Administración de datos y control de acceso basado en roles para el análisis a escala de nube en Azure
La autorización es el acto de conceder a una parte autenticada permiso para llevar a cabo una acción. El principio clave del control de acceso es proporcionar a los usuarios solo la cantidad de acceso que necesitan para realizar su trabajo y permitir solo determinadas acciones en un ámbito determinado. La seguridad basada en roles o el control de acceso basado en roles (RBAC) corresponde al control de acceso y lo usan muchas organizaciones para controlar el acceso según las funciones de trabajo o los roles definidos frente a usuarios individuales. A los usuarios se les asignan uno o varios roles de seguridad, cada uno de los cuales tiene permisos autorizados para realizar tareas específicas.
Al usar Microsoft Entra ID como proveedor de identidades centralizado, la autorización para acceder a los servicios de datos y el almacenamiento se puede conceder por usuario o por aplicación y se basa en una identidad de Microsoft Entra. La autorización cubre RBAC en la lista de control de acceso y el servicio en el nivel de archivo, carpeta u objeto del almacenamiento.
Autorización del servicio Data
Microsoft Azure incluye RBAC estándar e integrado, que es un sistema de autorización basado en Azure Resource Manager que proporciona administración de acceso detallado a los recursos de Azure. Los roles RBAC ayudan a controlar los niveles de acceso a los recursos: ¿qué puede hacer una entidad de seguridad, un usuario, un grupo, un servicio o una aplicación con los recursos y las áreas a las que tiene acceso? Al planear una estrategia de control de acceso, se recomienda conceder a los usuarios solo la cantidad de acceso que necesitan para llevar a cabo sus trabajos y permitir solo determinadas acciones en un ámbito determinado.
Los siguientes roles integrados son fundamentales para todos los tipos de recursos de Azure, incluidos los servicios de datos de Azure:
Descripción | |
---|---|
Propietario: | Este rol tiene acceso completo al recurso y puede administrar todo lo relacionado con el recurso, incluido el derecho a concederle acceso. |
Colaborador: | Este rol puede administrar el recurso, pero no puede concederle acceso. |
Lector: | Este rol puede ver el recurso y la información sobre él (excepto información confidencial, como claves de acceso o secretos), pero no puede realizar ningún cambio en el recurso. |
Algunos servicios tienen roles RBAC específicos, como Colaborador de datos de Storage Blob o Colaborador de Data Factory, lo que significa que se deben usar roles RBAC específicos para estos servicios. RBAC es un modelo de adición en el que agregar asignaciones de roles es un permiso activo. RBAC también admite asignaciones de denegación, que tienen prioridad sobre las asignaciones de roles.
Procedimientos generales para el análisis a escala de nube en Azure
Los siguientes procedimientos recomendados pueden ayudarle a empezar a usar RBAC:
Use roles RBAC para la administración y las operaciones de servicios, y use roles específicos del servicio para el acceso a datos y las tareas específicas de la carga de trabajo: use roles RBAC en recursos de Azure para conceder permiso a las entidades de seguridad que necesitan realizar tareas de administración y operaciones de recursos. Las entidades de seguridad que necesitan acceder a los datos del almacenamiento no tienen un rol RBAC en el recurso porque no necesitan administrarlos. En su lugar, conceda permiso a los objetos de datos directamente. Por ejemplo, acceso de lectura a una carpeta de Azure Data Lake Storage Gen2 o un permiso de usuario y tabla de base de datos independiente en una base de datos de Azure SQL Database.
Uso de roles RBAC integrados: en primer lugar, use los roles de recursos integrados de RBAC de Azure para administrar servicios y asignar roles de operaciones para controlar el acceso. Cree y use roles personalizados para los recursos de Azure solo cuando los roles integrados no satisfagan necesidades específicas.
Use grupos para administrar el acceso: asigne acceso a grupos de Microsoft Entra y administre las pertenencias a grupos para la administración continua del acceso.
Ámbitos de suscripción y grupo de recursos: aunque tiene sentido conceder acceso en el ámbito del grupo de recursos para separar las necesidades de acceso de operaciones y administración de servicios en lugar de conceder acceso a recursos individuales (especialmente en entornos que no son de producción), puede conceder acceso a recursos individuales para tareas específicas de la carga de trabajo, como la compatibilidad y las operaciones del sistema de archivos de lago de datos, especialmente en entornos de producción. Esto se debe a que, en entornos que no son de producción, los desarrolladores y evaluadores tendrán que administrar recursos como la creación de una canalización de ingesta de Azure Data Factory o la creación de un contenedor en Data Lake Storage Gen2. Mientras están en producción, los usuarios solo necesitan usar recursos como ver el estado de una canalización de ingesta de Data Factory programada o leer archivos de datos en Data Lake Storage Gen2.
No conceda acceso innecesario en el ámbito de la suscripción: este ámbito abarca todos los recursos de la suscripción.
Opte por el acceso con privilegios mínimos: seleccione el rol adecuado único para el trabajo.
Pasos siguientes
Aprovisionamiento de la seguridad para el análisis a escala de la nube en Azure