Udostępnij za pośrednictwem

Co to jest kontrola dostępu oparta na rolach (RBAC) usługi Synapse?

  • Artykuł

Kontrola dostępu oparta na rolach usługi Synapse rozszerza możliwości kontroli dostępu opartej na rolach platformy Azure dla obszarów roboczych usługi Synapse i ich zawartości.

Kontrola dostępu oparta na rolach platformy Azure służy do zarządzania osobami, które mogą tworzyć, aktualizować lub usuwać obszar roboczy usługi Synapse oraz jego pule SQL, pule platformy Apache Spark i środowiska Integration Runtime.

Kontrola dostępu oparta na rolach usługi Synapse służy do zarządzania osobami, które mogą:

  • Publikowanie artefaktów kodu i wyświetlanie listy lub uzyskiwanie dostępu do opublikowanych artefaktów kodu,
  • Wykonywanie kodu w pulach platformy Apaches Spark i środowiskach Integration Runtime,
  • Dostęp do połączonych (danych) usług chronionych przez poświadczenia
  • Monitoruj lub anuluj wykonywanie zadań, przejrzyj dane wyjściowe zadania i dzienniki wykonywania.

Uwaga

Funkcja RBAC usługi Synapse służy do zarządzania dostępem do opublikowanych skryptów SQL, ale zapewnia tylko ograniczoną kontrolę dostępu do bezserwerowych i dedykowanych pul SQL. Dostęp do pul SQL jest kontrolowany głównie przy użyciu zabezpieczeń SQL.

Co mogę zrobić za pomocą kontroli dostępu opartej na rolach usługi Synapse?

Oto kilka przykładów tego, co można zrobić za pomocą kontroli dostępu opartej na rolach usługi Synapse:

  • Zezwalaj użytkownikowi na publikowanie zmian wprowadzonych w notesach i zadaniach platformy Apache Spark w usłudze na żywo.
  • Zezwalaj użytkownikowi na uruchamianie i anulowanie notesów i zadań platformy Spark w określonej puli platformy Apache Spark.
  • Zezwól użytkownikowi na używanie określonych poświadczeń, aby mógł uruchamiać potoki zabezpieczone przez tożsamość systemu obszaru roboczego i uzyskiwać dostęp do danych w połączonych usługach zabezpieczonych przy użyciu poświadczeń.
  • Zezwalaj administratorowi na zarządzanie, monitorowanie i anulowanie wykonywania zadań w określonych pulach platformy Spark.

Jak działa kontrola dostępu oparta na rolach usługi Synapse

Podobnie jak kontrola dostępu oparta na rolach platformy Azure, kontrola dostępu oparta na rolach usługi Synapse działa przez tworzenie przypisań ról. Przypisanie roli obejmuje trzy elementy: podmiot zabezpieczeń, definicję roli i zakres.

Podmioty zabezpieczeń

Podmiot zabezpieczeń to użytkownik, grupa, jednostka usługi lub tożsamość zarządzana.

Role

Rola to kolekcja uprawnień lub akcji, które mogą być wykonywane na określonych typach zasobów lub typach artefaktów.

Usługa Synapse udostępnia wbudowane role, które definiują kolekcje akcji odpowiadających potrzebom różnych osób:

  • Administratorzy mogą uzyskać pełny dostęp do tworzenia i konfigurowania obszaru roboczego
  • Deweloperzy mogą tworzyć, aktualizować i debugować skrypty SQL, notesy, potoki i przepływy danych, ale nie mogą publikować ani wykonywać tego kodu na produkcyjnych zasobach obliczeniowych/danych
  • Operatorzy mogą monitorować stan systemu, wykonywanie aplikacji i przeglądać dzienniki oraz zarządzać nimi bez dostępu do kodu lub danych wyjściowych z wykonania.
  • Pracownicy ds. zabezpieczeń mogą zarządzać punktami końcowymi i konfigurować je bez dostępu do kodu, zasobów obliczeniowych lub danych.

Dowiedz się więcej o wbudowanych rolach usługi Synapse.

Zakresy

Zakres definiuje zasoby lub artefakty, do których ma zastosowanie dostęp. Usługa Azure Synapse obsługuje zakresy hierarchiczne. Uprawnienia przyznane w zakresie wyższego poziomu są dziedziczone przez obiekty na niższym poziomie. W usłudze Synapse RBAC zakres najwyższego poziomu jest obszarem roboczym. Przypisanie roli z zakresem obszaru roboczego przyznaje uprawnienia do wszystkich odpowiednich obiektów w obszarze roboczym.

Bieżące obsługiwane zakresy w obszarze roboczym to:

  • Pula platformy Apache Spark
  • Integration Runtime (Produkt Integration Runtime)
  • połączona usługa
  • poświadczenia

Dostęp do artefaktów kodu jest udzielany z zakresem obszaru roboczego. Udzielanie dostępu do kolekcji artefaktów w obszarze roboczym będzie obsługiwane w nowszej wersji.

Rozpoznawanie przypisań ról w celu określenia uprawnień

Przypisanie roli powoduje udzielenie podmiotowi zabezpieczeń definiowanych przez rolę uprawnień w określonym zakresie.

Kontrola dostępu oparta na rolach (RBAC) w usłudze Synapse jest modelem addytywnym, tak jak RBAC platformy Azure. Do pojedynczego podmiotu zabezpieczeń można przypisać wiele ról i w różnych zakresach. Podczas przetwarzania uprawnień podmiotu zabezpieczeń system uwzględnia wszystkie role przypisane do podmiotu zabezpieczeń i do grup, które bezpośrednio lub pośrednio obejmują podmiot zabezpieczeń. Uwzględnia również zakres każdego przypisania w określaniu uprawnień, które mają zastosowanie.

Wymuszanie przypisanych uprawnień

W programie Synapse Studio określone przyciski lub opcje mogą być wyszarzane lub podczas próby wykonania akcji może zostać zwrócony błąd uprawnień, jeśli nie masz wymaganych uprawnień.

Jeśli przycisk lub opcja jest wyłączona, zatrzymanie wskaźnika myszy na przycisku lub opcji powoduje wyświetlenie etykietki narzędzia z wymaganym uprawnieniem. Skontaktuj się z administratorem usługi Synapse, aby przypisać rolę, która przyznaje wymagane uprawnienia. Role, które udostępniają określone akcje, zobacz Role RBAC usługi Synapse.

Kto może przypisywać role RBAC usługi Synapse?

Administratorzy usługi Synapse mogą przypisywać role RBAC usługi Synapse. Administrator usługi Synapse na poziomie obszaru roboczego może udzielić dostępu w dowolnym zakresie. Administrator usługi Synapse w zakresie niższym poziomu może udzielać dostępu tylko w tym zakresie.

Po utworzeniu nowego obszaru roboczego twórca automatycznie otrzymuje rolę Administratora usługi Synapse w zakresie obszaru roboczego.

Aby ułatwić odzyskanie dostępu do obszaru roboczego w przypadku, gdy żaden administrator usługi Synapse nie jest przypisany lub dostępny, użytkownicy z uprawnieniami do zarządzania przypisaniami ról RBAC platformy Azure w obszarze roboczym mogą również zarządzać przypisaniami ról RBAC usługi Synapse, umożliwiając dodawanie przypisań ról usługi Synapse lub innych przypisań ról usługi Synapse.

Gdzie mogę zarządzać kontrolą RBAC usługi Synapse?

Kontrola dostępu oparta na rolach usługi Synapse jest zarządzana z poziomu programu Synapse Studio przy użyciu narzędzi kontroli dostępu w centrum Zarządzanie .

Powiązana zawartość

Omówienie wbudowanych ról RBAC usługi Synapse.

Dowiedz się , jak przeglądać przypisania ról RBAC usługi Synapse dla obszaru roboczego.

Dowiedz się , jak przypisywać role RBAC usługi Synapse.