Gestione dei dati e controllo degli accessi in base al ruolo per l'analisi su scala cloud in Azure
L'autorizzazione è la concessione dell'autorizzazione a eseguire determinate operazioni a un'entità autenticata. Il principio chiave del controllo di accesso è concedere agli utenti solo gli accessi necessari per eseguire il proprio lavoro e consentire solo determinate azioni in un ambito specifico. La sicurezza basata sui ruoli/il controllo degli accessi in base al ruolo (RBAC) corrisponde al controllo di accesso e viene usato da molte organizzazioni per controllare l'accesso in base a ruoli definiti o funzioni di processo rispetto ai singoli utenti. Agli utenti vengono quindi assegnati uno o più ruoli di sicurezza, ognuno dei quali dispone delle autorizzazioni per eseguire attività specifiche.
Quando si usa Microsoft Entra ID come provider di identità centralizzato, l'autorizzazione ad accedere ai servizi dati e all'archiviazione può essere concessa per utente o per applicazione ed è basata su un'identità Microsoft Entra. L'autorizzazione riguarda il controllo degli accessi in base al ruolo per il servizio e l'elenco di controllo di accesso a livello di file, cartella o oggetto nell'archiviazione.
Autorizzazione del servizio dati
Microsoft Azure include il controllo degli accessi in base al ruolo standard e integrato, ovvero un sistema di autorizzazione basato su Azure Resource Manager che fornisce una gestione dettagliata degli accessi alle risorse di Azure. I ruoli Controllo degli accessi in base al ruolo consentono di controllare i livelli di accesso alle risorse: cosa possono fare un'entità di sicurezza, un utente, un gruppo, un servizio o un'applicazione con le risorse e le aree a cui hanno accesso? Quando si pianifica una strategia di controllo di accesso, è consigliabile concedere agli utenti solo gli accessi necessari per eseguire i propri processi e consentire solo determinate azioni in un determinato ambito.
I ruoli predefiniti seguenti sono fondamentali per tutti i tipi di risorse di Azure, inclusi i servizi dati di Azure:
| Descrizione | |
|---|---|
| Proprietario: | Questo ruolo ha accesso completo alla risorsa e può gestire tutto ciò che riguarda la risorsa, incluso il diritto di concedervi l'accesso. |
| Contributor (Collaboratore): | Questo ruolo può gestire la risorsa, ma non può concedervi l'accesso. |
| Lettore: | Questo ruolo può visualizzare la risorsa e le relative informazioni (ad eccezione delle informazioni sensibili, ad esempio chiavi di accesso o segreti), ma non può apportare modifiche alla risorsa. |
Alcuni servizi hanno ruoli Controllo degli accessi in base al ruolo specifici, ad esempio Collaboratore dati archiviazione BLOB o Collaboratore Data Factory, il che significa che è necessario usare ruoli Controllo degli accessi in base al ruolo specifici per questi servizi. Il controllo degli accessi in base al ruolo è un modello additivo in cui l'aggiunta di assegnazioni di ruolo è un'autorizzazione attiva. Il controllo degli accessi in base al ruolo supporta anche le assegnazioni di rifiuto che hanno la precedenza sulle assegnazioni di ruolo .
Procedure generali di controllo degli accessi in base al ruolo per l'analisi su scala cloud in Azure
Le seguenti procedure consigliate consentono di iniziare a usare il controllo degli accessi in base al ruolo:
Usare i ruoli Controllo degli accessi in base al ruolo per la gestione e le operazioni dei servizi e ruoli specifici del servizio per l'accesso ai dati e le attività specifiche del carico di lavoro: usare i ruoli Controllo degli accessi in base al ruolo nelle risorse di Azure per concedere l'autorizzazione alle entità di sicurezza che devono eseguire attività di operazioni e gestione delle risorse. Le entità di sicurezza che devono accedere ai dati all'interno dell'archiviazione non richiedono un ruolo Controllo degli accessi in base al ruolo nella risorsa, perché non devono gestirla. Concedere invece direttamente l'autorizzazione agli oggetti dati. Ad esempio, concedere l'accesso in lettura a una cartella in Azure Data Lake Storage Gen2 o a un utente del database indipendente e un'autorizzazione di tabella per un database nel database SQL di Azure.
Usare i ruoli predefiniti Controllo degli accessi in base al ruolo: innanzitutto, usare i ruoli Controllo degli accessi in base al ruolo predefiniti di Azure per gestire i servizi e assegnare i ruoli delle operazioni per controllare l'accesso. Creare e usare ruoli personalizzati per le risorse di Azure solo quando i ruoli predefiniti non soddisfano esigenze specifiche.
Usare i gruppi per gestire l'accesso: assegnare l'accesso ai gruppi di Microsoft Entra e gestire le appartenenze ai gruppi per la gestione continua degli accessi.
Ambiti della sottoscrizione e del gruppo di risorse: sebbene sia opportuno concedere l'accesso nell'ambito del gruppo di risorse per separare le esigenze di accesso alla gestione dei servizi e alle operazioni dalla concessione dell'accesso alle singole risorse (in particolare nell'ambiente non di produzione), è invece possibile concedere l'accesso alle singole risorse per attività specifiche del carico di lavoro, ad esempio il supporto e le operazioni del file system dei data lake, in particolare nell'ambiente di produzione. Questo perché negli ambienti non di produzione sviluppatori e tester dovranno gestire risorse come la creazione di una pipeline di inserimento di Azure Data Factory o la creazione di un contenitore in Azure Data Lake Storage Gen2. Durante la produzione, gli utenti devono solo usare risorse come la visualizzazione dello stato di una pipeline di inserimento di Data Factory pianificata o la lettura di file di dati in Data Lake Storage Gen2.
Non concedere l'accesso non necessario nell'ambito della sottoscrizione: questo ambito copre tutte le risorse all'interno della sottoscrizione.
Optare per l'accesso con privilegi minimi: l’unico ruolo giusto per il processo.
Passaggi successivi
Effettuare il provisioning della sicurezza per l'analisi su scala cloud in Azure