Zarządzanie tożsamościami i dostępem
W tym artykule opisano zagadnienia dotyczące projektowania i zalecenia dotyczące zarządzania tożsamościami i dostępem. Koncentruje się ona na wdrażaniu platformy analizy w skali chmury na platformie Microsoft Azure. Ponieważ analiza w skali chmury jest elementem o znaczeniu krytycznym, wskazówki dotyczące obszarów projektowych strefy docelowej platformy Azure powinny być również uwzględnione w projekcie.
W tym artykule omówiono zagadnienia i zalecenia dotyczące stref docelowych platformy Azure. Aby uzyskać więcej informacji, zobacz Identity and access management.
Projekt strefy docelowej danych
Analizy w skali chmury obsługują model kontroli dostępu przy użyciu tożsamości Microsoft Entra. Model używa zarówno kontroli dostępu na podstawie ról (RBAC) platformy Azure, jak i list kontroli dostępu (ACL).
Przejrzyj działania związane z administracją i zarządzaniem platformą Azure wykonywane przez zespoły. Rozważ analizę w skali chmury na platformie Azure. Określ najlepszą możliwą dystrybucję obowiązków w organizacji.
Przypisania ról
Aby tworzyć, dostarczać i obsługiwać produkty danych autonomicznie w obrębie platformy danych, zespoły aplikacji danych wymagają kilku praw dostępu w środowisku platformy Azure. Przed omówieniem odpowiednich wymagań kontroli dostępu opartej na rolach (RBAC), należy podkreślić, że różne modele dostępu powinny być używane w środowiskach deweloperskich i produkcyjnych. Ponadto grupy zabezpieczeń powinny być używane wszędzie tam, gdzie jest to możliwe, aby zmniejszyć liczbę przypisań ról i uprościć proces zarządzania i przeglądu praw RBAC. Ten krok jest istotny ze względu na ograniczoną liczbę przypisań ról, które można utworzyć dla każdej subskrypcji.
Środowisko programistyczne powinno być dostępne dla zespołu deweloperów i ich odpowiednich tożsamości użytkowników. Ten dostęp umożliwia im szybsze iterowanie, poznawanie niektórych możliwości w usługach platformy Azure i efektywne rozwiązywanie problemów. Dostęp do środowiska deweloperskiego pomaga podczas opracowywania lub ulepszania infrastruktury jako kodu (IaC) i innych artefaktów kodu. Po tym, jak wdrożenie w środowisku projektowym działa zgodnie z oczekiwaniami, można je ciągle wdrażać do wyższych środowisk. Wyższe środowiska, takie jak test i prod, powinny być zablokowane dla zespołu aplikacji danych. Tylko jednostka usługi powinna mieć dostęp do tych środowisk i dlatego wszystkie wdrożenia muszą być wykonywane za pośrednictwem tożsamości jednostki usługi przy użyciu potoków ciągłej integracji/ciągłego wdrażania. Podsumowując, w środowisku deweloperskim uprawnienia dostępu powinny być przypisane zarówno tożsamości jednostki usługi, jak i tożsamościom użytkowników, natomiast w wyższych środowiskach prawa dostępu powinny być przypisane tylko tożsamości jednostki usługi.
Aby można było tworzyć zasoby i przypisania ról między zasobami w grupach zasobów aplikacji danych, należy podać prawa Contributor i User Access Administrator. Te prawa umożliwiają zespołom tworzenie i kontrolowanie usług w ich środowisku w ramach granic usługi Azure Policy. Analiza w skali chmury zaleca użycie prywatnych punktów końcowych w celu przezwyciężenia ryzyka eksfiltracji danych, a inne opcje łączności są blokowane przez zespół platformy Azure za pośrednictwem zasad, zespoły aplikacji danych wymagają praw dostępu do udostępnionej sieci wirtualnej strefy docelowej danych, aby móc pomyślnie skonfigurować wymaganą łączność sieciową dla usług, z których planuje korzystać. Aby postępować zgodnie z zasadą najniższych uprawnień, przezwyciężając konflikty między różnymi zespołami ds. aplikacji danych oraz zapewniając wyraźne rozdzielenie zespołów, analiza w skali chmury proponuje utworzenie dedykowanej podsieci dla każdego zespołu ds. aplikacji danych oraz utworzenie przypisania roli Network Contributor do tej podsieci (zakres zasobów podrzędnych). To przypisanie roli umożliwia zespołom dołączanie do podsieci przy użyciu prywatnych punktów końcowych.
Te dwa pierwsze przypisania ról umożliwiają samoobsługowe wdrażanie usług danych w tych środowiskach. Aby rozwiązać problem z zarządzaniem kosztami, organizacje powinny dodać tag centrum kosztów do grup zasobów, aby umożliwić obciążenie krzyżowe i rozproszone zarządzanie kosztami. Zwiększa to świadomość w zespołach i wymusza podejmowanie odpowiednich decyzji w odniesieniu do wymaganych jednostek SKU i warstw usług.
Aby umożliwić również samoobsługowe korzystanie z innych zasobów udostępnionych w strefie docelowej danych, wymagane jest kilka dodatkowych przypisań ról. Jeśli wymagany jest dostęp do środowiska usługi Databricks, organizacje powinny używać SCIM Synch from Microsoft Entra ID w celu zapewnienia dostępu. Jest to ważne, ponieważ ten mechanizm automatycznie synchronizuje użytkowników i grupy z identyfikatora Entra firmy Microsoft z płaszczyzną danych usługi Databricks, a także automatycznie usuwa prawa dostępu, gdy osoba opuszcza organizację lub firmę. W usłudze Azure Databricks zespoły aplikacji danych powinny mieć Can Restart prawa dostępu do wstępnie zdefiniowanego klastra, aby móc uruchamiać obciążenia w obszarze roboczym.
Poszczególne zespoły wymagają dostępu do konta usługi Microsoft Purview w celu odnajdywania zasobów danych w odpowiednich strefach docelowych danych. Ponadto zespoły będą w większości przypadków wymagać opcji edytowania katalogowanych zasobów danych, których są właścicielami, aby udostępnić dodatkowe informacje, takie jak dane kontaktowe właścicieli danych i ekspertów, a także bardziej szczegółowe informacje o kolumnach w zestawie danych, jakie dane opisują i jakie informacje zawierają.
Podsumowanie wymagań dotyczących kontroli dostępu opartej na rolach
Do celów automatyzacji wdrażania stref docelowych danych potrzebne są następujące role:
Nazwa roli
Opis
Zakres
Wdróż wszystkie prywatne strefy DNS dla wszystkich usług danych w jednej subskrypcji i grupie zasobów. Jednostka usługi musi być Private DNS Zone Contributor w globalnej grupie zasobów DNS utworzonej podczas wdrażania strefy docelowej zarządzania danymi. Ta rola jest potrzebna do wdrożenia rekordów A dla prywatnych punktów końcowych.
(Zakres grupy zasobów) /subscriptions/{{dataManagement}subscriptionId}/resourceGroups/{resourceGroupName}
Aby skonfigurować wiązanie równorzędne sieci wirtualnych między siecią strefy lądowania danych a siecią strefy zarządzania danymi, główne konto usługi wymaga praw dostępu Network Contributor w grupie zasobów zdalnej sieci wirtualnej.
(Zakres grupy zasobów) /subscriptions/{{dataManagement}subscriptionId}/resourceGroups/{resourceGroupName}
To uprawnienie jest wymagane do udostępniania własnego środowiska Integration Runtime, które jest wdrażane w grupie zasobów integration-rg z innymi fabrykami danych. Wymagane jest również przypisanie dostępu tożsamości zarządzanym usług Azure Data Factory i Azure Synapse Analytics na odpowiednich systemach plików kont magazynu.
(Zakres zasobów) /subscriptions/{{dataLandingZone}subscriptionId}
Notatka
W scenariuszu produkcyjnym można zmniejszyć liczbę przypisań ról. Przypisanie roli Network Contributor jest wymagane tylko do skonfigurowania komunikacji równorzędnej sieci wirtualnej między strefą docelową zarządzania danymi a strefą docelową danych. Bez tego zagadnienia rozpoznawanie nazw DNS nie działa. Ruch przychodzący i wychodzący jest blokowany, ponieważ nie ma bezpośredniej widoczności na usługę Azure Firewall.
Private DNS Zone Contributor nie jest również wymagany, jeśli wdrożenie rekordów A DNS dla prywatnych punktów końcowych jest zautomatyzowane za pomocą zasad platformy Azure z efektem deployIfNotExists. To samo dotyczy User Access Administrator, ponieważ wdrożenie można zautomatyzować przy użyciu zasad deployIfNotExists.
Przypisania ról dla produktów danych
Do wdrożenia produktu danych w strefie docelowej danych wymagane są następujące przypisania ról:
Nazwa roli
Opis
Zakres
Wdróż wszystkie prywatne strefy DNS dla wszystkich usług danych w jednej subskrypcji i grupie zasobów. Jednostka usługi musi być Private DNS Zone Contributor w globalnej grupie zasobów DNS utworzonej podczas wdrażania strefy docelowej zarządzania danymi. Rola ta jest potrzebna do wdrożenia rekordów A dla odpowiednich prywatnych punktów końcowych.
(Zakres grupy zasobów) /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}
Wdróż wszystkie usługi strumieniowania integracji danych w jednej grupie zasobów w ramach subskrypcji strefy danych docelowych. Konto usługi wymaga przypisania roli Contributor w tej grupie zasobów.
(Zakres grupy zasobów) /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}
Aby wdrożyć prywatne punkty końcowe dla określonej podsieci Private Link, utworzonej podczas wdrażania strefy docelowej danych, jednostka usługi potrzebuje dostępu Network Contributor do tej podsieci.
(Zakres zasobów podrzędnych) /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName} /providers/Microsoft.Network/virtualNetworks/{virtualNetworkName}/subnets/{subnetName}"
Dostęp do innych zasobów
Poza platformą Microsoft Azure zespoły aplikacji danych potrzebują również dostępu do repozytorium do przechowywania artefaktów kodu, efektywnej współpracy między sobą oraz wprowadzania aktualizacji i zmian w sposób spójny, wykorzystując procesy CI/CD na bardziej zaawansowane środowiska. Ponadto należy udostępnić tablicę projektu w celu umożliwienia elastycznego opracowywania, planowania przebiegu, śledzenia zadań oraz opinii użytkowników i żądań funkcji.
Na koniec automatyzacja procesu CI/CD wymaga skonfigurowania połączenia z Azure, co odbywa się w większości usług za pośrednictwem głównych zasad dostępu. W związku z tym zespoły wymagają dostępu do zasady usługi, aby osiągnąć automatyzację w ramach projektu.
Zarządzanie dostępem do danych
Zarządzanie dostępem do danych powinno odbywać się przy użyciu grup firmy Microsoft Entra. Dodaj nazwy główne użytkowników lub nazwy główne usług do grup Microsoft Entra. Dodaj grupy do usług i przyznaj grupie uprawnienia. Takie podejście umożliwia precyzyjną kontrolę dostępu.
Aby uzyskać więcej informacji na temat sposobu zwiększania zabezpieczeń stref docelowych zarządzania danymi i stref docelowych danych zarządzających infrastrukturą danych, zobacz