Overzicht van toegangsbeheer voor Azure Synapse-werkruimte

Dit artikel bevat een overzicht van de mechanismen die beschikbaar zijn voor het beheren van de toegang tot Azure Synapse-rekenresources en -gegevens.

Azure Synapse biedt een uitgebreid en gedetailleerd toegangsbeheersysteem dat integreert:

• Azure-rollen voor het beheren van resources en voor toegang tot gegevens in de opslag
• Synapse-rollen voor het beheren van livetoegang tot code en de uitvoering ervan
• SQL-rollen voor gegevensvlaktoegang tot gegevens in SQL-pools
• Git-machtigingen voor broncodebeheer, inclusief ondersteuning voor continue integratie en implementatie

Azure Synapse-rollen bieden machtigingensets die kunnen worden toegepast op verschillende bereiken. Deze granulariteit maakt het eenvoudig om de juiste toegang te verlenen aan beheerders, ontwikkelaars, beveiligingspersoneel en operators tot rekenresources en gegevens.

Toegangsbeheer kan worden vereenvoudigd door gebruik te maken van beveiligingsgroepen die zijn afgestemd op de functies van personen. Om toegang te beheren hoeft u alleen maar gebruikers toe te voegen aan de juiste beveiligingsgroepen of ze eruit te verwijderen.

Elementen van toegangsbeheer

Azure Synapse-rekenresources maken en beheren

Azure-rollen worden gebruikt voor het beheren van:

• Toegewezen SQL-pools
• Data Explorer-pools
• Apache Spark-pools
• Integration Runtimes

Als u deze resources wilt maken, moet u een Azure-eigenaar of -inzender zijn voor de resourcegroep. Als u ze wilt beheren nadat ze zijn gemaakt, moet u een Azure-eigenaar of -inzender zijn voor de resourcegroep of voor de afzonderlijke resources.

Een eigenaar of inzender kan microsoft-entra-verificatie in- of uitschakelen voor Azure Synapse-werkruimten. Zie Microsoft Entra-verificatie gebruiken voor verificatie met Synapse SQL voor meer informatie over Microsoft Entra-verificatie.

Code ontwikkelen en uitvoeren in Azure Synapse

Synapse ondersteunt twee ontwikkelmodellen.

• Liveontwikkeling van Synapse: U ontwikkelt en debugt code in Synapse Studio en publiceert deze vervolgens om op te slaan en uit te voeren. De Synapse-service is de bron van waarheid als het gaat om het bewerken en uitvoeren van code. Ongepubliceerd werk gaat verloren wanneer u Synapse Studio sluit.

• Ontwikkeling met Git-functionaliteit: u ontwikkelt en debugt code in Synapse Studio en voert wijzigingen door in een werkende vertakking van een Git-opslagplaats. Werk van een of meer vertakkingen wordt geïntegreerd in een samenwerkingsvertakking, van waaruit u deze naar de service kunt publiceren. De Git-opslagplaats is de bron van waarheid voor het bewerken van code, terwijl de service de bron van waarheid is voor de uitvoering ervan. Wijzigingen moeten worden doorgevoerd in de Git-opslagplaats of naar de service worden gepubliceerd voordat Synapse Studio wordt gesloten. Zie Continue integratie en levering voor een Azure Synapse Analytics-werkruimte voor meer informatie over het gebruik van Synapse Analytics met Git.

In beide ontwikkelmodellen kan elke gebruiker met toegang tot Synapse Studio codeartefacten maken. U hebt echter aanvullende machtigingen nodig om artefacten te publiceren naar de service, gepubliceerde artefacten te lezen, wijzigingen door te voeren in Git, code uit te voeren en om toegang te krijgen tot gekoppelde gegevens die worden beveiligd met referenties. Gebruikers moeten de rol Azure-inzender of hoger hebben in de Synapse-werkruimte om instellingen te configureren, te bewerken en de verbinding met een Git-opslagplaats met Synapse te verbreken.

Azure Synapse-rollen

Azure Synapse-rollen worden gebruikt om de toegang tot de Synapse-service te beheren. Met verschillende rollen kunt u het volgende doen:

• Gepubliceerde codeartefacten weergeven
• Codeartefacten, gekoppelde services en referentiedefinities publiceren
• Code of pijplijnen uitvoeren die gebruikmaken van Synapse-rekenresources
• Code of pijplijnen uitvoeren die toegang hebben tot gekoppelde gegevens die zijn beveiligd met referenties
• Uitvoer weergeven die is gekoppeld aan gepubliceerde codeartefacten
• De status van rekenresources bewaken en runtimelogboeken weergeven

Azure Synapse-rollen kunnen worden toegewezen aan het werkruimtebereik of aan nauwkeurigere bereiken om de machtigingen te beperken die zijn verleend aan specifieke Azure Synapse-resources.

Git-machtigingen

Voor ontwikkeling met Git in de Git-modus hebt u Git-machtigingen nodig naast de Synapse User- of Synapse RBAC-rollen (op rollen gebaseerd toegangsbeheer) om codeartefacten te lezen, waaronder gekoppelde service- en referentiedefinities. Als u wijzigingen wilt doorvoeren in codeartefacten in de Git-modus, hebt u Git-machtigingen en de rol Synapse Artifact Publisher nodig.

Toegang tot gegevens in SQL

Voor toegewezen en serverloze SQL-pools wordt de toegang tot het gegevensvlak beheerd met behulp van SQL-machtigingen.

De maker van een werkruimte wordt als Active Directory-beheerder aan de werkruimte toegewezen. Nadat deze rol is gemaakt, kan deze in Azure Portal worden toegewezen aan een andere gebruiker of aan een beveiligingsgroep.

• Serverloze SQL-pools: Synapse-beheerders krijgen machtigingen (DBO) voor db_owner de serverloze SQL-pool, ingebouwd. Als u andere gebruikers toegang wilt verlenen tot de serverloze SQL-pool, moeten Synapse-beheerders SQL-scripts uitvoeren in de serverloze pool.

• Toegewezen SQL-pools: Synapse-beheerders hebben volledige toegang tot gegevens in toegewezen SQL-pools en de mogelijkheid om toegang te verlenen aan andere gebruikers. Synapse-beheerders kunnen ook configuratie- en onderhoudsactiviteiten uitvoeren op toegewezen pools, met uitzondering van het verwijderen van databases. Aan de maker van de werkruimte en de MSI van de werkruimte wordt de Active Directory-beheerdersmachtiging verleend. Anders worden machtigingen voor toegang tot toegewezen SQL-pools niet automatisch verleend. Als u andere gebruikers of groepen toegang wilt verlenen tot toegewezen SQL-pools, moet de Active Directory-beheerder of Synapse-beheerder SQL-scripts uitvoeren op elke toegewezen SQL-pool.

Zie Toegangsbeheer instellen voor uw Azure Synapse-werkruimte voor voorbeelden van SQL-scripts voor het verlenen van SQL-machtigingen in SQL-pools.

Toegang tot gegevens in Data Explorer-pools

Voor Data Explorer-pools wordt de toegang tot het gegevensvlak beheerd via Data Explorer-machtigingen. Synapse-beheerders krijgen machtigingen voor All Database admin Data Explorer-pools. Als u andere gebruikers of groepen toegang wilt verlenen tot Data Explorer-pools, moeten Synapse-beheerders verwijzen naar beveiligingsrollenbeheer. Zie het overzicht van Toegangsbeheer voor meer informatie over toegang tot gegevensvlakken.

Toegang tot door het systeem beheerde gegevens in opslag

Serverloze SQL-pools en Apache Spark-tabellen slaan hun gegevens op in een Azure Data Lake Storage Gen2-container die is gekoppeld aan de werkruimte. Door de gebruiker geïnstalleerde Apache Spark-bibliotheken worden ook in hetzelfde opslagaccount beheerd. Als u deze gebruiksvoorbeelden wilt inschakelen, moeten gebruikers en de MSI van de werkruimte toegang krijgen tot de Azure Data Lake Storage-container voor opslagblobgegevens .

Beveiligingsgroepen gebruiken als best practice

Als u het toegangsbeheer wilt vereenvoudigen, kunt u beveiligingsgroepen gebruiken om rollen aan individuen en groepen toe te wijzen. Beveiligingsgroepen kunnen worden gemaakt om persona's of functies in uw organisatie die toegang nodig hebben tot Synapse-resources of -artefacten, te spiegelen. Aan deze beveiligingsgroepen op basis van een persona kunnen vervolgens een of meer Azure-rollen, Synapse-rollen, SQL-machtigingen of Git-machtigingen worden toegewezen. Met goed gekozen beveiligingsgroepen is het makkelijk om aan een gebruiker de vereiste machtigingen toe te wijzen door deze toe te voegen aan de juiste beveiligingsgroep.

Notitie

Als u beveiligingsgroepen gebruikt om de toegang te beheren, wordt er extra latentie geïntroduceerd door Microsoft Entra-id voordat wijzigingen van kracht worden.

Afdwinging van toegangsbeheer in Synapse Studio

Synapse Studio gedraagt zich anders op basis van uw machtigingen en de huidige modus:

• Synapse-livemodus: Synapse Studio voorkomt dat u gepubliceerde inhoud, publicatie-inhoud of andere acties kunt uitvoeren als u niet over de vereiste machtigingen beschikt. In sommige gevallen kunt u geen codeartefacten maken die u niet kunt gebruiken of opslaan.
• Git-modus: Als u Git-machtigingen hebt waarmee u wijzigingen kunt doorvoeren in de huidige vertakking, is de doorvoeractie toegestaan als u gemachtigd bent om wijzigingen te publiceren in de liveservice (synapse Artifact Publisher-rol).

In sommige gevallen kunt u codeartefacten maken, zelfs zonder toestemming om te publiceren of doorvoeren. Op die manier kunt u code uitvoeren (met de vereiste uitvoeringsmachtigingen). Zie Voor meer informatie over de rollen die vereist zijn voor algemene taken inzicht in de rollen die vereist zijn voor het uitvoeren van algemene taken in Azure Synapse.

Als een functie is uitgeschakeld in Synapse Studio, geeft een knopinfo de vereiste machtiging aan. Gebruik de Handleiding Synapse RBAC-rollen als u wilt opzoeken welke rol de ontbrekende machtiging heeft.

Gerelateerde inhoud

• Wat is op rollen gebaseerd toegangsbeheer van Synapse (RBAC)?
• Synapse RBAC-rollen
• Toegangsbeheer instellen voor uw Azure Synapse-werkruimte
• Synapse RBAC-roltoewijzingen controleren
• Synapse RBAC-roltoewijzingen beheren