Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Autoryzacja to czynność udzielania uwierzytelnionej osobie uprawnienia do wykonywania akcji. Kluczową zasadą kontroli dostępu jest zapewnienie użytkownikom tylko ilości dostępu potrzebnego do wykonywania zadań i zezwalania tylko na określone działania w określonym zakresie. Zabezpieczenia oparte na rolach odpowiadają kontroli dostępu. Wiele organizacji używa zabezpieczeń opartych na rolach, aby kontrolować dostęp na podstawie zdefiniowanych ról lub funkcji zadań zamiast poszczególnych użytkowników. Użytkownicy mają przypisaną co najmniej jedną rolę zabezpieczeń, a każda rola ma uprawnienia autoryzowane do wykonywania określonych zadań.
Microsoft Entra ID to scentralizowany dostawca tożsamości, który udziela autoryzacji dostępu do usług danych i magazynu dla każdego użytkownika lub dla każdej aplikacji na podstawie tożsamości firmy Microsoft Entra.
Autoryzacja usługi danych
Kontrola dostępu oparta na rolach (RBAC) i listy kontroli dostępu (ACL) na platformie Azure odgrywają kluczowe role w zarządzaniu dostępem i zapewnianiu zabezpieczeń. Zarówno Azure RBAC, jak i ACL wymagają, aby użytkownik lub aplikacja miała tożsamość w Microsoft Entra ID. W analizie w skali chmury kontrola dostępu oparta na rolach jest skuteczna w przypadku baz danych i usługi Azure Data Lake Storage. Listy ACL (Access Control Lists) są używane głównie w usłudze Data Lake Storage, aby umożliwić szczegółową kontrolę dostępu na poziomie plików i katalogów. Listy kontroli dostępu (ACL) uzupełniają kontrolę dostępu opartą na rolach, zapewniając bardziej szczegółowe uprawnienia w hierarchii przechowywania.
Kontrola dostępu oparta na rolach Azure udostępnia wbudowane funkcje, takie jak Owner, Contributori Reader, ale można również tworzyć role niestandardowe dla określonych potrzeb. Następujące wbudowane role są podstawowe dla wszystkich typów zasobów platformy Azure, w tym usług danych platformy Azure:
| Rola | Opis |
|---|---|
| właściciel | Ta rola ma pełny dostęp do zasobu i może zarządzać wszystkimi zasobami, w tym prawem do udzielenia mu dostępu. |
| Współautor | Ta rola może zarządzać zasobem, ale nie może udzielić mu dostępu. |
| czytnik | Ta rola może wyświetlać zasób i informacje, z wyjątkiem informacji poufnych, takich jak klucze dostępu lub wpisy tajne, dotyczące zasobu. Nie mogą wprowadzać żadnych zmian w zasobie. |
Notatka
Niektóre usługi mają specyficzne role RBAC, takie jak współautor danych obiektu blob w Storage lub współautor w Data Factory, więc należy używać tych ról dla tych usług. RBAC to model addytywny, w którym dodawanie przypisań ról stanowi aktywne uprawnienie. Kontrola dostępu oparta na rolach obsługuje również odmowy przypisań, które mają pierwszeństwo przed przypisaniami ról.
Napiwek
Jeśli planujesz strategię kontroli dostępu, zalecamy przyznanie użytkownikom tylko dostępu wymaganego do wykonywania zadań. Należy również zezwolić tylko na określone akcje w określonym zakresie.
Kontrola dostępu w bazach danych platformy Azure
Kontrola dostępu oparta na rolach w bazach danych platformy Azure koncentruje się na rolach, zakresach i uprawnieniach. Platforma Azure udostępnia kilka wbudowanych ról do zarządzania bazami danych. Jedną z tych ról jest współautor programu SQL Server, który umożliwia zarządzanie serwerami i bazami danych SQL. Inną rolą jest kontrybutora bazy danych SQL, który zezwala na zarządzanie bazami danych SQL, ale nie na zarządzanie samym serwerem. Ponadto można tworzyć role niestandardowe, które mają określone uprawnienia, aby spełnić unikatowe wymagania.
Role można przypisywać w różnych zakresach, w tym:
- Na poziomie subskrypcji, na którym role mają zastosowanie do wszystkich zasobów w ramach subskrypcji.
- Na poziomie grupy zasobów, gdzie role mają zastosowanie do wszystkich zasobów w określonej grupie zasobów.
- Na poziomie zasobów, na którym można przypisywać role bezpośrednio do poszczególnych baz danych lub serwerów. Takie podejście zapewnia precyzyjną kontrolę.
Uprawnienia definiują akcje, które może wykonywać rola, takie jak zarządzanie ustawieniami odczytu, zapisu, usuwania lub zabezpieczeń. Te uprawnienia są pogrupowane w role, aby uprościć zarządzanie.
W usłudze Azure SQL Databasemożna przypisywać role do użytkowników, grup lub aplikacji, aby kontrolować dostęp. Na przykład administrator bazy danych może mieć przypisaną rolę współautora programu SQL Server do zarządzania serwerem i bazami danych. Role takie jak współautora usługi SQL DB umożliwiają użytkownikom tworzenie, aktualizowanie i usuwanie baz danych, a rola SQL Security Manager koncentruje się na konfiguracjach zabezpieczeń.
W usłudze Azure Cosmos DBmożna przypisywać role do zarządzania dostępem do kont, baz danych i kontenerów. Wbudowane role, takie jak Czytelnik konta Cosmos DB i Współautor konta Cosmos DB, zapewniają różne poziomy dostępu.
W usługach Azure Database for MySQL i Azure Database for PostgreSQL można przypisywać role do zarządzania serwerami baz danych i poszczególnymi bazami danych. Aby kontrolować dostęp, możesz użyć ról takich jak Współautor i Reader.
Aby uzyskać więcej informacji, zobacz wbudowane role platformy Azure dla baz danych.
Kontrola dostępu w usłudze Data Lake Storage
Usługa Azure RBAC umożliwia przyznawanie ograniczonego dostępu, takiego jak dostęp do odczytu lub zapisu, do wszystkich danych konta magazynu. Listy ACL umożliwiają przyznawanie szczegółowych uprawnień, takich jak dostęp do zapisu do określonego katalogu lub pliku.
W wielu scenariuszach można używać RBAC i listy kontroli dostępu (ACL) razem, aby zapewnić kompleksową kontrolę dostępu w Data Lake Storage. Za pomocą kontroli dostępu opartej na rolach można zarządzać dostępem wysokiego poziomu do danych, co pomaga zagwarantować, że tylko autoryzowani użytkownicy będą mogli uzyskiwać dostęp do usługi. Następnie możesz zastosować listy kontrolne dostępu (ACL) na koncie magazynu, aby kontrolować dostęp do określonych plików i katalogów, co zwiększa bezpieczeństwo.
Kontrola dostępu oparta na atrybutach platformy Azure rozszerza kontrolę dostępu opartą na rolach, dodając warunki do przypisywania ról na podstawie atrybutów w kontekście konkretnych działań. Zasadniczo umożliwia uściślenie przypisań ról RBAC poprzez dodanie warunków. Na przykład można udzielić dostępu do odczytu lub zapisu do wszystkich obiektów danych na koncie magazynowym, które są oznaczone określonym tagiem.
Następujące role umożliwiają jednostce zabezpieczeń uzyskiwanie dostępu do danych na koncie magazynu.
| Rola | Opis |
|---|---|
| Właściciel danych obiektu blob Storage | Ta rola zapewnia pełny dostęp do kontenerów i danych magazynu obiektów blob. Ten dostęp pozwala podmiotowi zabezpieczeń ustawić właściciela elementu i zmodyfikować listy ACL wszystkich elementów. |
| Współautor danych obiektu blob usługi Storage | Ta rola zapewnia dostęp do odczytu, zapisu i usuwania kontenerów oraz obiektów w magazynie obiektów blob. Ten dostęp nie zezwala podmiotowi zabezpieczeń na ustawianie własności elementu, ale może modyfikować listę kontrolną dostępu (ACL) elementów, których właścicielem jest podmiot zabezpieczeń. |
| Czytnik danych obiektów blob usługi Storage | Ta rola może odczytywać i wyświetlać listę kontenerów i blobów w magazynie blob. |
Role, takie jak Właściciel, Współautor, Czytelniki Współautor Konta Magazynu, zezwalają podmiotowi zabezpieczeń na zarządzanie kontem magazynu, ale nie zapewniają dostępu do danych w ramach tego konta. Jednak te role, z wyjątkiem Reader, mogą uzyskać dostęp do kluczy przechowywania, które można używać w różnych narzędziach klienckich do uzyskiwania dostępu do danych. Aby uzyskać więcej informacji, zobacz Model kontroli dostępu w usłudze Data Lake Storage.
Kontrola dostępu w usłudze Azure Databricks
Usługa Azure Databricks zapewnia systemy kontroli dostępu do zarządzania dostępem w środowisku usługi Azure Databricks. Systemy te koncentrują się na zabezpieczanych obiektach i zarządzaniu danymi. Trzy główne systemy kontroli dostępu w usłudze Azure Databricks to:
- listy ACL, których można użyć do skonfigurowania uprawnień dostępu do obiektów obszaru roboczego, takich jak notesy. Aby uzyskać więcej informacji, zobacz Omówienie kontroli dostępu.
- konto RBAC, którego można użyć do skonfigurowania uprawnień do używania obiektów na poziomie konta, takich jak pryncypały usługi i grupy.
- Unity Catalog, którego można użyć do zabezpieczania i zarządzania obiektami danych.
Oprócz kontroli dostępu do obiektów usługa Azure Databricks udostępnia wbudowane role na platformie. Role można przypisywać do użytkowników, jednostek usługi i grup. Aby uzyskać więcej informacji, zobacz Role administratora i uprawnienia obszaru roboczego.
Najlepsze rozwiązania dotyczące autoryzacji w analizie w skali chmury
W tym przewodniku omówiono najlepsze praktyki dotyczące implementowania RBAC w środowiskach analiz w skali chmury. Obejmuje ona ogólne zasady kontroli dostępu opartej na rolach, kontrolę dostępu do bazy danych i najlepsze rozwiązania dotyczące kontroli dostępu typu data lake, aby zapewnić bezpieczne i wydajne zarządzanie zasobami.
Ogólne najlepsze rozwiązania dotyczące kontroli dostępu opartej na rolach na potrzeby analizy w skali chmury
Poniższe najlepsze praktyki mogą pomóc w rozpoczęciu pracy z RBAC:
Role RBAC umożliwiają zarządzanie usługami i operacje oraz używanie ról specyficznych dla usługi w celu uzyskiwania dostępu do danych i zadań specyficznych dla obciążenia. Role RBAC w zasobach platformy Azure umożliwiają udzielanie uprawnień podmiotom zabezpieczeń, które muszą wykonywać zadania zarządzania zasobami i operacji. Podmioty zabezpieczeń, które muszą uzyskiwać dostęp do danych w magazynie, nie wymagają roli RBAC w zasobie, ponieważ nie muszą nim zarządzać. Zamiast tego przyznaj uprawnienie bezpośrednio do obiektów danych. Na przykład przyznaj uprawnienia do odczytu dla folderu w usłudze Data Lake Storage lub przyznaj uprawnienia dla użytkownika bazy danych i tabeli w bazie danych w usłudze SQL Database.
Użyj wbudowanych ról RBAC. Najpierw użyj wbudowanych ról zasobów RBAC platformy Azure, aby zarządzać usługami i przypisywać role operacji w celu kontrolowania dostępu. Tworzenie i używanie ról niestandardowych dla zasobów platformy Azure tylko wtedy, gdy wbudowane role nie spełniają określonych potrzeb.
Zarządzanie dostępem przy użyciu grup. Przypisz dostęp do grup firmy Microsoft Entra i zarządzaj członkostwem w grupach w celu ciągłego zarządzania dostępem.
Rozważ zakresy subskrypcji i grupy zasobów. W środowiskach nieprodukcyjnych udzielaj dostępu na poziomie grupy zasobów, aby oddzielić dostęp wymagany do zarządzania usługami i operacjami, zamiast udzielać dostępu do poszczególnych zasobów. Takie podejście ma sens, ponieważ w środowiskach nieprodukcyjnych deweloperzy i testerzy muszą zarządzać zasobami. Na przykład może być konieczne utworzenie potoku w usłudze Azure Data Factory do pozyskiwania danych lub utworzenie kontenera w usłudze Data Lake Storage.
Jednak w środowiskach produkcyjnych można udzielić dostępu do poszczególnych zasobów dla zadań specyficznych dla obciążenia, takich jak obsługa i operacje systemu plików typu data lake. Takie podejście ma sens w środowiskach produkcyjnych, ponieważ użytkownicy potrzebują jedynie zasobów, takich jak wyświetlanie stanu zaplanowanego potoku pobierania danych w usłudze Data Factory lub odczytywanie plików danych w usłudze Data Lake Storage.
Nie udzielaj niepotrzebnego dostępu w zakresie subskrypcji. Zakres subskrypcji obejmuje wszystkie zasoby w ramach subskrypcji.
Wybierz dostęp z najniższymi uprawnieniami. Wybierz odpowiednią i jedyną rolę dla zadania.
Najlepsze rozwiązania dotyczące kontroli dostępu do bazy danych
Implementowanie efektywnej kontroli dostępu opartej na rolach ma kluczowe znaczenie dla utrzymania bezpieczeństwa i możliwości zarządzania w środowisku analitycznym. Ta sekcja zawiera najlepsze rozwiązania dotyczące korzystania z grup firmy Microsoft i wbudowanych ról oraz unikania bezpośrednich uprawnień użytkowników w celu zapewnienia usprawnionego i bezpiecznego procesu zarządzania dostępem.
Środowiska analiz w skali chmury zwykle zawierają wiele typów rozwiązań pamięci masowej, w tym PostgreSQL, MySQL, SQL Database i Azure SQL Managed Instance.
Użyj grup Microsoft Entra zamiast poszczególnych kont użytkowników. Zalecamy używanie grup entra firmy Microsoft do zabezpieczania obiektów bazy danych zamiast pojedynczych kont użytkowników firmy Microsoft Entra. Użyj grup Firmy Microsoft Entra, aby uwierzytelnić użytkowników i chronić obiekty bazy danych. Podobnie jak w przypadku wzorca data lake, możesz użyć procesu dołączania aplikacji danych, aby utworzyć te grupy.
Zarządzanie dostępem przy użyciu ról wbudowanych. Utwórz role niestandardowe tylko wtedy, gdy musisz spełnić określone wymagania lub jeśli wbudowane role przyznają zbyt wiele uprawnień.
Powstrzymaj się od przypisywania uprawnień poszczególnym użytkownikom. Zamiast tego używaj ról, takich jak role bazy danych lub serwera. Role ułatwiają raportowanie i rozwiązywanie problemów z uprawnieniami. Azure RBAC obsługuje przypisywanie uprawnień wyłącznie za pośrednictwem ról.
Najlepsze rozwiązania dotyczące kontroli dostępu usługi Data Lake Storage
W nowoczesnych środowiskach danych najważniejsza jest bezpieczna i wydajna kontrola dostępu. Usługa Data Lake Storage udostępnia niezawodne mechanizmy zarządzania dostępem za pośrednictwem list kontroli dostępu (ACL). W tej sekcji opisano najlepsze rozwiązania dotyczące implementowania RBAC w usłudze "Data Lake Storage" i stosowania listy ACL, grup zabezpieczeń Microsoft Entra oraz zasady najniższych uprawnień w celu zachowania bezpieczniejszego środowiska data lake i zarządzania nim. Ponadto podkreśla znaczenie dopasowywania list ACL do schematów partycjonowania danych i używania Unity Catalog dla użytkowników Azure Databricks, aby pomóc w zapewnieniu kompleksowego bezpieczeństwa i zarządzania.
Użyj ACL do dokładnej kontroli dostępu. ACL-e odgrywają ważną rolę w definiowaniu dostępu na poziomie szczegółowym. W usłudze Data Lake Storage listy kontroli dostępu (ACL) współpracują z podmiotami zabezpieczeń, aby zarządzać precyzyjnym dostępem do plików i katalogów.
Zastosuj listy ACL na poziomach plików i folderów. Aby kontrolować dostęp do danych w usłudze Data Lake, zalecamy używanie list ACL na poziomie plików i folderów. Usługa Data Lake Storage przyjmuje również model listy ACL podobny do przenośnego interfejsu systemu operacyjnego (POSIX). POSIX to grupa standardów dla systemów operacyjnych. Jeden standard definiuje prostą, ale zaawansowaną strukturę uprawnień na potrzeby uzyskiwania dostępu do plików i folderów. System POSIX jest powszechnie używany w przypadku udziałów plików sieciowych i komputerów z systemem Unix.
Użyj grup zabezpieczeń Microsoft Entra jako przypisanego podmiotu we wpisie ACL. Zamiast bezpośrednio przypisywać poszczególnych użytkowników lub główne usługi, użyj tej metody, aby dodawać i usuwać użytkowników lub główne usługi bez konieczności ponownego stosowania list kontroli dostępu (ACL) do całej struktury katalogów. Możesz po prostu dodawać lub usuwać użytkowników i jednostki usługi z odpowiedniej grupy zabezpieczeń firmy Microsoft Entra.
Przypisz dostęp do grup firmy Microsoft Entra i zarządzaj członkostwem grup w celu ciągłego zarządzania dostępem. Aby uzyskać więcej informacji, zobacz Model kontroli dostępu w usłudze Data Lake Storage.
Zastosuj zasadę najmniejszych uprawnień do list kontroli dostępu. W większości przypadków użytkownicy powinni mieć uprawnienia tylko do odczytu do plików i folderów, których potrzebują w jeziorze danych. Użytkownicy danych nie powinni mieć dostępu do kontenera konta pamięci masowej.
Dopasuj listy ACL do schematów partycjonowania danych. ACL i projekt partycji danych powinny być zgodne, aby zapewnić skuteczną kontrolę dostępu do danych. Aby uzyskać więcej informacji, zobacz Partycjonowanie Data Lake.
Dla użytkowników usługi Azure Databricks, można wyłącznie kontrolować dostęp do obiektów danych za pomocą Unity Catalog. Udzielanie bezpośredniego dostępu na poziomie magazynu do zewnętrznej lokalizacji w usłudze Data Lake Storage nie uwzględnia żadnych przyznanych uprawnień ani audytów obsługiwanych przez Unity Catalog. Bezpośredni dostęp omija audyt, ścieżki przepływu danych oraz inne funkcje bezpieczeństwa i monitorowania Unity Catalog, w tym kontrolę dostępu oraz uprawnienia. W związku z tym nie należy nadawać użytkownikom usługi Azure Databricks bezpośredniego dostępu na poziomie magazynu do tabel i woluminów zarządzanych przez Unity Catalog.