Co je synapse řízení přístupu na základě role (RBAC)?
Synapse RBAC rozšiřuje možnosti Azure RBAC pro pracovní prostory Synapse a jejich obsah.
Azure RBAC slouží ke správě toho, kdo může vytvářet, aktualizovat nebo odstraňovat pracovní prostor Synapse a jeho fondy SQL, fondy Apache Sparku a moduly runtime integrace.
Synapse RBAC se používá ke správě, kdo může:
- Publikování artefaktů kódu a výpis nebo přístup k publikovaným artefaktům kódu
- Spouštění kódu ve fondech Apaches Spark a modulech Integration Runtime
- Přístup k propojeným (datovým) službám chráněným přihlašovacími údaji
- Monitorujte nebo zrušte spouštění úloh, zkontrolujte výstup úlohy a protokoly spuštění.
Poznámka
I když synapse RBAC slouží ke správě přístupu k publikovaným skriptům SQL, poskytuje pouze omezené řízení přístupu k bezserverové a vyhrazené fondy SQL. Přístup k fondům SQL se primárně řídí zabezpečením SQL.
Co můžu dělat se Synapse RBAC?
Tady je několik příkladů toho, co můžete dělat se Synapse RBAC:
- Umožňuje uživateli publikovat změny provedené v poznámkových blocích a úlohách Apache Sparku do živé služby.
- Umožňuje uživateli spouštět a rušit poznámkové bloky a úlohy Sparku v konkrétním fondu Apache Sparku.
- Umožňuje uživateli používat konkrétní přihlašovací údaje, aby mohl spouštět kanály zabezpečené identitou systému pracovního prostoru a přistupovat k datům v propojených službách zabezpečených pomocí přihlašovacích údajů.
- Umožněte správci spravovat, monitorovat a rušit spouštění úloh u konkrétních fondů Sparku.
Jak funguje Synapse RBAC
Stejně jako Azure RBAC funguje Synapse RBAC tak, že vytváří přiřazení rolí. Přiřazování rolí se skládá ze tří prvků: objektu zabezpečení, definice role a rozsahu.
Objekty zabezpečení
Objekt zabezpečení je uživatel, skupina, instanční objekt nebo spravovaná identita.
Role
Role je kolekce oprávnění nebo akcí, které je možné provádět u konkrétních typů prostředků nebo typů artefaktů.
Synapse poskytuje předdefinované role, které definují kolekce akcí, které odpovídají potřebám různých osob:
- Správci můžou získat úplný přístup k vytvoření a konfiguraci pracovního prostoru.
- Vývojáři můžou vytvářet, aktualizovat a ladit skripty, poznámkové bloky, kanály a toky dat SQL, ale nemůžou publikovat ani spouštět tento kód na produkčních výpočetních prostředcích nebo datech.
- Operátoři můžou monitorovat a spravovat stav systému, spouštění aplikací a kontrolovat protokoly bez přístupu ke kódu nebo výstupům z provádění.
- Pracovníci zabezpečení můžou spravovat a konfigurovat koncové body bez přístupu ke kódu, výpočetním prostředkům nebo datům.
Přečtěte si další informace o předdefinovaných rolích Synapse.
Obory
Obor definuje prostředky nebo artefakty, na které se přístup vztahuje. Azure Synapse podporuje hierarchické obory. Oprávnění udělená v oboru vyšší úrovně jsou zděděna objekty na nižší úrovni. V Synapse RBAC je oborem nejvyšší úrovně pracovní prostor. Přiřazení role s oborem pracovního prostoru uděluje oprávnění všem příslušným objektům v pracovním prostoru.
Aktuálně podporované obory v rámci pracovního prostoru jsou:
- Fond Apache Sparku
- Prostředí Integration Runtime
- propojená služba
- pověření
Přístup k artefaktům kódu se uděluje s oborem pracovního prostoru. Udělení přístupu ke kolekci artefaktů v rámci pracovního prostoru bude podporováno v pozdější verzi.
Řešení přiřazení rolí za účelem určení oprávnění
Přiřazení role uděluje objektu zabezpečení oprávnění definovaná rolí v zadaném oboru.
Synapse RBAC je doplňkový model, jako je Azure RBAC. K jednomu objektu zabezpečení a v různých oborech může být přiřazeno více rolí. Při výpočtu oprávnění objektu zabezpečení systém bere v úvahu všechny role přiřazené k objektu zabezpečení a skupinám, které objekt zabezpečení přímo nebo nepřímo zahrnují. Při určování oprávnění, která se použijí, bere také v úvahu rozsah každého přiřazení.
Vynucení přiřazených oprávnění
V Synapse Studio se konkrétní tlačítka nebo možnosti můžou zobrazit šedě nebo se může při pokusu o akci vrátit chyba oprávnění, pokud nemáte požadovaná oprávnění.
Pokud je tlačítko nebo možnost zakázaná, po najetí myší na tlačítko nebo možnost se zobrazí popis s požadovaným oprávněním. Obraťte se na správce Synapse a přiřaďte roli, která udělí požadované oprávnění. Můžete zobrazit role, které poskytují konkrétní akce, viz Role Synapse RBAC.
Kdo může přiřadit role Synapse RBAC?
Správci Synapse můžou přiřazovat role Synapse RBAC. Správce Synapse na úrovni pracovního prostoru může udělit přístup v libovolném oboru. Správce Synapse v oboru nižší úrovně může udělit přístup pouze v daném oboru.
Při vytvoření nového pracovního prostoru se autorovi automaticky udělí role Správce Synapse v oboru pracovního prostoru.
Aby vám pomohli znovu získat přístup k pracovnímu prostoru v případě, že vám nebudou přiřazeni nebo k dispozici žádní správci Synapse, můžou uživatelé s oprávněními ke správě přiřazení rolí Azure RBAC v pracovním prostoru spravovat také přiřazení rolí Synapse RBAC, což umožňuje přidání správce Synapse nebo jiných přiřazení rolí Synapse.
Kde můžu spravovat Synapse RBAC?
Synapse RBAC se spravuje z Synapse Studio pomocí nástrojů pro řízení přístupu v centru Spravovat.
Další kroky
Seznamte se s integrovanými rolemi Synapse RBAC.
Přečtěte si , jak zkontrolovat přiřazení rolí Synapse RBAC pro pracovní prostor.
Naučte se přiřazovat role Synapse RBAC.