身分識別和存取管理
本文概述身分識別和存取管理的設計考慮和建議。 它專注於在 Microsoft Azure 上部署雲端規模的分析平台。 因為雲端規模分析是關鍵任務元件,因此當您設計解決方案時,應該遵循 Azure 登陸區域設計區域的指引。
本文基於對 Azure 登陸區域的考量與建議。 如需詳細資訊,請參閱 身分識別和存取管理設計區域。
數據登陸區域設計
雲端規模分析支持訪問控制模型,方法是使用Microsoft Entra 身分識別。 此模型使用 Azure 角色型存取控制 (Azure RBAC) 和存取控制清單。
檢閱您的小組執行的 Azure 管理和管理活動。 在 Azure 上評估您的雲端級別分析。 判斷組織內最可能的責任分佈。
角色指派
若要在數據平臺內自主開發、傳遞及提供數據產品,數據應用程式小組在 Azure 環境中需要數個訪問許可權。 請務必注意,您應該針對開發和更高環境使用不同的存取模型。 請在可能的情況下使用安全群組,以減少角色指派的數量並簡化 RBAC 權限的管理和審查過程。 此步驟非常重要,因為您可以為每個訂用帳戶建立的角色指派數目 有限,。
開發環境應該可供開發小組及其各自的使用者身分識別存取。 此存取可讓他們更快速地反覆運算、瞭解 Azure 服務內的某些功能,以及有效地針對問題進行疑難解答。 存取開發環境可以幫助您開發或增強基礎設施即程式碼及其他程式碼產品。
確認實作在開發環境中如預期般運作之後,就可以持續推出至較高的環境。 較高的環境,例如測試和生產環境,應對數據應用程式小組進行封鎖。 只有服務主體才能存取這些環境。 因此,所有部署都必須透過服務主體身分識別,並使用持續整合和持續交付(CI/CD)管線來執行。 在開發環境中,提供對服務主體帳戶和使用者身分的存取權限。 在較高環境中,僅限制服務主體身分識別的訪問許可權。
若要在數據應用程式資源群組內的資源之間建立資源和角色指派,您必須提供 Contributor 和 User Access Administrator 許可權。 這些許可權可讓小組在 Azure 原則 的界限內,在其環境中建立和控制服務。
為了降低數據外泄的風險,採用雲端分析最佳實務時,應使用私人端點。 Azure 平臺小組會透過原則封鎖其他連線選項,因此數據應用程式小組需要數據登陸區域的共用虛擬網路訪問許可權。 此存取對於為他們計劃使用的服務設定必要的網路連線至關重要。
若要遵循最低許可權原則,請避免不同數據應用程式小組之間的衝突,並清楚區分小組。 雲端規模分析最佳做法是為每個數據應用程式小組建立專用子網,併為該子網或子資源範圍建立 Network Contributor 角色指派。 此角色指派可讓小組使用私人端點加入子網。
最初的兩個角色指派使得在這些環境中能夠自行部署數據服務。 為了解決成本管理考慮,組織應將成本中心標籤新增至資源群組,以啟用交叉收費和分散式成本擁有權。 這種方法會提高小組內的意識,並協助確保他們做出有關必要 SKU 和服務層級的明智決策。
若要在數據登陸區域內啟用其他共用資源的自助式使用,則需要一些額外的角色指派。 如果需要存取 Azure Databricks 環境,組織應該使用來自 Microsoft Entra ID 的 SCIM 同步以提供存取。 此同步機制相當重要,因為它會自動將使用者和群組從 Microsoft Entra 識別同步至 Azure Databricks 資料平面。 當個人離開組織或公司時,它也會自動移除訪問許可權。 在 Azure Databricks 中,讓數據應用程式小組 Can Restart 預先定義的叢集訪問許可權,讓他們可以在工作區內執行工作負載。
個別小組需要存取Microsoft Purview 帳戶,以探索各自數據登陸區域中的數據資產。 團隊通常需要編輯他們所擁有的資料資產,以提供更多細節,例如資料擁有者和專家的聯絡資訊。 Teams 也需要提供更細微的資訊,以了解數據集中的每個數據列所描述和包含的內容。
RBAC 需求摘要
若要自動部署數據登陸區域,需要下列角色:
角色名稱
描述
範圍
將所有數據服務的所有私人 DNS 區域部署到單一訂用帳戶和資源群組。 服務主體必須在建立於數據管理登陸區域部署期間的全域 DNS 資源群組 Private DNS Zone Contributor 上。 要部署私有端點的 A 記錄,需要此角色。
(資源群組範圍) /subscriptions/{{dataManagement}subscriptionId}/resourceGroups/{resourceGroupName}
若要設定數據登陸區域網路與數據管理登陸區域網路之間的虛擬網路對等互連,服務主體需要 Network Contributor 遠端虛擬網路資源群組的訪問許可權。
(資源群組範圍) /subscriptions/{{dataManagement}subscriptionId}/resourceGroups/{resourceGroupName}
需要此許可權,才能與其他資料工廠共用佈建到 integration-rg 資源群組的自我託管整合執行個體。 也需要在各自的存儲帳戶文件系統上指派 Azure Data Factory 和 Azure Synapse Analytics 受控識別的存取權限。
(資源範圍) /subscriptions/{{dataLandingZone}subscriptionId}
注意
在生產案例中,您可以減少角色指派的數目。
Network Contributor 角色只需要設定數據管理登陸區域與數據登陸區域之間的虛擬網路對等互連。 如果沒有此角色,DNS 解析就會失敗。 此外,由於無法連接到 Azure 防火牆,因此輸入和輸出流量會被中止。
如果私人端點的 DNS A 記錄部署透過具有 deployIfNotExists 效果的 Azure 原則自動化,則不需要 Private DNS Zone Contributor 角色。
User Access Administrator 角色也是如此,因為您可以使用 deployIfNotExists 原則將部署自動化。
數據產品的角色指派
需要下列角色指派,才能在數據登陸區域內部署數據產品:
角色名稱
描述
範圍
將所有數據服務的所有私人 DNS 區域部署到單一訂用帳戶和資源群組。 服務主體必須在建立於數據管理登陸區域部署期間的全域 DNS 資源群組 Private DNS Zone Contributor 上。 需要此角色才能為各自的私人端點部署 A 記錄。
(資源群組範圍) /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}
將所有數據整合串流服務部署到數據登陸區域訂用帳戶內的單一資源群組。 服務主體需要在該資源群組上有一個 Contributor 角色分配。
(資源群組範圍) /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}
若要將私人端點部署到在數據登陸區域部署期間建立的指定 Azure Private Link 子網,服務主體需要該子網上的 Network Contributor 存取權。
(子資源範圍) /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName} /providers/Microsoft.Network/virtualNetworks/{virtualNetworkName}/subnets/{subnetName}"
存取其他資源
在 Azure 外部,資料應用程式小組需要存取存放庫來儲存程式代碼成品、有效地共同作業,以及透過 CI/CD 一致地推出更新和變更至較高環境。 您應該提供專案面板,以允許敏捷式開發、短期衝刺規劃、工作追蹤,以及管理用戶意見反應和功能要求。
若要自動化 CI/CD,請建立與 Azure 的連線。 此程式是透過服務主體在大部分的服務中完成。 由於這項需求,小組必須能夠存取服務主體,才能在其專案中實現自動化。
管理數據的存取權
使用 Microsoft Entra 群組來管理數據的存取權。 將用戶主體名稱或服務主體名稱新增至 Microsoft Entra 群組。 然後將這些群組新增至服務,並將許可權授與群組。 此方法允許更細緻的訪問控制。
如需了解如何提升對於數據管理著陸區域和數據著陸區域的安全性,以管理您的數據資產,請參閱 Azure 中的 雲端規模分析的驗證。