Datahantering och rollbaserad åtkomstkontroll för analys i molnskala i Azure
Auktorisering är att bevilja en autentiserad part behörighet att utföra en åtgärd. Huvudprincipen för åtkomstkontroll är att ge användarna endast den mängd åtkomst som de behöver för att utföra sina jobb och endast tillåta vissa åtgärder inom ett visst omfång. Rollbaserad säkerhet/rollbaserad åtkomstkontroll (RBAC) motsvarar åtkomstkontroll och används av många organisationer för att styra åtkomst baserat på definierade roller eller jobbfunktioner jämfört med enskilda användare. Användare tilldelas sedan en eller flera säkerhetsroller, som var och en får behörighet att utföra specifika uppgifter.
När du använder Microsoft Entra-ID som centraliserad identitetsprovider kan auktorisering för åtkomst till datatjänster och lagring beviljas per användare eller per program och baseras på en Microsoft Entra-identitet. Auktorisering omfattar RBAC till tjänst- och åtkomstkontrollistan på fil-, mapp- eller objektnivå i lagringen.
Auktorisering av datatjänst
Microsoft Azure innehåller standard- och inbyggd RBAC, som är ett auktoriseringssystem som bygger på Azure Resource Manager och som ger detaljerad åtkomsthantering till Azure-resurser. RBAC-roller hjälper till att styra åtkomstnivåer till resurser; vad kan ett säkerhetsobjekt, användare, grupp, tjänst eller program göra med de resurser och områden som de har åtkomst till? När du planerar en strategi för åtkomstkontroll rekommenderar vi att användarna endast beviljar den mängd åtkomst som de behöver för att utföra sina jobb och endast tillåta vissa åtgärder i ett visst omfång.
Följande inbyggda roller är grundläggande för alla Azure-resurstyper, inklusive Azure-datatjänster:
| Description | |
|---|---|
| Ägare: | Den här rollen har fullständig åtkomst till resursen och kan hantera allt om resursen, inklusive rätten att bevilja åtkomst till den. |
| Deltagare: | Den här rollen kan hantera resursen men kan inte bevilja åtkomst till den. |
| Läsare: | Den här rollen kan visa resursen och information om den (förutom känslig information som åtkomstnycklar eller hemligheter), men de kan inte göra några ändringar i resursen. |
Vissa tjänster har specifika RBAC-roller som Storage Blob Data Contributor eller Data Factory-deltagare, vilket innebär att specifika RBAC-roller ska användas för dessa tjänster. RBAC är en additiv modell där det är en aktiv behörighet att lägga till rolltilldelningar. RBAC stöder också neka tilldelningar som har företräde framför rolltilldelningar .
ALLMÄNNA RBAC-metoder för analys i molnskala i Azure
Följande metodtips kan hjälpa dig att komma igång med RBAC:
Använd RBAC-roller för tjänsthantering och -åtgärder och använd tjänstspecifika roller för dataåtkomst och arbetsbelastningsspecifika uppgifter: Använd RBAC-roller på Azure-resurser för att bevilja behörighet till säkerhetsobjekt som behöver utföra resurshanterings- och åtgärdsuppgifter. Säkerhetsobjekt som behöver komma åt data i lagringen kräver inte någon RBAC-roll för resursen, eftersom de inte behöver hantera dem. Ge i stället behörighet till dataobjekt direkt. Ge till exempel läsbehörighet till en mapp i Azure Data Lake Storage Gen2 eller en innesluten databasanvändare och tabellbehörighet för en databas i Azure SQL Database.
Använd inbyggda RBAC-roller: Använd först de inbyggda RBAC Azure-resursrollerna för att hantera tjänster och tilldela åtgärdsroller för att kontrollera åtkomsten. Skapa och använd endast anpassade roller för Azure-resurser när inbyggda roller inte uppfyller specifika behov.
Använd grupper för att hantera åtkomst: Tilldela åtkomst till Microsoft Entra-grupper och hantera gruppmedlemskap för kontinuerlig åtkomsthantering.
Prenumerations- och resursgruppsomfång: Även om det är klokt att bevilja åtkomst i resursgruppens omfång till separata servicehanterings- och driftåtkomstbehov jämfört med att bevilja åtkomst till enskilda resurser (särskilt i icke-produktionsmiljön), kan du i stället bevilja åtkomst till enskilda resurser för arbetsbelastningsspecifika uppgifter som stöd och åtgärder för data lake-filsystem, särskilt i produktionsmiljön. Detta beror på att utvecklare och testare i icke-produktionsmiljöer måste hantera resurser som att skapa en Azure Data Factory-inmatningspipeline eller skapa en container i Data Lake Storage Gen2. I produktion behöver användarna bara använda resurser som att visa status för en schemalagd Data Factory-inmatningspipeline eller läsa datafiler i Data Lake Storage Gen2.
Bevilja inte onödig åtkomst i prenumerationsomfånget: Det här omfånget omfattar alla resurser i prenumerationen.
Välj åtkomst med minst behörighet: Välj rätt och enda roll för jobbet.