Delen via

Wat is op rollen gebaseerd toegangsbeheer van Synapse (RBAC)?

  • Artikel

Synapse RBAC breidt de mogelijkheden van Azure RBAC voor Synapse-werkruimten en hun inhoud uit.

Azure RBAC wordt gebruikt om te beheren wie de Synapse-werkruimte en de BIJBEHORENDE SQL-pools, Apache Spark-pools en Integration Runtimes kan maken, bijwerken of verwijderen.

Synapse RBAC wordt gebruikt om te beheren wie het volgende kan:

  • Codeartefacten publiceren en gepubliceerde codeartefacten weergeven of openen,
  • Code uitvoeren op Apaches Spark-pools en Integration Runtimes,
  • Toegang tot gekoppelde (gegevens) services die zijn beveiligd met referenties
  • Taakuitvoering controleren of annuleren, taakuitvoer en uitvoeringslogboeken controleren.

Notitie

Synapse RBAC wordt gebruikt voor het beheren van de toegang tot gepubliceerde SQL-scripts, maar biedt alleen beperkt toegangsbeheer voor serverloze en toegewezen SQL-pools. Toegang tot SQL-pools wordt voornamelijk beheerd met behulp van SQL-beveiliging.

Wat kan ik doen met Synapse RBAC?

Hier volgen enkele voorbeelden van wat u kunt doen met Synapse RBAC:

  • Hiermee staat u een gebruiker toe om wijzigingen te publiceren die zijn aangebracht in Apache Spark-notebooks en -taken naar de liveservice.
  • Toestaan dat een gebruiker notebooks en Spark-taken uitvoert en annuleert in een specifieke Apache Spark-pool.
  • Sta een gebruiker toe om specifieke referenties te gebruiken, zodat ze pijplijnen kunnen uitvoeren die zijn beveiligd door de identiteit van het werkruimtesysteem en toegang krijgen tot gegevens in gekoppelde services die zijn beveiligd met referenties.
  • Hiermee kan een beheerder de taakuitvoering voor specifieke Spark-pools beheren, bewaken en annuleren.

Hoe Synapse RBAC werkt

Net als Azure RBAC werkt Synapse RBAC door roltoewijzingen te maken. Een roltoewijzing bestaat uit drie elementen: een beveiligingsprincipal, een roldefinitie en een bereik.

Beveiligingsprinciplen

Een beveiligingsprincipaal is een gebruiker, groep, service-principal of beheerde identiteit.

Rollen

Een rol is een verzameling machtigingen of acties die kunnen worden uitgevoerd op specifieke resourcetypen of artefacttypen.

Synapse biedt ingebouwde rollen waarmee verzamelingen acties worden gedefinieerd die voldoen aan de behoeften van verschillende persona's:

  • Beheerders kunnen volledige toegang krijgen om een werkruimte te maken en configureren
  • Ontwikkelaars kunnen SQL-scripts, notebooks, pijplijnen en gegevensstromen maken, bijwerken en fouten opsporen, maar deze code niet kunnen publiceren of uitvoeren op productie-rekenresources/-gegevens
  • Operators kunnen de systeemstatus, uitvoering van toepassingen en logboeken bewaken en beheren, zonder toegang tot code of uitvoer van uitvoering.
  • Beveiligingsmedewerkers kunnen eindpunten beheren en configureren zonder toegang te hebben tot code, rekenresources of gegevens.

Meer informatie over de ingebouwde Synapse-rollen.

Bereiken

Een bereik definieert de resources of artefacten waarop de toegang van toepassing is. Azure Synapse ondersteunt hiërarchische bereiken. Machtigingen die zijn verleend in een bereik op een hoger niveau, worden overgenomen door objecten op een lager niveau. In Synapse RBAC is het bereik op het hoogste niveau een werkruimte. Het toewijzen van een rol met werkruimtebereik verleent machtigingen aan alle toepasselijke objecten in de werkruimte.

De huidige ondersteunde bereiken binnen een werkruimte zijn:

  • Apache Spark-pool
  • Integration Runtime
  • gekoppelde service
  • referenties

Toegang tot codeartefacten wordt verleend met werkruimtebereik. Het verlenen van toegang tot verzamelingen artefacten in een werkruimte wordt ondersteund in een latere release.

Roltoewijzingen oplossen om machtigingen vast te stellen

Een roltoewijzing kent een principal machtigingen toe die door de rol gedefinieerd zijn op een gespecificeerd bereik.

Synapse RBAC is een additief model zoals Azure RBAC. Er kunnen meerdere rollen worden toegewezen aan één principal en in verschillende bereiken. Bij het berekenen van de machtigingen van een beveiligingsprincipal overweegt het systeem alle roltoewijzingen aan de principal en aan groepen die direct of indirect de principal bevatten. Het beschouwt ook het bereik van elke toewijzing bij het vaststellen van de machtigingen die van toepassing zijn.

Toegewezen machtigingen afdwingen

In Synapse Studio worden bepaalde knoppen of opties mogelijk grijs weergegeven of wordt er mogelijk een machtigingsfout geretourneerd wanneer u een actie probeert uit te voeren als u niet over de vereiste machtigingen beschikt.

Als een knop of optie is uitgeschakeld, geeft u de muisaanwijzer op de knop of optie een knopinfo weer met de vereiste machtiging. Neem contact op met een Synapse-beheerder om een rol toe te wijzen die de vereiste machtiging verleent. U kunt de rollen zien die specifieke acties bieden. Zie Synapse RBAC-rollen.

Wie kan Synapse RBAC-rollen toewijzen?

Synapse-beheerders kunnen Synapse RBAC-rollen toewijzen. Een Synapse-beheerder op werkruimteniveau kan toegang verlenen tot elk bereik. Een Synapse-beheerder op een lager niveau kan alleen toegang verlenen voor dat bereik.

Wanneer er een nieuwe werkruimte wordt gemaakt, krijgt de maker automatisch de rol Synapse-beheerder bij het werkruimtebereik.

Om u te helpen weer toegang te krijgen tot een werkruimte in het geval dat er geen Synapse-beheerders zijn toegewezen of beschikbaar zijn, kunnen gebruikers met machtigingen voor het beheren van Azure RBAC-roltoewijzingen in de werkruimte ook Synapse RBAC-roltoewijzingen beheren, zodat synapse-beheerders of andere Synapse-roltoewijzingen kunnen worden toegevoegd.

Waar beheer ik Synapse RBAC?

Synapse RBAC wordt beheerd vanuit Synapse Studio met behulp van de hulpprogramma's voor toegangsbeheer in de hub Beheren .

Gerelateerde inhoud

Inzicht in de ingebouwde Synapse RBAC-rollen.

Meer informatie over het controleren van Synapse RBAC-roltoewijzingen voor een werkruimte.

Meer informatie over het toewijzen van Synapse RBAC-rollen.