Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Den här artikeln innehåller en översikt över de mekanismer som är tillgängliga för att styra åtkomsten till Azure Synapse-beräkningsresurser och data.
Azure Synapse tillhandahåller ett omfattande och detaljerad åtkomstkontrollsystem som integrerar:
- Azure-roller för resurshantering och åtkomst till data i lagring
- Synapse-roller för hantering av direktåtkomst till kod och exekvering
- SQL-roller för dataplansåtkomst till data i SQL-pooler
- Git-behörigheter för källkodskontroll, inklusive kontinuerlig integrering och distributionsstöd
Azure Synapse roller tillhandahåller uppsättningar med behörigheter som kan tillämpas på olika omfång. Den här kornigheten gör det enkelt att bevilja lämplig åtkomst till administratörer, utvecklare, säkerhetspersonal och operatörer för att beräkna resurser och data.
Åtkomstkontroll kan förenklas med hjälp av säkerhetsgrupper som är anpassade till personers jobbroller. Du behöver bara lägga till och ta bort användare från lämpliga säkerhetsgrupper för att hantera åtkomst.
Åtkomstkontrollelement
Skapa och hantera Azure Synapse-beräkningsresurser
Azure-roller används för att styra hanteringen av:
- Dedikerade SQL-pooler
- Data Explorer pools
- Apache Spark pools
- Integreringskörningar
Om du vill skapa dessa resurser måste du vara Azure-ägare eller deltagare i resursgruppen. Om du vill hantera dem när de har skapats måste du vara Azure-ägare eller deltagare i antingen resursgruppen eller de enskilda resurserna.
En ägare eller deltagare kan aktivera eller inaktivera Microsoft Entra-autentisering för endast Azure Synapse-arbetsytor. Mer information om Microsoft Entra-endast autentisering finns i Använda Microsoft Entra-autentisering för autentisering med Synapse SQL.
Utveckla och köra kod i Azure Synapse
Synapse stöder två utvecklingsmodeller.
Synapse live-utveckling: Du utvecklar och felsöker kod i Synapse Studio och publicerar den sedan för att spara och köra den. The Synapse service is the source of truth for code editing and execution. Allt opublicerat arbete går förlorat när du stänger Synapse Studio.
Git-aktiverad utveckling: Du utvecklar och felsöker kod i Synapse Studio och genomför ändringar i en arbetsgren på en Git-lagringsplats. Arbete från en eller flera grenar är integrerat i en samarbetsgren, varifrån du publicerar det till tjänsten. The Git repo is the source of truth for code editing, while the service is the source of truth for execution. Ändringar måste checkas in på Git-lagringsplatsen eller publiceras till tjänsten innan Synapse Studio stängs. Mer information om hur du använder Synapse Analytics med Git finns i Kontinuerlig integrering och leverans för en Azure Synapse Analytics-arbetsyta.
I båda utvecklingsmodellerna kan alla användare med åtkomst till Synapse Studio skapa kodartefakter. Du behöver dock ytterligare behörigheter för att publicera artefakter till tjänsten, läsa publicerade artefakter, checka in ändringar i Git, köra kod och komma åt länkade data som skyddas av autentiseringsuppgifter. Användare måste ha rollen Azure-deltagare eller högre på Synapse-arbetsytan för att konfigurera, redigera inställningar och koppla från en Git-lagringsplats med Synapse.
Azure Synapse roles
Azure Synapse-roller används för att styra åtkomsten till Synapse-tjänsten. Med olika roller kan du:
- Lista över publicerade kodartefakter
- Publicera kodartefakter, länkade tjänster och definitioner av autentiseringsuppgifter
- Execute code or pipelines that use Synapse compute resources
- Kör kod eller pipeline som har åtkomst till länkade data skyddade av autentisering
- Visa utdata som är associerade med publicerade kodartefakter
- Övervaka beräkningsresursstatus och visa körningsloggar
Azure Synapse-roller kan tilldelas i arbetsytans omfång eller i mer detaljerade omfång för att begränsa de behörigheter som beviljas till specifika Azure Synapse-resurser.
Git-behörigheter
För Git-aktiverad utveckling i Git-läge behöver du Git-behörigheter utöver rollrollerna Synapse-användare eller Synapse RBAC (rollbaserad åtkomstkontroll) för att läsa kodartefakter, inklusive definitioner för länkad tjänst och autentiseringsuppgifter. Om du vill commita ändringar i kodartefakter i Git-läget behöver du Git-behörigheter och rollen Synapse Artifact Publisher.
Komma åt data i SQL
För dedikerade och serverlösa SQL-pooler styrs dataplansåtkomsten med SQL-behörigheter.
Den som skapar en arbetsyta blir tilldelad rollen som Active Directory-administratör för arbetsytan. När den har skapats kan rollen tilldelas till en annan användare eller till en säkerhetsgrupp i Azure-portalen.
Serverlösa SQL-pooler: Synapse-administratörer beviljas
db_owner(DBO)-behörigheter på den serverlösa SQL-poolen, inbyggd. För att ge andra användare åtkomst till den serverlösa SQL-poolen måste Synapse-administratörer köra SQL-skript i den serverlösa poolen.Dedikerade SQL-pooler: Synapse-administratörer har fullständig åtkomst till data i dedikerade SQL-pooler och möjlighet att bevilja åtkomst till andra användare. Synapse-administratörer kan också utföra konfigurations- och underhållsaktiviteter i dedikerade pooler, förutom att ta bort databaser. Active Directory Admin permission is granted to the creator of the workspace and the workspace MSI. Permission to access dedicated SQL pools isn't otherwise granted automatically. Om du vill ge andra användare eller grupper åtkomst till dedikerade SQL-pooler måste Active Directory-administratören eller Synapse-administratören köra SQL-skript mot varje dedikerad SQL-pool.
Exempel på SQL-skript för att bevilja SQL-behörigheter i SQL-pooler finns i Konfigurera åtkomstkontroll för din Azure Synapse-arbetsyta.
Komma åt data i Data Explorer-pooler
För Data Explorer-pooler styrs dataplansåtkomsten via Data Explorer-behörigheter. Synapse-administratörer beviljas All Database admin behörigheter för Data Explorer-pooler. Om du vill ge andra användare eller grupper åtkomst till Data Explorer-pooler bör Synapse-administratörer referera till Hantering av säkerhetsroller. Mer information om åtkomst till dataplanet finns i Översikt över åtkomstkontroll.
Få åtkomst till systemhanterade data i lagringen
Serverlösa SQL-pooler och Apache Spark-tabeller lagrar sina data i en Azure Data Lake Storage Gen2-container som är associerad med arbetsytan. Användarinstallerade Apache Spark-bibliotek hanteras också i samma lagringskonto. To enable these use cases, users and the workspace MSI must be granted Storage Blob Data Contributor access to this workspace Azure Data Lake Storage container.
Använda säkerhetsgrupper som bästa praxis
För att förenkla hanteringen av åtkomstkontroll kan du använda säkerhetsgrupper för att tilldela roller till individer och grupper. Säkerhetsgrupper kan skapas för att spegla personas eller jobbfunktioner i din organisation som behöver åtkomst till Synapse-resurser eller artefakter. Dessa personabaserade säkerhetsgrupper kan sedan tilldelas en eller flera Azure-roller, Synapse-roller, SQL-behörigheter eller Git-behörigheter. Med väl valda säkerhetsgrupper är det enkelt att tilldela en användare de behörigheter som krävs genom att lägga till dem i lämplig säkerhetsgrupp.
Anteckning
Om du använder säkerhetsgrupper för att hantera åtkomst, finns det ytterligare svarstider som introduceras av Microsoft Entra-ID innan ändringarna börjar gälla.
Åtkomstkontroll i Synapse Studio
Synapse Studio fungerar annorlunda baserat på dina behörigheter och det aktuella läget:
- Synapse live-läge: Synapse Studio hindrar dig från att se publicerat innehåll, publicera innehåll eller vidta andra åtgärder om du inte har den behörighet som krävs. I vissa fall hindras du från att skapa kodartefakter som du inte kan använda eller spara.
- Git-läge: Om du har Git-behörigheter som gör att du kan checka in ändringar i den aktuella grenen tillåts incheckningsåtgärden om du har behörighet att publicera ändringar i livetjänsten (Synapse Artifact Publisher-rollen).
I vissa fall kan du skapa kodkomponenter även utan behörighet att publicera eller commita. På så sätt kan du köra kod (med nödvändiga körningsbehörigheter). Mer information om de roller som krävs för vanliga uppgifter finns i Förstå de roller som krävs för att utföra vanliga uppgifter i Azure Synapse.
Om en funktion är inaktiverad i Synapse Studio anger en knappbeskrivning den behörighet som krävs. Använd synapse RBAC-rollguiden för att leta upp vilken roll som krävs för att ge den saknade behörigheten.