Freigeben über

Whitepaper zur Sicherheit von Azure Synapse Analytics: Zugriffssteuerung

Hinweis

Dieser Artikel ist Teil der Whitepaperreihe zur Sicherheit von Azure Synapse Analytics . Eine Übersicht über die Reihe finden Sie im Whitepaper zur Sicherheit von Azure Synapse Analytics.

Je nachdem, wie die Daten modelliert und gespeichert wurden, könnte die Datenverwaltung und Zugriffskontrolle von Entwicklern und Sicherheitsadministratoren verlangen, dass sie unterschiedliche Ansätze oder eine Kombination von Techniken anwenden, um eine stabile Sicherheitsgrundlage zu schaffen.

Azure Synapse unterstützt eine vielzahl von Funktionen, um zu steuern, wer auf welche Daten zugreifen kann. Diese Funktionen basieren auf einer Reihe erweiterter Zugriffssteuerungsfeatures, darunter:

Sicherheit auf Objektebene

Jedes Objekt in einem dedizierten SQL-Pool verfügt über zugeordnete Berechtigungen, die einem Prinzipal erteilt werden können. Im Kontext von Benutzern und Dienstkonten werden so einzelne Tabellen, Ansichten, gespeicherte Prozeduren und Funktionen gesichert. Objektberechtigungen wie SELECT können Benutzerkonten (SQL-Anmeldungen, Microsoft Entra-Benutzer oder -Gruppen) und Datenbankrollen gewährt werden, wodurch Datenbankadministratoren Flexibilität erhalten. Darüber hinaus können Berechtigungen für Tabellen und Ansichten mit anderen Zugriffssteuerungsmechanismen (siehe unten) kombiniert werden, z. B. Sicherheit auf Spaltenebene, Sicherheit auf Zeilenebene und dynamische Datenmaske.

In Azure Synapse werden die Berechtigungen allen Benutzern und Rollen auf Datenbankebene gewährt. Darüber hinaus erhält jeder Benutzer, dem die integrierte Synapse-Administrator-RBAC-Rolle auf Arbeitsbereichsebene gewährt wurde, automatisch vollzugriff auf alle dedizierten SQL-Pools.

Zusätzlich zum Sichern von SQL-Tabellen in Azure Synapse können auch dedizierte SQL-Pool (ehemals SQL DW), serverlose SQL-Pool und Spark-Tabellen gesichert werden. Standardmäßig verfügen Benutzer, die der Rolle " Storage Blob Data Contributor " von mit dem Arbeitsbereich verbundenen Datenseen zugewiesen sind, über LESE-, SCHREIB- und EXECUTE-Berechtigungen für alle spark-erstellten Tabellen , wenn Benutzer Code interaktiv im Notizbuch ausführen. Es heißt Microsoft Entra Pass-Through und gilt für alle Data Lakes, die mit dem Arbeitsbereich verbunden sind. Wenn derselbe Benutzer jedoch dasselbe Notizbuch über eine Pipeline ausführt, wird der Arbeitsbereich managed Service Identity (MSI) für die Authentifizierung verwendet. Damit die Pipeline die Msi-Datei des Arbeitsbereichs erfolgreich ausführen kann, muss sie auch zur Rolle " Mitwirkender von Speicher-BLOB-Daten" des Datensees gehören, auf den zugegriffen wird.

Zeilenbasierte Sicherheit

Die Sicherheit auf Zeilenebene ermöglicht Sicherheitsadministratoren das Einrichten und Steuern des differenzierten Zugriffs auf bestimmte Tabellenzeilen basierend auf dem Profil eines Benutzers (oder eines Prozesses), der eine Abfrage ausführt. Profil- oder Benutzermerkmale können sich auf Gruppenmitgliedschaft oder Ausführungskontext beziehen. Die Sicherheit auf Zeilenebene verhindert nicht autorisierten Zugriff, wenn Benutzer Daten aus denselben Tabellen abfragen, aber unterschiedliche Teilmengen von Daten sehen müssen.

Hinweis

Die Sicherheit auf Zeilenebene wird in Azure Synapse und dediziertem SQL-Pool (vormals SQL DW) unterstützt, wird jedoch nicht für Apache Spark-Pool und serverlosen SQL-Pool unterstützt.

Sicherheit auf Spaltenebene

Die Sicherheit auf Spaltenebene ermöglicht Es Sicherheitsadministratoren, Berechtigungen festzulegen, die einschränken, wer auf vertrauliche Spalten in Tabellen zugreifen kann. Sie wird auf Datenbankebene festgelegt und kann implementiert werden, ohne dass der Entwurf des Datenmodells oder der Anwendungsebene geändert werden muss.

Hinweis

Die Sicherheit auf Spaltenebene wird in Azure Synapse, serverlosen SQL-Poolansichten und dediziertem SQL-Pool (vormals SQL DW) unterstützt, wird jedoch nicht für serverlose externe SQL-Pooltabellen und Apache Spark-Pool unterstützt. Im Fall eines serverlosen SQL-Pools kann ein Workaround für externe Tabellen angewendet werden, indem eine Ansicht über einer externen Tabelle erstellt wird.

Dynamische Datenmaskierung

Mithilfe der dynamischen Datenmaske können Sicherheitsadministratoren die Gefährdung vertraulicher Daten einschränken, indem sie sie für nicht privilegierte Benutzer maskieren. Es hilft, nicht autorisierten Zugriff auf vertrauliche Daten zu verhindern, indem Administratoren bestimmen können, wie die Daten zur Abfragezeit angezeigt werden. Basierend auf der Identität des authentifizierten Benutzers und seiner Gruppenzuweisung im SQL-Pool gibt eine Abfrage entweder maskierte oder nicht maskierte Daten zurück. Die Maskierung wird immer angewendet, unabhängig davon, ob direkt über eine Tabelle oder mithilfe einer Ansicht oder gespeicherten Prozedur auf Daten zugegriffen wird.

Hinweis

Die dynamische Datenmaske wird in Azure Synapse und dediziertem SQL-Pool (ehemals SQL DW) unterstützt, wird jedoch für Apache Spark-Pool und serverlosen SQL-Pool nicht unterstützt.

Rollenbasierte Zugriffssteuerung für Synapse

Azure Synapse enthält auch Rollen für die rollenbasierte Zugriffssteuerung (RBAC) von Synapse , um verschiedene Aspekte von Synapse Studio zu verwalten. Nutzen Sie diese integrierten Rollen, um Berechtigungen zuzuweisen, damit Benutzer, Gruppen oder andere Sicherheitsprinzipale verwalten können, wer:

  • Veröffentlichen Sie Codeartefakte und Listen oder greifen Sie auf veröffentlichte Codeartefakte zu.
  • Führen Sie Code für Apache Spark-Pools und Integrationslaufzeiten aus.
  • Zugriff auf verknüpfte (Daten)-Dienste, die durch Anmeldeinformationen geschützt sind.
  • Überwachung oder Abbruch von Auftragsausführungen, Überprüfung der Auftragsausgabe und Protokolle der Ausführung.

Nächste Schritte

Im nächsten Artikel dieser Whitepaperreihe erfahren Sie mehr über die Authentifizierung.

  • Last updated on