Identiteits- en toegangsbeheer
In dit artikel worden ontwerpoverwegingen en aanbevelingen voor identiteits- en toegangsbeheer besproken. Het richt zich op de implementatie van een analyseplatform op cloudschaal op Microsoft Azure. Omdat analyses op cloudschaal een essentieel element zijn, moeten de richtlijnen voor de ontwerpgebieden van de Azure-landingszone ook worden opgenomen in uw ontwerp.
Dit artikel is gebaseerd op overwegingen en aanbevelingen over Azure-landingszones. Zie Identiteits- en toegangsbeheervoor meer informatie.
Ontwerp van gegevenslandingszone
Analyses op cloudschaal ondersteunen een toegangsbeheermodel met behulp van Microsoft Entra-identiteiten. Het model maakt gebruik van op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC) en toegangsbeheerlijsten (ACL's).
Bekijk de azure-beheer- en beheeractiviteiten die uw teams uitvoeren. Overweeg uw analyse op cloudschaal in Azure. Bepaal de best mogelijke verdeling van verantwoordelijkheden binnen uw organisatie.
Roltoewijzingen
Om gegevensproducten op het gegevensplatform autonoom te ontwikkelen, te leveren en te beheren, hebben datatoepassingsteams slechts enkele toegangsrechten nodig binnen de Azure-omgeving. Voordat u de respectieve RBAC-vereisten bespreekt, is het belangrijk om te benadrukken dat verschillende toegangsmodellen moeten worden gebruikt voor ontwikkeling en hogere omgevingen. Bovendien moeten beveiligingsgroepen waar mogelijk worden gebruikt om het aantal roltoewijzingen te verminderen en het beheer- en beoordelingsproces van RBAC-rechten te vereenvoudigen. Deze stap is essentieel, vanwege het beperkte aantal roltoewijzingen dat voor elk abonnement kan worden aangemaakt.
De ontwikkelomgeving moet toegankelijk zijn voor het ontwikkelteam en hun respectieve gebruikersidentiteiten. Met deze toegang kunnen ze sneller herhalen, meer informatie krijgen over bepaalde mogelijkheden binnen Azure-services en problemen effectief oplossen. Toegang tot een ontwikkelomgeving helpt bij het ontwikkelen of verbeteren van de infrastructuur als code (IaC) en andere codeartefacten. Nadat een implementatie in de ontwikkelomgeving werkt zoals verwacht, kan deze continu worden geïmplementeerd in de hogere omgevingen. Hogere omgevingen, zoals testen en prod, moeten worden vergrendeld voor het gegevenstoepassingsteam. Alleen een service-principal moet toegang hebben tot deze omgevingen en daarom moeten alle implementaties worden uitgevoerd via de service-principal-identiteit met behulp van CI/CD-pijplijnen. Samenvattend moeten in de ontwikkelomgeving toegangsrechten worden verstrekt aan een service principal en gebruikersidentiteiten, en in hogere omgevingen mogen alleen toegangsrechten worden verstrekt aan een service principal identiteiten.
Als u resources en roltoewijzingen tussen resources binnen de resourcegroepen van de gegevensapplicatie wilt maken, dienen Contributor- en User Access Administrator-rechten te worden opgegeven. Met deze rechten kunnen de teams services binnen hun omgeving maken en beheren binnen de grenzen van Azure Policy. Analyse op cloudschaal raadt het gebruik van privé-eindpunten aan om het risico van gegevensexfiltratie te overwinnen en omdat andere connectiviteitsopties worden geblokkeerd door het Azure-platformteam via beleid, hebben gegevenstoepassingsteams toegangsrechten nodig voor het gedeelde virtuele netwerk van een gegevenslandingszone om de vereiste netwerkconnectiviteit in te stellen voor de services die ze van plan zijn te gebruiken. Als u het principe van minimale bevoegdheden wilt volgen, moet u conflicten tussen verschillende teams voor gegevenstoepassingen overwinnen en een duidelijke scheiding van teams hebben, stelt cloudanalyse voor om een speciaal subnet per gegevenstoepassingsteam te maken en een Network Contributor roltoewijzing te maken voor dat subnet (onderliggend resourcebereik). Met deze roltoewijzing kunnen de teams deelnemen aan het subnet met behulp van privé-eindpunten.
Deze twee eerste roltoewijzingen maken selfservice-implementatie van gegevensservices in deze omgevingen mogelijk. Organisaties moeten een kostenplaatslabel toevoegen aan de resource-groepen om de doorbelasting en het gedeelde eigendom van kosten mogelijk te maken. Dit verhoogt het bewustzijn binnen de teams en dwingt hen af om de juiste beslissingen te nemen met betrekking tot vereiste SKU's en servicelagen.
Als u ook zelfbedieningsgebruik van andere gedeelde middelen binnen de datalandingszone wilt inschakelen, zijn er enkele extra roltoewijzingen vereist. Als toegang tot een Databricks-omgeving is vereist, moeten organisaties de SCIM Synch van Microsoft Entra ID gebruiken om toegang te bieden. Dit is belangrijk omdat dit mechanisme gebruikers en groepen automatisch synchroniseert van Microsoft Entra ID naar het Databricks-gegevensvlak en ook automatisch toegangsrechten verwijdert wanneer een persoon de organisatie of het bedrijf verlaat. Binnen Azure Databricks moeten de datatoepassingsteams Can Restart toegangsrechten krijgen voor een vooraf gedefinieerd cluster om workloads in de werkruimte uit te voeren.
Afzonderlijke teams hebben toegang nodig tot het Microsoft Purview-account om data-assets binnen de respectieve landingszones voor gegevens te ontdekken. Bovendien hebben de teams in de meeste gevallen de mogelijkheid nodig om gecatalogeerde gegevensassets te bewerken waarvan ze eigenaar zijn om extra details te bieden, zoals contactgegevens van gegevenseigenaren en experts, evenals gedetailleerdere details over welke kolommen in een gegevensset beschrijven en welke informatie ze bevatten.
Samenvatting van vereisten voor op rollen gebaseerd toegangsbeheer
Voor automatiseringsdoeleinden voor het implementeren van gegevenslandingszones hebt u deze rollen nodig:
Rolnaam
Beschrijving
Draagwijdte
Implementeer alle privé-DNS-zones voor alle gegevensservices in één abonnement en resourcegroep. De service-principal moet toegankelijk zijn als Private DNS Zone Contributor in de globale DNS-resourcegroep die is gemaakt tijdens de implementatie van de landingszone voor gegevensbeheer. Deze rol is vereist voor het implementeren van A-records voor de privé-eindpunten.
(Bereik van resourcegroep) /subscriptions/{{dataManagement}subscriptionId}/resourceGroups/{resourceGroupName}
Om virtuele netwerkpeering in te stellen tussen het netwerk van de datalandingszone en het netwerk van de landingszone voor databeheer, moet de service-principal Network Contributor toegangsrechten hebben op de resourcegroep van het virtuele externe netwerk.
(Bereik van resourcegroep) /subscriptions/{{dataManagement}subscriptionId}/resourceGroups/{resourceGroupName}
Deze machtiging is vereist om de zelf-gehoste integratieruntime te delen die geïmplementeerd wordt in de integration-rg resourcegroep met andere datafabrieken. Het is ook vereist om toegang tot beheerde identiteiten van Azure Data Factory en Azure Synapse Analytics toe te wijzen op de respectieve opslagaccountbestandssystemen.
(Resourcebereik) /subscriptions/{{dataLandingZone}subscriptionId}
Notitie
Het aantal roltoewijzingen kan worden verminderd in een productiescenario. De Network Contributor roltoewijzing is alleen vereist voor het instellen van de peering van het virtuele netwerk tussen de landingszone voor gegevensbeheer en de gegevenslandingszone. Zonder deze overweging werkt DNS-omzetting niet. Binnenkomend en uitgaand verkeer wordt verwijderd omdat er geen zicht is op de Azure Firewall.
De Private DNS Zone Contributor is ook niet vereist als de implementatie van DNS A-records van de privé-eindpunten wordt geautomatiseerd via Azure-beleid met deployIfNotExists effect. Hetzelfde geldt voor de User Access Administrator omdat de implementatie kan worden geautomatiseerd met behulp van deployIfNotExists beleid.
Roltoewijzingen voor gegevensproducten
De volgende roltoewijzingen zijn vereist voor het implementeren van een gegevensproduct binnen een gegevenslandingszone:
Rolnaam
Beschrijving
Draagwijdte
Implementeer alle privé-DNS-zones voor alle gegevensservices in één abonnement en resourcegroep. De service-principal moet voldoen aan eis Private DNS Zone Contributor in de wereldwijde DNS-resourcegroep die is gemaakt tijdens de implementatie van de landingszone voor gegevensbeheer. Deze rol is vereist voor het implementeren van A-records voor de respectieve privé-eindpunten.
(Bereik van resourcegroep) /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}
Implementeer alle streamingservices voor gegevensintegratie in één resourcegroep binnen het abonnement voor de gegevenslandingszone. De serviceprincipal vereist een roltoewijzing van Contributor voor die resourcegroep.
(Bereik van resourcegroep) /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}
Als u privé-eindpunten wilt implementeren in het opgegeven Private Link-subnet, dat is gemaakt tijdens de implementatie van de gegevenslandingszone, vereist de service-principal Network Contributor toegang tot dat subnet.
(Bereik van onderliggende middelen) /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName} /providers/Microsoft.Network/virtualNetworks/{virtualNetworkName}/subnets/{subnetName}"
Toegang tot andere bronnen
Buiten Azure hebben datatoepassingsteams ook toegang nodig tot een opslagplaats om codeartefacten op te slaan, effectief samen te werken en updates en wijzigingen consistent uit te rollen via CI/CD in hogere omgevingen. Daarnaast moet een projectbord worden verstrekt om agile ontwikkeling, sprintplanning, het bijhouden van taken en gebruikersfeedback en functieaanvragen mogelijk te maken.
Ten slotte vereist de CI/CD-automatisering het instellen van een verbinding met Azure, wat in de meeste services gebeurt via serviceprincipes. Teams hebben daarom toegang nodig tot een serviceprincipe om automatisering binnen hun project te bereiken.
Toegang tot gegevens beheren
Het beheren van de toegang tot gegevens dient te gebeuren met behulp van Microsoft Entra-groepen. Voeg gebruikers-principaalnamen of service-principaalnamen toe aan de Microsoft Entra-groepen. Voeg de groepen toe aan de services en verdeel machtigingen aan de groep. Met deze benadering kunt u gedetailleerd toegangsbeheer gebruiken.
Zie Verificatie voor analyse op cloudschaal in Azurevoor meer informatie over hoe u beveiliging kunt bevorderen voor landingszones voor gegevensbeheer en gegevenslandingszones die uw gegevensomgeving beheren.