Přehled řízení přístupu k pracovnímu prostoru Azure Synapse
Tento článek obsahuje přehled mechanismů dostupných pro řízení přístupu k výpočetním prostředkům a datům Azure Synapse.
Azure Synapse poskytuje komplexní a jemně odstupňovaný systém řízení přístupu, který se integruje:
- Role Azure pro správu prostředků a přístup k datům v úložišti
- Role Synapse pro správu živého přístupu ke kódu a jeho provádění
- Role SQL pro přístup roviny dat k datům ve fondech SQL
- Oprávnění Git pro správu zdrojového kódu, včetně podpory kontinuální integrace a průběžného nasazování
Role Azure Synapse nabízí sady oprávnění, které je možné použít na různé obory. Tato členitost umožňuje snadno udělit správcům, vývojářům, pracovníkům v oblasti zabezpečení a operátorům odpovídající přístup k výpočetním prostředkům a datům.
Řízení přístupu je možné zjednodušit pomocí skupin zabezpečení, které jsou v souladu s pracovními rolemi lidí. Abyste mohli spravovat přístup, stačí přidávat a odebírat uživatele z příslušných skupin zabezpečení.
Prvky řízení přístupu
Vytváření a správa výpočetních prostředků Azure Synapse
Role Azure slouží k řízení správy:
- Vyhrazené fondy SQL
- Fondy Průzkumníka dat
- Fondy Apache Sparku
- Prostředí Integration Runtime
Pokud chcete tyto prostředky vytvořit , musíte být vlastníkem nebo přispěvatelem Azure ve skupině prostředků. Pokud je chcete spravovat po vytvoření, musíte být vlastníkem Nebo přispěvatelem Azure buď ve skupině prostředků, nebo v jednotlivých prostředcích.
Vlastník nebo přispěvatel může povolit nebo zakázat ověřování Microsoft Entra-only pro pracovní prostory Azure Synapse. Další informace o ověřování pouze Microsoft Entra naleznete v tématu Použití ověřování Microsoft Entra pro ověřování pomocí Synapse SQL.
Vývoj a spouštění kódu v Azure Synapse
Synapse podporuje dva vývojové modely.
Vývoj synapse za provozu: Vyvíjíte a ladíte kód v nástroji Synapse Studio a pak ho publikujete , abyste ho uložili a spustili. Služba Synapse je zdrojem pravdy pro úpravy a spouštění kódu. Při zavření nástroje Synapse Studio dojde ke ztrátě všech nepublikovaných prací.
Vývoj s podporou Gitu: Vyvíjíte a ladíte kód v synapse Studiu a potvrdíte změny do pracovní větve úložiště Git. Práce z jedné nebo více větví je integrovaná do větve pro spolupráci, odkud ji publikujete do služby. Úložiště Git je zdrojem pravdy pro úpravy kódu, zatímco služba je zdrojem pravdy pro provádění. Změny musí být potvrzeny v úložišti Git nebo publikovány do služby před zavřením synapse Studia. Další informace o používání Synapse Analytics s Gitem najdete v tématu Kontinuální integrace a doručování pro pracovní prostor Azure Synapse Analytics.
V obou vývojových modelech může každý uživatel s přístupem ke službě Synapse Studio vytvářet artefakty kódu. K publikování artefaktů do služby, čtení publikovaných artefaktů, k potvrzení změn v Gitu, spouštění kódu a přístupu k propojeným datům chráněným přihlašovacími údaji však potřebujete další oprávnění. Uživatelé musí mít v pracovním prostoru Synapse roli Přispěvatel Azure nebo vyšší, aby mohli konfigurovat, upravovat nastavení a odpojit úložiště Git se službou Synapse.
Role Azure Synapse
Role Azure Synapse slouží k řízení přístupu ke službě Synapse. Různé role vám můžou umožnit:
- Výpis publikovaných artefaktů kódu
- Publikování artefaktů kódu, propojených služeb a definic přihlašovacích údajů
- Spouštění kódu nebo kanálů, které používají výpočetní prostředky Synapse
- Spuštění kódu nebo kanálů, které přistupují k propojeným datům chráněným přihlašovacími údaji
- Zobrazení výstupů přidružených k publikovaným artefaktům kódu
- Monitorování stavu výpočetních prostředků a zobrazení protokolů modulu runtime
Role Azure Synapse je možné přiřadit v oboru pracovního prostoru nebo v jemně odstupňovaných oborech, aby se omezila oprávnění udělená konkrétním prostředkům Azure Synapse.
Oprávnění Gitu
Pro vývoj s podporou Gitu v režimu Git potřebujete oprávnění Gitu kromě rolí uživatele Synapse nebo Synapse RBAC (řízení přístupu na základě role) ke čtení artefaktů kódu, včetně propojených služeb a definic přihlašovacích údajů. Pokud chcete potvrdit změny artefaktů kódu v režimu Git, potřebujete oprávnění Gitu a roli Vydavatele artefaktů Synapse.
Přístup k datům v SQL
Pro vyhrazené a bezserverové fondy SQL se přístup k rovině dat řídí pomocí oprávnění SQL.
Autor pracovního prostoru se přiřadí jako správce Active Directory daného pracovního prostoru. Po vytvoření je možné na webu Azure Portal tuto roli přiřadit jinému uživateli nebo skupině zabezpečení.
Bezserverové fondy SQL: Správci Synapse mají udělená
db_owner
oprávnění (DBO) v bezserverovém fondu SQL integrovaném. Aby mohli ostatní uživatelé udělit přístup k bezserverovém fondu SQL, musí správci Synapse spouštět skripty SQL v bezserverovém fondu.Vyhrazené fondy SQL: Správci Synapse mají úplný přístup k datům ve vyhrazených fondech SQL a možnost udělit přístup ostatním uživatelům. Správci Synapse můžou také provádět aktivity konfigurace a údržby ve vyhrazených fondech s výjimkou vyřazení databází. Oprávnění správce služby Active Directory je uděleno tvůrci pracovního prostoru a MSI pracovního prostoru. Oprávnění pro přístup k vyhrazeným fondům SQL se jinak neuděluje automaticky. Pokud chcete ostatním uživatelům nebo skupinám udělit přístup k vyhrazeným fondům SQL, musí správce služby Active Directory nebo Správce Synapse spouštět skripty SQL pro každý vyhrazený fond SQL.
Příklady skriptů SQL pro udělení oprávnění SQL ve fondech SQL najdete v tématu Nastavení řízení přístupu pro pracovní prostor Azure Synapse.
Přístup k datům ve fondech Průzkumníka dat
U fondů Průzkumníka dat se přístup k rovině dat řídí prostřednictvím oprávnění Průzkumníka dat. Správci Synapse mají udělená All Database admin
oprávnění k fondům Průzkumníka dat. Pokud chcete ostatním uživatelům nebo skupinám udělit přístup k fondům Průzkumníka dat, měli by správci Synapse odkazovat na správu rolí zabezpečení. Další informace o přístupu k rovině dat najdete v tématu Přehled řízení přístupu.
Přístup k datům spravovaným systémem v úložišti
Bezserverové fondy SQL a tabulky Apache Spark ukládají svá data do kontejneru Azure Data Lake Storage Gen2 přidruženého k pracovnímu prostoru. Uživatelem nainstalované knihovny Apache Sparku se také spravují ve stejném účtu úložiště. Aby bylo možné tyto případy použití povolit, musí mít uživatelé a MSI pracovního prostoru udělený přístup Přispěvatel dat objektů blob služby Storage k tomuto pracovnímu prostoru kontejneru Azure Data Lake Storage.
Osvědčeným postupem použití skupin zabezpečení
Pokud chcete zjednodušit správu řízení přístupu, můžete pomocí skupin zabezpečení přiřadit role jednotlivcům a skupinám. Skupiny zabezpečení je možné vytvořit tak, aby zrcadlily funkce osob nebo úloh ve vaší organizaci, které potřebují přístup k prostředkům nebo artefaktům Synapse. Těmto skupinám zabezpečení na základě osob je pak možné přiřadit jednu nebo více rolí Azure, rolí Synapse, oprávnění SQL nebo oprávnění Gitu. U dobře zvolených skupin zabezpečení je snadné přiřadit uživateli požadovaná oprávnění tak, že je přidáte do příslušné skupiny zabezpečení.
Poznámka:
Pokud ke správě přístupu používáte skupiny zabezpečení, před provedením změn dojde k další latenci, kterou představuje ID Microsoft Entra.
Vynucení řízení přístupu v nástroji Synapse Studio
Synapse Studio se chová jinak na základě vašich oprávnění a aktuálního režimu:
- Živý režim Synapse: Synapse Studio vám brání v zobrazení publikovaného obsahu, publikování obsahu nebo provádění jiných akcí, pokud nemáte požadovaná oprávnění. V některých případech nemůžete vytvářet artefakty kódu, které nemůžete použít nebo uložit.
- Režim Git: Pokud máte oprávnění Gitu, která umožňují potvrdit změny do aktuální větve, akce potvrzení se povolí, pokud máte oprávnění publikovat změny do živé služby (role Vydavatel artefaktů Synapse).
V některých případech můžete vytvářet artefakty kódu i bez oprávnění k publikování nebo potvrzení. To vám umožní spustit kód (s požadovanými oprávněními ke spuštění). Další informace o rolích potřebných pro běžné úlohy najdete v tématu Vysvětlení rolí potřebných k provádění běžných úloh v Azure Synapse.
Pokud je funkce ve funkci Synapse Studio zakázaná, popis označuje požadované oprávnění. Pomocí průvodce rolemi Synapse RBAC vyhledejte, která role se vyžaduje k poskytnutí chybějícího oprávnění.