Azure Synapse Analytics güvenlik incelemesi: Erişim denetimi

Dekont

Bu makale, Azure Synapse Analytics güvenlik teknik inceleme makalesi serisinin bir bölümünü oluşturur. Seriye genel bakış için bkz . Azure Synapse Analytics güvenlik teknik incelemesi.

Verilerin nasıl modellendiğine ve depolandığına bağlı olarak, veri idaresi ve erişim denetimi, geliştiricilerin ve güvenlik yöneticilerinin sağlam bir güvenlik temeli uygulamak için farklı yaklaşımlar veya tekniklerin birleşimini kullanmasını gerektirebilir.

Azure Synapse, kimlerin hangi verilere erişebileceğini denetlemek için çok çeşitli özellikleri destekler. Bu özellikler, aşağıdakiler de dahil olmak üzere bir dizi gelişmiş erişim denetimi özelliği üzerine kurulmuştur:

Nesne düzeyinde güvenlik

Ayrılmış SQL havuzundaki her nesnenin, sorumluya verilebilen ilişkili izinleri vardır. Kullanıcılar ve hizmet hesapları bağlamında tabloların, görünümlerin, saklı yordamların ve işlevlerin güvenliği bu şekilde sağlanır. SELECT gibi nesne izinleri kullanıcı hesaplarına (SQL oturum açma bilgileri, Microsoft Entra kullanıcıları veya grupları) ve veritabanı yöneticileri için esneklik sağlayan veritabanı rollerine verilebilir. Ayrıca, tablo ve görünümlerde verilen izinler sütun düzeyi güvenlik, satır düzeyi güvenlik ve dinamik veri maskeleme gibi diğer erişim denetimi mekanizmalarıyla (aşağıda açıklanmıştır) birleştirilebilir.

Azure Synapse'te veritabanı düzeyindeki kullanıcılara ve rollere tüm izinler verilir. Ayrıca, çalışma alanı düzeyinde yerleşik Synapse Yönetici istrator RBAC rolü verilen tüm kullanıcılara tüm ayrılmış SQL havuzlarına otomatik olarak tam erişim verilir.

Azure Synapse'te SQL tablolarının güvenliğini sağlamaya ek olarak, ayrılmış SQL havuzu (eski adı SQL DW), sunucusuz SQL havuzu ve Spark tabloları da güvenli hale getirilebilir. Varsayılan olarak, çalışma alanına bağlı veri göllerinin Depolama Blob Veri Katkıda Bulunanı rolüne atanan kullanıcılar, kullanıcılar not defterinde etkileşimli olarak kod yürütürken Spark tarafından oluşturulan tüm tablolarda OKUMA, YAZMA ve YÜRÜTME izinlerine sahiptir. Buna Microsoft Entra geçişi adı verilir ve çalışma alanına bağlı tüm veri gölleri için geçerlidir. Ancak, aynı kullanıcı aynı not defterini bir işlem hattı üzerinden yürütürse, kimlik doğrulaması için çalışma alanı Yönetilen Hizmet Kimliği (MSI) kullanılır. Bu nedenle işlem hattının çalışma alanı MSI'sini başarıyla yürütmesi için, erişilen veri gölünün Depolama Blob Veri Katkıda Bulunanı rolüne de ait olması gerekir.

Satır düzeyi güvenlik

Satır düzeyi güvenlik , güvenlik yöneticilerinin sorgu çalıştıran bir kullanıcının (veya işlemin) profiline göre belirli tablo satırlarına ayrıntılı erişim oluşturmasına ve denetlemesine olanak tanır. Profil veya kullanıcı özellikleri grup üyeliğine veya yürütme bağlamlarına başvurabilir. Satır düzeyi güvenlik, kullanıcılar aynı tablolardaki verileri sorguladığında ancak farklı veri alt kümelerini görmesi gerektiğinde yetkisiz erişimi önlemeye yardımcı olur.

Dekont

Azure Synapse ve ayrılmış SQL havuzunda (eski adı SQL DW) satır düzeyi güvenlik desteklenir, ancak Apache Spark havuzu ve sunucusuz SQL havuzu için desteklenmez.

Sütun düzeyi güvenlik

Sütun düzeyinde güvenlik, güvenlik yöneticilerinin tablolardaki hassas sütunlara kimlerin erişebileceğini sınırlayan izinler ayarlamasına olanak tanır. Veritabanı düzeyinde ayarlanır ve veri modelinin veya uygulama katmanının tasarımını değiştirmeye gerek kalmadan uygulanabilir.

Dekont

Azure Synapse'te, sunucusuz SQL havuzu görünümlerinde ve ayrılmış SQL havuzunda (eski adı SQL DW) sütun düzeyinde güvenlik desteklenir, ancak sunucusuz SQL havuzu dış tabloları ve Apache Spark havuzu için desteklenmez. Sunucusuz SQL havuzu dış tabloları söz konusu olduğunda, dış tablonun üzerinde bir görünüm oluşturularak geçici çözüm uygulanabilir.

Dinamik veri maskeleme

Dinamik veri maskeleme , güvenlik yöneticilerinin hassas verilerin kullanıma açık olmasını ayrıcalıklı olmayan kullanıcılara okumada maskeleyerek kısıtlamasına olanak tanır. Yöneticilerin verilerin sorgu zamanında nasıl görüntüleneceğini belirlemesine olanak tanıyarak hassas verilere yetkisiz erişimi önlemeye yardımcı olur. Sql havuzundaki kimliği doğrulanmış kullanıcının kimliğine ve grup atamasına bağlı olarak, sorgu maskelenmiş veya maskelenmemiş veriler döndürür. Verilere doğrudan bir tablodan mı yoksa görünüm veya saklı yordam kullanılarak mı erişildiğinden bağımsız olarak maskeleme her zaman uygulanır.

Dekont

Dinamik veri maskeleme, Azure Synapse ve ayrılmış SQL havuzunda (eski adı SQL DW) desteklenir, ancak Apache Spark havuzu ve sunucusuz SQL havuzu için desteklenmez.

Synapse rol tabanlı erişim denetimi

Azure Synapse, Synapse Studio'nun farklı yönlerini yönetmek için Synapse rol tabanlı erişim denetimi (RBAC) rollerini de içerir. Kullanıcılara, gruplara veya diğer güvenlik sorumlularına kimlerin izin atayabileceğini yönetmek için bu yerleşik rollerden yararlanın:

  • Kod yapıtlarını yayımlayın ve yayımlanan kod yapıtlarını listeleyin veya bu yapıtlara erişin.
  • Apache Spark havuzlarında ve tümleştirme çalışma zamanlarında kod yürütür.
  • Kimlik bilgileriyle korunan bağlı (veri) hizmetlere erişin.
  • İş yürütmelerini izleyin veya iptal edin, iş çıktısı ve yürütme günlüklerini gözden geçirin.

Sonraki adımlar

Bu teknik inceleme serisinin sonraki makalesinde kimlik doğrulaması hakkında bilgi edinin.