a tabulky Apache Spark ukládají svá data do kontejneru ADLS Gen2 přidruženého k pracovnímu prostoru. Uživatelem nainstalované knihovny Apache Sparku se také spravují ve stejném účtu úložiště. Aby bylo možné tyto případy použití povolit, musí mít uživatelé a MSI pracovního prostoru přístup přispěvatele dat objektů blob služby Storage k tomuto kontejneru úložiště ADLS Gen2.
Použití skupin zabezpečení jako osvědčený postup
Pokud chcete zjednodušit správu řízení přístupu, můžete pomocí skupin zabezpečení přiřadit role jednotlivcům a skupinám. Skupiny zabezpečení je možné vytvořit tak, aby zrcadlily funkce osob nebo úloh ve vaší organizaci, které potřebují přístup k prostředkům nebo artefaktům Synapse. Těmto skupinám zabezpečení na základě osob je pak možné přiřadit jednu nebo více rolí Azure, rolí Synapse, oprávnění SQL nebo oprávnění Gitu. U dobře zvolených skupin zabezpečení je snadné přiřadit uživateli požadovaná oprávnění tak, že je přidáte do příslušné skupiny zabezpečení.
Poznámka:
Pokud ke správě přístupu používáte skupiny zabezpečení, před provedením změn dojde k další latenci, kterou zavádí ID Microsoft Entra.
Vynucení řízení přístupu v nástroji Synapse Studio
Synapse Studio se bude chovat jinak na základě vašich oprávnění a aktuálního režimu:
- Živý režim Synapse: Synapse Studio vám zabrání v zobrazení publikovaného obsahu, publikování obsahu nebo provedení dalších akcí, pokud nemáte požadovaná oprávnění. V některých případech nebudete moct vytvářet artefakty kódu, které nemůžete použít nebo uložit.
- Režim Git: Pokud máte oprávnění Gitu, která umožňují potvrdit změny v aktuální větvi, akce potvrzení se povolí, pokud máte oprávnění publikovat změny do živé služby (role Vydavatel artefaktů Synapse).
V některých případech můžete vytvářet artefakty kódu i bez oprávnění k publikování nebo potvrzení. To vám umožní spustit kód (s požadovanými oprávněními ke spuštění). Další informace o rolích potřebných pro běžné úlohy najdete v tématu Vysvětlení rolí potřebných k provádění běžných úloh v Azure Synapse.
Pokud je funkce ve funkci Synapse Studio zakázaná, zobrazí se popis požadovaného oprávnění. Pomocí průvodce rolemi Synapse RBAC vyhledejte, která role se vyžaduje k poskytnutí chybějícího oprávnění.
Další kroky
- Další informace o Synapse RBAC
- Další informace o rolích Synapse RBAC
- Zjistěte , jak nastavit řízení přístupu pro pracovní prostor Synapse pomocí skupin zabezpečení.
- Přečtěte si , jak zkontrolovat přiřazení rolí Synapse RBAC.
- Informace o správě přiřazení rolí Synapse RBAC