Autorisatie voor analyses op cloudschaal in Azure
Autorisatie is het verlenen van een geverifieerde partijmachtiging om een actie uit te voeren. Het belangrijkste principe van toegangsbeheer is om gebruikers alleen de hoeveelheid toegang te geven die ze nodig hebben om hun taken uit te voeren en om alleen bepaalde acties binnen een bepaald bereik toe te staan. Beveiliging op basis van rollen komt overeen met toegangsbeheer. Veel organisaties gebruiken op rollen gebaseerde beveiliging om de toegang te beheren op basis van gedefinieerde rollen of taakfuncties in plaats van afzonderlijke gebruikers. Gebruikers krijgen een of meer beveiligingsrollen toegewezen en elke rol krijgt geautoriseerde machtigingen om specifieke taken uit te voeren.
Microsoft Entra-id is een gecentraliseerde id-provider die autorisatie verleent voor toegang tot gegevensservices en opslag voor elke gebruiker of voor elke toepassing op basis van een Microsoft Entra-identiteit.
Autorisatie van gegevensservice
Op rollen gebaseerd toegangsbeheer (RBAC) en toegangsbeheerlijsten (ACL's) van Azure spelen cruciale rollen bij het beheren van toegang en het garanderen van beveiliging. Azure RBAC en ACL's vereisen beide dat de gebruiker of toepassing een identiteit heeft in Microsoft Entra-id. In cloudanalyses is RBAC effectief voor databases en Azure Data Lake Storage. ACL's worden voornamelijk in Data Lake Storage gebruikt om gedetailleerd toegangsbeheer te bieden op bestand- en mapniveau. ACL's vormen een aanvulling op RBAC door meer gedetailleerde machtigingen in de opslaghiërarchie te bieden.
Azure RBAC biedt ingebouwde rollen zoals Eigenaar, Inzenderen Lezer, maar u kunt ook aangepaste rollen maken voor specifieke behoeften. De volgende ingebouwde rollen zijn fundamenteel voor alle Azure-resourcetypen, waaronder Azure-gegevensservices:
| Rol | Beschrijving |
|---|---|
| eigenaar | Deze rol heeft volledige toegang tot de resource en kan alles over de resource beheren, inclusief het recht om toegang tot de resource te verlenen. |
| bijdrager | Deze rol kan de resource beheren, maar kan er geen toegang toe verlenen. |
| Lezer | Deze rol kan de resource en informatie bekijken, met uitzondering van gevoelige informatie, zoals toegangssleutels of geheimen, over de resource. Ze kunnen geen wijzigingen aanbrengen in de resource. |
Notitie
Sommige services hebben specifieke RBAC-rollen, zoals Storage Blob Data Contributor of Data Factory-inzender, dus u moet deze rollen voor deze services gebruiken. RBAC is een additief model waarin het toevoegen van roltoewijzingen een actieve machtiging is. RBAC ondersteunt ook weigeren toewijzingen die voorrang hebben op rol toewijzingen.
Fooi
Wanneer u een strategie voor toegangsbeheer plant, wordt u aangeraden gebruikers alleen de hoeveelheid toegang te verlenen die ze nodig hebben om hun taken uit te voeren. U moet ook alleen bepaalde acties op een bepaald bereik toestaan.
Toegangsbeheer in Azure-databases
RBAC in Azure-databases draait om rollen, bereiken en machtigingen. Azure biedt verschillende ingebouwde rollen voor databasebeheer. Een van deze rollen is inzender voor SQL Server, waarmee het beheer van SQL-servers en -databases mogelijk is. Een andere rol is SQL DB Bijdrager, waarmee het mogelijk is om SQL-databases te beheren, maar niet de server zelf. Daarnaast kunt u aangepaste rollen maken die specifieke machtigingen hebben om te voldoen aan unieke vereisten.
U kunt rollen toewijzen op verschillende niveaus, waaronder:
- Op abonnementsniveau, waarbij rollen van toepassing zijn op alle resources binnen het abonnement.
- Op het niveau van de resourcegroep, waar rollen van toepassing zijn op alle resources binnen de opgegeven resourcegroep.
- Op resourceniveau, waar u rollen rechtstreeks aan afzonderlijke databases of servers kunt toewijzen. Deze benadering geeft u nauwkeurige controle.
Machtigingen definiëren de acties die een rol kan uitvoeren, zoals lezen, schrijven, verwijderen of beveiligingsinstellingen beheren. Deze machtigingen worden gegroepeerd in rollen om het beheer te vereenvoudigen.
In Azure SQL Databasekunt u rollen toewijzen aan gebruikers, groepen of toepassingen om de toegang te beheren. Aan een databasebeheerder kan bijvoorbeeld de rol inzender voor SQL Server worden toegewezen voor het beheren van de server en databases. Met rollen zoals inzender voor SQL DB kunnen gebruikers databases maken, bijwerken en verwijderen, terwijl de SQL Security Manager- rol is gericht op beveiligingsconfiguraties.
In Azure Cosmos DBkunt u rollen toewijzen om de toegang tot Azure Cosmos DB-accounts, -databases en -containers te beheren. Ingebouwde rollen zoals Cosmos DB-accountlezer en Cosmos DB-accountbijdrager bieden verschillende toegangsniveaus.
In Azure Database for MySQL-, Azure Database for PostgreSQLen Azure Database for MariaDB-, kunt u rollen toewijzen om databaseservers en afzonderlijke databases te beheren. U kunt rollen zoals Inzender en Lezer gebruiken om de toegang te beheren.
Zie ingebouwde Azure-rollen voor databasesvoor meer informatie.
Toegangsbeheer in Data Lake Storage
Met Azure RBAC kunt u grofmazige toegang verlenen, zoals lees- of schrijftoegang, aan alle opslagaccountgegevens. Met ACL's kunt u gedetailleerde toegang verlenen, zoals schrijftoegang tot een specifieke map of een specifiek bestand.
In veel scenario's kunt u RBAC en ACL's samen gebruiken om uitgebreid toegangsbeheer in Data Lake Storage te bieden. U kunt RBAC gebruiken om toegang op hoog niveau tot gegevens te beheren, zodat alleen geautoriseerde gebruikers toegang hebben tot de service. Vervolgens kunt u ACL's in het opslagaccount toepassen om de toegang tot specifieke bestanden en mappen te beheren, waardoor de beveiliging wordt verbeterd.
Op kenmerken gebaseerd toegangsbeheer van Azure bouwt voort op Azure RBAC door roltoewijzingsvoorwaarden toe te voegen op basis van kenmerken in de context van specifieke acties. In wezen kunt u RBAC-roltoewijzingen verfijnen door voorwaarden toe te voegen. U kunt bijvoorbeeld lees- of schrijftoegang verlenen aan alle gegevensobjecten in een opslagaccount met een specifieke tag.
Met de volgende rollen kan een beveiligingsprincipaal toegang krijgen tot gegevens in een opslagaccount.
| Rol | Beschrijving |
|---|---|
| eigenaar van opslagblobgegevens |
Deze rol biedt volledige toegang tot blobopslagcontainers en -gegevens. Met deze toegang kan de beveiligingsprincipal de eigenaar van een item instellen en de ACL's van alle items wijzigen. |
| Storage-blobgegevensbijdrager | Deze rol biedt lees-, schrijf- en verwijdertoegang tot blobopslagcontainers en -blobs. Met deze toegang kan de beveiligingsprincipaal het eigendom van een item niet instellen, maar kan de ACL worden gewijzigd van items waarvan de beveiligingsprincipaal eigenaar is. |
| Storage Blob-gegevenslezer | Deze rol kan containers en blobs van blobopslag lezen en weergeven. |
Rollen zoals Eigenaar, Bijdrager, Lezeren Bijdrager voor opslagaccounts stellen een beveiligingsprincipaal in staat om een opslagaccount te beheren, maar ze bieden geen toegang tot de gegevens binnen dat account. Deze rollen, met uitzondering van Reader, kunnen echter toegang krijgen tot de opslagsleutels, die kunnen worden gebruikt in verschillende clienthulpprogramma's voor toegang tot de gegevens. Zie Access Control-model in Data Lake Storagevoor meer informatie.
Toegangsbeheer in Azure Databricks
Azure Databricks biedt toegangsbeheersystemen voor het beheren van toegang binnen de Azure Databricks-omgeving. Deze systemen richten zich op beveiligbare objecten en gegevensbeheer. De drie belangrijkste toegangsbeheersystemen binnen Azure Databricks zijn:
- ACL's, waarmee u machtigingen kunt configureren voor toegang tot werkruimteobjecten, zoals notebooks. Zie Het overzicht van toegangsbeheer voor meer informatie.
- Account RBAC-, die u kunt gebruiken om machtigingen te configureren voor het gebruik van objecten op accountniveau, zoals service-principals en groepen.
- Unity Catalog, waarmee u gegevensobjecten kunt beveiligen en beheren.
Naast toegangsbeheer voor objecten biedt Azure Databricks ingebouwde rollen op het platform. U kunt rollen toewijzen aan gebruikers, service-principals en groepen. Zie Beheerdersrollen en werkruimterechtenvoor meer informatie.
Best practices voor autorisatie in analyses op cloudschaal
In deze handleiding worden de aanbevolen procedures besproken voor het implementeren van RBAC in analyseomgevingen op cloudschaal. Het omvat algemene RBAC-principes, databasetoegangsbeheer en best practices voor data lake-toegangsbeheer om veilig en efficiënt resourcebeheer te garanderen.
Algemene aanbevolen procedures voor RBAC voor analyses op cloudschaal
Met de volgende aanbevolen procedures kunt u aan de slag met RBAC:
Gebruik RBAC-rollen voor servicebeheer en -bewerkingen en gebruik servicespecifieke rollen voor gegevenstoegang en workloadspecifieke taken. Gebruik RBAC-rollen in Azure-resources om machtigingen te verlenen aan beveiligingsprinciplen die resourcebeheer- en bewerkingstaken moeten uitvoeren. Voor beveiligingsprinciplen die toegang nodig hebben tot gegevens in de opslag, is geen RBAC-rol voor de resource vereist, omdat ze deze niet hoeven te beheren. In plaats daarvan kunt u rechtstreeks machtigingen verlenen aan gegevensobjecten. Geef bijvoorbeeld leestoegang tot een map in Data Lake Storage, of verleent ingesloten machtingen aan databasegebruikers en tabellen in een SQL Database.
Ingebouwde RBAC-rollen gebruiken. Ten eerste, gebruik de ingebouwde RBAC Azure-resourcerollen om services te beheren en operationele rollen toe te wijzen om toegang te controleren. Maak en gebruik alleen aangepaste rollen voor Azure-resources wanneer ingebouwde rollen niet voldoen aan uw specifieke behoeften.
Groepen gebruiken om de toegang te beheren. Wijs toegang toe aan Microsoft Entra-groepen en beheer groepslidmaatschappen voor doorlopend toegangsbeheer.
Overweeg de abonnement- en resourcegroep-bereiken. In niet-productieomgevingen verleent u toegang tot het bereik van de resourcegroep om de toegangsbehoeften voor servicebeheer en bewerkingen te scheiden in plaats van toegang te verlenen tot afzonderlijke resources. Deze aanpak is logisch omdat ontwikkelaars en testers in niet-productieomgevingen resources moeten beheren. Ze moeten bijvoorbeeld een Azure Data Factory-opnamepijplijn of een container maken in Data Lake Storage.
In productieomgevingen kunt u echter toegang verlenen tot afzonderlijke resources voor workloadspecifieke taken, zoals ondersteuning en bewerkingen van het Data Lake-bestandssysteem. Deze benadering is logisch in productieomgevingen, omdat gebruikers alleen resources hoeven te gebruiken, zoals het weergeven van de status van een geplande Data Factory-opnamepijplijn of het lezen van gegevensbestanden in Data Lake Storage.
Verdeel geen onnodige toegang tot het abonnementsbereik. Het abonnementsbereik omvat alle resources binnen het abonnement.
Kies voor toegang met minimale bevoegdheden. Selecteer de juiste en enige rol voor de taak.
Aanbevolen procedures voor databasetoegangsbeheer
Het implementeren van effectieve RBAC is van cruciaal belang voor het onderhouden van beveiliging en beheerbaarheid in uw analyseomgeving. Deze sectie bevat aanbevolen procedures voor het gebruik van Microsoft Entra-groepen en ingebouwde rollen en voor het vermijden van directe gebruikersmachtigingen om een gestroomlijnd en beveiligd toegangsbeheerproces te garanderen.
Analyseomgevingen op cloudschaal bevatten doorgaans meerdere soorten opslagoplossingen, waaronder PostgreSQL, MySQL, SQL Database, Azure SQL Managed Instance en Azure Synapse Analytics.
Gebruik Microsoft Entra-groepen in plaats van afzonderlijke gebruikersaccounts. U wordt aangeraden Microsoft Entra-groepen te gebruiken om databaseobjecten te beveiligen in plaats van afzonderlijke Microsoft Entra-gebruikersaccounts. Gebruik Microsoft Entra-groepen om gebruikers te verifiëren en databaseobjecten te beveiligen. Net als bij het data lake-patroon kunt u de onboarding van uw gegevenstoepassing gebruiken om deze groepen te maken.
Ingebouwde rollen gebruiken om de toegang te beheren. Maak alleen aangepaste rollen als u moet voldoen aan specifieke vereisten of als ingebouwde rollen te veel machtigingen verlenen.
Wijs geen machtigingen toe aan afzonderlijke gebruikers. Gebruik functies, zoals database- of serverfuncties, consistent. Rollen helpen bij rapportage- en probleemoplossingsmachtigingen. Azure RBAC biedt alleen ondersteuning voor machtigingstoewijzing via rollen.
Notitie
Gegevenstoepassingen kunnen gevoelige gegevensproducten opslaan in SQL Database-, SQL Managed Instance- of Azure Synapse Analytics-pools. Zie Gegevensprivacy voor cloudanalyses in Azurevoor meer informatie.
Best practices voor Data Lake Storage-toegangsbeheer
In moderne gegevensomgevingen is veilig en efficiënt toegangsbeheer van cruciaal belang. Data Lake Storage biedt robuuste mechanismen voor het beheren van toegang via ACL's. In deze sectie vindt u een overzicht van de aanbevolen procedures voor het implementeren van RBAC in Data Lake Storage en het toepassen van ACL's, Microsoft Entra-beveiligingsgroepen en het principe van minimale bevoegdheid om een veiligere en beheerbare Data Lake-omgeving te behouden. Daarnaast wordt het belang benadrukt van het afstemmen van ACL's met schema's voor gegevenspartitionering en het gebruik van Unity Catalog voor Azure Databricks-gebruikers om te zorgen voor uitgebreide beveiliging en governance.
Gebruik ACL's voor gedetailleerd toegangsbeheer. ACL's spelen een belangrijke rol bij het definiëren van toegang op gedetailleerd niveau. In Data Lake Storage werken ACL's met beveiligingsprincipals om verfijnde toegang tot bestanden en mappen te beheren.
ACL's toepassen op bestand- en mapniveaus. Als u de toegang tot gegevens in de data lake wilt beheren, raden we u aan ACL's te gebruiken op het niveau van bestanden en mappen. Data Lake Storage gebruikt ook een ACL-model dat vergelijkbaar is met de PORTABLE Operating System Interface (POSIX). POSIX is een groep standaarden voor besturingssystemen. Eén standaard definieert een eenvoudige maar krachtige machtigingsstructuur voor het openen van bestanden en mappen. POSIX wordt veel gebruikt voor netwerkbestandsshares en Unix-computers.
Gebruik Microsoft Entra-beveiligingsgroepen als de toegewezen principal in een ACL-vermelding. In plaats van afzonderlijke gebruikers of service-principals rechtstreeks toe te wijzen, gebruikt u deze methode om gebruikers of service-principals toe te voegen en te verwijderen zonder dat u ACL's opnieuw hoeft toe te passen op een hele directorystructuur. U kunt alleen gebruikers en service-principals toevoegen aan of verwijderen uit de juiste Microsoft Entra-beveiligingsgroep.
Wijs toegang toe aan Microsoft Entra-groepen en beheer het lidmaatschap van groepen voor doorlopend toegangsbeheer. Zie Access Control-model in Data Lake Storagevoor meer informatie.
Pas het principe van minimale bevoegdheden toe op ACL's. In de meeste gevallen moeten gebruikers alleen lees machtigingen hebben voor de bestanden en mappen die ze nodig hebben in de data lake. Gegevensgebruikers mogen geen toegang hebben tot de container van het opslagaccount.
ACL's uitlijnen met schema's voor gegevenspartitionering. ACL's en ontwerp van gegevenspartitie moeten worden uitgelijnd om effectief toegangsbeheer voor gegevens te garanderen. Zie Data lake partitioneringvoor meer informatie.
Voor Azure Databricks-gebruikers beheert u uitsluitend de toegang tot gegevensobjecten met Unity Catalog. Het verlenen van directe toegang op opslagniveau tot externe locatieopslag in Data Lake Storage respecteert geen reeds verleende machtigingen of controlemaatregelen die door Unity Catalog worden gehandhaafd. Directe toegang omzeilt controle-, herkomst- en andere beveiligings- en bewakingsfuncties van Unity Catalog, waaronder toegangsbeheer en machtigingen. Daarom moet u Azure Databricks-gebruikers geen directe toegang op opslagniveau geven tot beheerde tabellen en volumes in Unity Catalog.