Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Synapse RBAC estende as capacidades do Azure RBAC para espaços de trabalho Synapse e seus conteúdos.
O RBAC do Azure é usado para gerenciar quem pode criar, atualizar ou excluir o espaço de trabalho Synapse e seus pools SQL, pools Apache Spark e tempos de execução de integração.
Synapse RBAC é usado para gerenciar quem pode:
- Publicar artefatos de código e listar ou acessar artefatos de código publicados,
- Execute código em pools Apache Spark e tempos de execução de integrações,
- Aceder a serviços ligados (dados) protegidos por credenciais
- Monitore ou cancele a execução de tarefas, reveja os resultados e registos de execução.
Nota
Embora o Synapse RBAC seja usado para gerenciar o acesso a scripts SQL publicados, ele fornece apenas controle de acesso limitado a pools SQL dedicados e sem servidor. O acesso a pools SQL é controlado principalmente usando segurança SQL.
O que posso fazer com Synapse RBAC?
Aqui estão alguns exemplos do que você pode fazer com Synapse RBAC:
- Permitir que um usuário publique alterações feitas em blocos de anotações e trabalhos do Apache Spark no serviço ativo.
- Permitir que um utilizador execute e cancele notebooks e trabalhos do Spark em um pool específico do Apache Spark.
- Permita que um usuário use credenciais específicas para que possa executar pipelines protegidos pela identidade do sistema de espaço de trabalho e acessar dados em serviços vinculados protegidos com credenciais.
- Permita que um administrador gerencie, monitore e cancele a execução de trabalhos em Spark Pools específicos.
Como funciona Synapse RBAC
Como o RBAC do Azure, o Synapse RBAC funciona criando atribuições de função. Uma atribuição de função consiste em três elementos: um principal de segurança, uma definição de função e um âmbito.
Entidades de segurança
Um principal de segurança é um utilizador, grupo, principal de serviço ou identidade gerida.
Funções
Uma função é uma coleção de permissões ou ações que podem ser executadas em tipos de recursos ou tipos de artefatos específicos.
Synapse fornece funções internas que definem coleções de ações que correspondem às necessidades de diferentes personas:
- Os administradores podem obter acesso total para criar e configurar um espaço de trabalho
- Os desenvolvedores podem criar, atualizar e depurar scripts SQL, blocos de anotações, pipelines e fluxos de dados, mas não podem publicar ou executar esse código em recursos/dados de computação de produção
- Os operadores podem monitorar e gerenciar o status do sistema, a execução do aplicativo e os logs de revisão, sem acesso ao código ou às saídas da execução.
- O pessoal de segurança pode gerir e configurar os pontos de extremidade sem ter acesso ao código, aos recursos de computação ou aos dados.
Saiba mais sobre as funções integradas do Sinapse.
Âmbitos
Um escopo define os recursos ou artefatos aos quais o acesso se aplica. O Azure Synapse dá suporte a escopos hierárquicos. As permissões concedidas num âmbito de nível superior são herdadas por objetos a um nível inferior. No Synapse RBAC, o escopo de nível superior é um espaço de trabalho. A atribuição de uma função com o escopo do espaço de trabalho concede permissões a todos os objetos aplicáveis no espaço de trabalho.
Os escopos atuais suportados em um espaço de trabalho são:
- Piscina Apache Spark
- Runtime de integração
- serviço vinculado
- credencial
O acesso aos artefatos de software é concedido no âmbito do espaço de trabalho. A concessão de acesso a coleções de artefatos em um espaço de trabalho será suportada em uma versão posterior.
Resolver atribuições de funções para determinar permissões
Uma atribuição de função concede a um diretor as permissões definidas pela função no âmbito especificado.
Synapse RBAC é um modelo aditivo como o Azure RBAC. Várias funções podem ser atribuídas a um único principal e em âmbitos diferentes. Ao calcular as permissões de um principal de segurança, o sistema considera todos os papéis atribuídos ao principal e a grupos que incluem direta ou indiretamente o principal. Também considera o âmbito de cada atribuição para determinar as permissões que se aplicam.
Impondo permissões atribuídas
No Synapse Studio, botões ou opções específicos podem estar acinzentados ou um erro de permissões pode ser retornado ao tentar uma ação se você não tiver as permissões necessárias.
Se um botão ou opção estiver desativado, passar o rato sobre o botão ou opção mostrará uma dica de ferramenta com a permissão necessária. Entre em contato com um administrador do Synapse para atribuir uma função que conceda a permissão necessária. Você pode ver as funções que fornecem ações específicas, consulte Synapse RBAC Roles.
Quem pode atribuir funções Synapse RBAC?
Os administradores do Synapse podem atribuir funções Synapse RBAC. Um Administrador do Synapse no nível do espaço de trabalho pode conceder acesso em qualquer escopo. Um Administrador Synapse num escopo de nível inferior só pode conceder acesso nesse escopo.
Quando um novo espaço de trabalho é criado, o criador recebe automaticamente a função de Administrador do Synapse no escopo do espaço de trabalho.
Para ajudá-lo a recuperar o acesso a um espaço de trabalho no caso de nenhum Administrador Synapse ser atribuído ou disponível para você, os usuários com permissões para gerenciar atribuições de função RBAC do Azure no espaço de trabalho também podem gerenciar atribuições de função Synapse RBAC, permitindo a adição de Synapse Administrator ou outras atribuições de função Synapse.
Onde gerencio o Synapse RBAC?
O Synapse RBAC é gerenciado de dentro do Synapse Studio usando as ferramentas de controle de acesso no hub Gerenciar .
Conteúdos relacionados
Entenda as funções internas do Synapse RBAC.
Saiba como revisar as atribuições de funções no RBAC do Synapse para uma área de trabalho.
Saiba como atribuir funções Synapse RBAC.