Dela via

Vad är rollbaserad åtkomstkontroll i Synapse (RBAC)?

  • Artikel

Synapse RBAC utökar funktionerna i Azure RBAC för Synapse-arbetsytor och deras innehåll.

Azure RBAC används för att hantera vem som kan skapa, uppdatera eller ta bort Synapse-arbetsytan och dess SQL-pooler, Apache Spark-pooler och integrationskörningar.

Synapse RBAC används för att hantera vem som kan:

  • Publicera kodartefakter och lista eller komma åt publicerade kodartefakter,
  • Kör kod på Apaches Spark-pooler och integrationskörningar,
  • Åtkomst till länkade tjänster (data) som skyddas av autentiseringsuppgifter
  • Övervaka eller avbryta jobbkörning, granska jobbutdata och körningsloggar.

Kommentar

Även om Synapse RBAC används för att hantera åtkomst till publicerade SQL-skript, ger det endast begränsad åtkomstkontroll till serverlösa och dedikerade SQL-pooler. Åtkomst till SQL-pooler styrs främst med SQL-säkerhet.

Vad kan jag göra med Synapse RBAC?

Här följer några exempel på vad du kan göra med Synapse RBAC:

  • Tillåt att en användare publicerar ändringar som gjorts i Apache Spark-notebook-filer och jobb i livetjänsten.
  • Tillåt att en användare kör och avbryter notebook-filer och spark-jobb i en specifik Apache Spark-pool.
  • Tillåt att en användare använder specifika autentiseringsuppgifter så att de kan köra pipelines som skyddas av arbetsytans systemidentitet och komma åt data i länkade tjänster som skyddas med autentiseringsuppgifter.
  • Tillåt att en administratör hanterar, övervakar och avbryter jobbkörning på specifika Spark-pooler.

Så här fungerar Synapse RBAC

Liksom Azure RBAC fungerar Synapse RBAC genom att skapa rolltilldelningar. En rolltilldelning består av tre element: ett säkerhetsobjekt, en rolldefinition och ett omfång.

Säkerhetsobjekt

Ett säkerhetsobjekt är en användare, grupp, tjänstens huvudnamn eller hanterad identitet.

Roller

En roll är en samling behörigheter eller åtgärder som kan utföras på specifika resurstyper eller artefakttyper.

Synapse tillhandahåller inbyggda roller som definierar samlingar av åtgärder som matchar behoven hos olika personer:

  • Administratörer kan få fullständig åtkomst för att skapa och konfigurera en arbetsyta
  • Utvecklare kan skapa, uppdatera och felsöka SQL-skript, notebook-filer, pipelines och dataflöden, men inte kunna publicera eller köra den här koden på produktionsberäkningsresurser/data
  • Operatörer kan övervaka och hantera systemstatus, programkörning och granskningsloggar, utan åtkomst till kod eller utdata från körningen.
  • Säkerhetspersonal kan hantera och konfigurera slutpunkter utan att ha åtkomst till kod, beräkningsresurser eller data.

Läs mer om de inbyggda Synapse-rollerna.

Omfattningar

Ett omfång definierar de resurser eller artefakter som åtkomsten gäller för. Azure Synapse stöder hierarkiska omfång. Behörigheter som beviljas på en högre nivå ärvs av objekt på en lägre nivå. I Synapse RBAC är omfånget på den översta nivån en arbetsyta. Tilldelning av en roll med arbetsyteomfånget ger behörighet till alla tillämpliga objekt på arbetsytan.

Aktuella omfång som stöds på en arbetsyta är:

  • Apache Spark-pool
  • Integration runtime
  • länkad tjänst
  • credential

Åtkomst till kodartefakter beviljas med arbetsyteomfång. Du kan ge åtkomst till samlingar av artefakter på en arbetsyta i en senare version.

Lösa rolltilldelningar för att fastställa behörigheter

En rolltilldelning ger ett huvudkonto behörigheterna definierade av rollen i ett angivet omfång.

Synapse RBAC är en additiv modell som Azure RBAC. Flera roller kan tilldelas till ett enskilt huvudkonto och i olika omfång. När du beräknar behörigheterna för ett säkerhetsobjekt tar systemet hänsyn till alla roller som tilldelats huvudkontot och till grupper som direkt eller indirekt inkluderar huvudkontot. Den tar också hänsyn till omfånget för varje tilldelning för att fastställa vilka behörigheter som gäller.

Framtvinga tilldelade behörigheter

I Synapse Studio kan specifika knappar eller alternativ vara nedtonade eller så kan ett behörighetsfel returneras när du försöker utföra en åtgärd om du inte har de behörigheter som krävs.

Om en knapp eller ett alternativ är inaktiverat visas en knappbeskrivning med nödvändig behörighet när du hovrar över knappen eller alternativet. Kontakta en Synapse-administratör för att tilldela en roll som ger den behörighet som krävs. Du kan se de roller som tillhandahåller specifika åtgärder, se Synapse RBAC-roller.

Vem kan tilldela Synapse RBAC-roller?

Synapse-administratörer kan tilldela Synapse RBAC-roller. En Synapse-administratör på arbetsytans nivå kan bevilja åtkomst i valfritt omfång. En Synapse-administratör på en lägre nivå kan endast bevilja åtkomst i det omfånget.

När en ny arbetsyta skapas får skaparen automatiskt rollen Synapse-administratör på arbetsytans omfång.

För att hjälpa dig att återfå åtkomsten till en arbetsyta om inga Synapse-administratörer har tilldelats eller är tillgängliga för dig, kan användare med behörighet att hantera Azure RBAC-rolltilldelningar på arbetsytan även hantera Rolltilldelningar för Synapse RBAC, vilket gör det möjligt att lägga till Synapse-administratör eller andra Synapse-rolltilldelningar.

Var hanterar jag Synapse RBAC?

Synapse RBAC hanteras inifrån Synapse Studio med hjälp av verktygen för åtkomstkontroll i hantera hubben.

Relaterat innehåll

Förstå de inbyggda Synapse RBAC-rollerna.

Lär dig hur du granskar Rolltilldelningar för Synapse RBAC för en arbetsyta.

Lär dig hur du tilldelar Synapse RBAC-roller.