Partilhar via

O que é o controle de acesso baseado em função Synapse (RBAC)?

  • Artigo

Synapse RBAC estende os recursos do Azure RBAC para espaços de trabalho Synapse e seu conteúdo.

O RBAC do Azure é usado para gerenciar quem pode criar, atualizar ou excluir o espaço de trabalho Synapse e seus pools SQL, pools Apache Spark e tempos de execução de integração.

Synapse RBAC é usado para gerenciar quem pode:

  • Publicar artefatos de código e listar ou acessar artefatos de código publicados,
  • Execute código em pools Apaches Spark e tempos de execução de integração,
  • Aceder a serviços ligados (dados) protegidos por credenciais
  • Monitore ou cancele a execução do trabalho, revise a saída do trabalho e os logs de execução.

Nota

Embora o Synapse RBAC seja usado para gerenciar o acesso a scripts SQL publicados, ele fornece apenas controle de acesso limitado a pools SQL dedicados e sem servidor. O acesso a pools SQL é controlado principalmente usando segurança SQL.

O que posso fazer com Synapse RBAC?

Aqui estão alguns exemplos do que você pode fazer com Synapse RBAC:

  • Permitir que um usuário publique alterações feitas em blocos de anotações e trabalhos do Apache Spark no serviço ativo.
  • Permitir que um usuário execute e cancele blocos de anotações e trabalhos de faísca em um pool específico do Apache Spark.
  • Permita que um usuário use credenciais específicas para que possa executar pipelines protegidos pela identidade do sistema de espaço de trabalho e acessar dados em serviços vinculados protegidos com credenciais.
  • Permita que um administrador gerencie, monitore e cancele a execução de trabalhos em Spark Pools específicos.

Como funciona Synapse RBAC

Como o RBAC do Azure, o Synapse RBAC funciona criando atribuições de função. Uma atribuição de função consiste em três elementos: um principal de segurança, uma definição de função e um âmbito.

Entidades de segurança

Uma entidade de segurança é um usuário, grupo, entidade de serviço ou identidade gerenciada.

Funções

Uma função é uma coleção de permissões ou ações que podem ser executadas em tipos de recursos ou tipos de artefatos específicos.

Synapse fornece funções internas que definem coleções de ações que correspondem às necessidades de diferentes personas:

  • Os administradores podem obter acesso total para criar e configurar um espaço de trabalho
  • Os desenvolvedores podem criar, atualizar e depurar scripts SQL, blocos de anotações, pipelines e fluxos de dados, mas não podem publicar ou executar esse código em recursos/dados de computação de produção
  • Os operadores podem monitorar e gerenciar o status do sistema, a execução do aplicativo e os logs de revisão, sem acesso ao código ou às saídas da execução.
  • A equipe de segurança pode gerenciar e configurar pontos de extremidade sem ter acesso a código, recursos de computação ou dados.

Saiba mais sobre as funções integradas do Sinapse.

Âmbitos

Um escopo define os recursos ou artefatos aos quais o acesso se aplica. O Azure Synapse dá suporte a escopos hierárquicos. As permissões concedidas em um escopo de nível superior são herdadas por objetos em um nível inferior. No Synapse RBAC, o escopo de nível superior é um espaço de trabalho. A atribuição de uma função com o escopo do espaço de trabalho concede permissões a todos os objetos aplicáveis no espaço de trabalho.

Os escopos atuais suportados em um espaço de trabalho são:

  • Piscina Apache Spark
  • Integration runtime (Runtime de integração)
  • serviço vinculado
  • credencial

O acesso aos artefatos de código é concedido com o escopo do espaço de trabalho. A concessão de acesso a coleções de artefatos em um espaço de trabalho será suportada em uma versão posterior.

Resolver atribuições de funções para determinar permissões

Uma atribuição de função concede a um diretor as permissões definidas pela função no âmbito especificado.

Synapse RBAC é um modelo aditivo como o Azure RBAC. Várias funções podem ser atribuídas a um único principal e em âmbitos diferentes. Ao calcular as permissões de uma entidade de segurança, o sistema considera todas as funções atribuídas à entidade de segurança e a grupos que incluem direta ou indiretamente a entidade de segurança. Também considera o âmbito de cada atribuição para determinar as permissões que se aplicam.

Impondo permissões atribuídas

No Synapse Studio, botões ou opções específicos podem estar acinzentados ou um erro de permissões pode ser retornado ao tentar uma ação se você não tiver as permissões necessárias.

Se um botão ou opção estiver desativado, passar o mouse sobre o botão ou opção mostrará uma dica de ferramenta com a permissão necessária. Entre em contato com um administrador do Synapse para atribuir uma função que conceda a permissão necessária. Você pode ver as funções que fornecem ações específicas, consulte Synapse RBAC Roles.

Quem pode atribuir funções Synapse RBAC?

Os administradores do Synapse podem atribuir funções Synapse RBAC. Um administrador Synapse no nível do espaço de trabalho pode conceder acesso em qualquer escopo. Um administrador Synapse em um escopo de nível inferior só pode conceder acesso nesse escopo.

Quando um novo espaço de trabalho é criado, o criador recebe automaticamente a função de Administrador do Synapse no escopo do espaço de trabalho.

Para ajudá-lo a recuperar o acesso a um espaço de trabalho no caso de nenhum Administrador Synapse ser atribuído ou disponível para você, os usuários com permissões para gerenciar atribuições de função RBAC do Azure no espaço de trabalho também podem gerenciar atribuições de função Synapse RBAC, permitindo a adição de Synapse Administrator ou outras atribuições de função Synapse.

Onde faço para gerenciar o Synapse RBAC?

O Synapse RBAC é gerenciado de dentro do Synapse Studio usando as ferramentas de controle de acesso no hub Gerenciar .

Conteúdos relacionados

Entenda as funções internas do Synapse RBAC.

Saiba como revisar as atribuições de função Synapse RBAC para um espaço de trabalho.

Saiba como atribuir funções Synapse RBAC.