Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Synapse RBAC breidt de mogelijkheden van Azure RBAC voor Synapse-werkruimten en hun inhoud uit.
Azure RBAC wordt gebruikt om te beheren wie de Synapse-werkruimte en de BIJBEHORENDE SQL-pools, Apache Spark-pools en Integration Runtimes kan maken, bijwerken of verwijderen.
Synapse RBAC wordt gebruikt om te beheren wie het volgende kan:
- Codeartefacten publiceren en gepubliceerde codeartefacten weergeven of openen,
- Code uitvoeren op Apaches Spark-pools en Integration Runtimes,
- Toegang tot gekoppelde (gegevens)services die zijn beveiligd met referenties
- Monitor of annuleer de uitvoering van taken, beoordeel de taakoutput en uitvoeringslogs.
Notitie
Synapse RBAC wordt gebruikt voor het beheren van de toegang tot gepubliceerde SQL-scripts, maar biedt alleen beperkt toegangsbeheer voor serverloze en toegewezen SQL-pools. Toegang tot SQL-pools wordt voornamelijk beheerd met behulp van SQL-beveiliging.
Wat kan ik doen met Synapse RBAC?
Hier volgen enkele voorbeelden van wat u kunt doen met Synapse RBAC:
- Hiermee staat u een gebruiker toe om wijzigingen te publiceren die zijn aangebracht in Apache Spark-notebooks en -taken naar de liveservice.
- Toestaan dat een gebruiker notebooks en Spark-taken uitvoert en annuleert in een specifieke Apache Spark-pool.
- Sta een gebruiker toe om specifieke referenties te gebruiken, zodat de gebruiker pijplijnen kan uitvoeren die zijn beveiligd door de systeemidentiteit van de werkruimte en toegang tot gegevens in gekoppelde services krijgen die met referenties beveiligd zijn.
- Hiermee kan een beheerder de taakuitvoering voor specifieke Spark-pools beheren, bewaken en annuleren.
Hoe Synapse RBAC werkt
Net als Azure RBAC werkt Synapse RBAC door roltoewijzingen te maken. Een roltoewijzing bestaat uit drie elementen: een beveiligingsprincipal, een roldefinitie en een bereik.
Beveiligingsprinciplen
Een beveiligingsprincipaal is een gebruiker, groep, service-principal of beheerde identiteit.
Rollen
Een rol is een verzameling machtigingen of acties die kunnen worden uitgevoerd op specifieke resourcetypen of artefacttypen.
Synapse biedt ingebouwde rollen waarmee verzamelingen acties worden gedefinieerd die voldoen aan de behoeften van verschillende persona's:
- Beheerders kunnen volledige toegang krijgen om een werkruimte te maken en configureren
- Ontwikkelaars kunnen SQL-scripts, notebooks, pijplijnen en gegevensstromen maken, bijwerken en fouten opsporen, maar deze code niet kunnen publiceren of uitvoeren op productie-rekenresources/-gegevens
- Operators kunnen de systeemstatus, uitvoering van toepassingen en logboeken bewaken en beheren, zonder toegang tot code of uitvoer van uitvoering.
- Beveiligingsmedewerkers kunnen eindpunten beheren en configureren zonder toegang te hebben tot code, rekenresources of gegevens.
Meer informatie over de ingebouwde Synapse-rollen.
Bereiken
Een bereik definieert de resources of artefacten waarop de toegang van toepassing is. Azure Synapse ondersteunt hiërarchische bereiken. Machtigingen die op een hoger niveau zijn verleend, worden overgenomen door objecten op een lager niveau. In Synapse RBAC is de hoogste niveauscope een werkruimte. Het toewijzen van een rol met werkruimtebereik verleent machtigingen aan alle toepasselijke objecten in de werkruimte.
De huidige ondersteunde scopes binnen een werkruimte zijn:
- Apache Spark-pool
- Integratie-runtime
- gekoppelde service
- inloggegevens
Toegang tot codeartefacten wordt verleend in de context van de werkruimte. Het verlenen van toegang tot verzamelingen artefacten in een werkruimte wordt ondersteund in een latere release.
Roltoewijzingen oplossen om machtigingen vast te stellen
Een roltoewijzing kent een principal machtigingen toe die door de rol gedefinieerd zijn op een gespecificeerd bereik.
Synapse RBAC is een additief model zoals Azure RBAC. Er kunnen meerdere rollen worden toegewezen aan één entiteit en op verschillende niveaus. Bij het berekenen van de machtigingen van een beveiligingsprincipal overweegt het systeem alle roltoewijzingen aan de principal en aan groepen die direct of indirect de principal bevatten. Het beschouwt ook het bereik van elke toewijzing bij het vaststellen van de machtigingen die van toepassing zijn.
Toegewezen machtigingen afdwingen
In Synapse Studio worden bepaalde knoppen of opties mogelijk grijs weergegeven of wordt er mogelijk een machtigingsfout geretourneerd wanneer u een actie probeert uit te voeren als u niet over de vereiste machtigingen beschikt.
Als een knop of optie is uitgeschakeld, wordt bij het plaatsen van de muisaanwijzer boven de knop of optie een tooltip weergegeven met de vereiste machtiging. Neem contact op met een Synapse-beheerder om een rol toe te wijzen die de vereiste machtiging verleent. U kunt de rollen zien die specifieke acties bieden. Zie Synapse RBAC-rollen.
Wie kan Synapse RBAC-rollen toewijzen?
Synapse-beheerders kunnen Synapse RBAC-rollen toewijzen. Een Synapse-beheerder op werkruimteniveau kan toegang verlenen op elke schaal. Een Synapse-beheerder op een lager niveau kan alleen toegang verlenen voor dat bereik.
Wanneer er een nieuwe werkruimte wordt gemaakt, krijgt de maker automatisch de rol van Synapse-beheerder op het niveau van de werkruimte.
Om u te helpen weer toegang te krijgen tot een werkruimte in het geval dat er geen Synapse-beheerders zijn toegewezen of beschikbaar zijn, kunnen gebruikers met machtigingen voor het beheren van Azure RBAC-roltoewijzingen in de werkruimte ook Synapse RBAC-roltoewijzingen beheren, zodat synapse-beheerders of andere Synapse-roltoewijzingen kunnen worden toegevoegd.
Waar beheer ik Synapse RBAC?
Synapse RBAC wordt beheerd vanuit Synapse Studio met behulp van de hulpprogramma's voor toegangsbeheer in de hub Beheren .
Gerelateerde inhoud
Begrijp de ingebouwde Synapse RBAC-rollen.
Leer hoe je Synapse RBAC-roltoewijzingen kunt controleren voor een werkruimte.
Meer informatie over het toewijzen van Synapse RBAC-rollen.