azure
Support formation Microsoft Azure
azure
Support formation Microsoft Azure
DP-203

icon picker
Sécuriser les données et gérer les utilisateurs dans les pools SQL serverless Azure Synapse

Gonzague Ducos
Choisir une méthode d’authentification dans les pools SQL serverless Azure Synapse ;
Gérer les utilisateurs dans les pools SQL serverless Azure Synapse ;
Gérer les autorisations utilisateur dans les pools SQL serverless Azure Synapse

Choisir une méthode d’authentification dans les pools SQL serverless Azure Synapse

Authentification SQL : nom et mot de passe d’utilisateur.
Authentification Microsoft Entra : identités gérées par Microsoft Entra ID. Pour les utilisateurs de Microsoft Entra, l’authentification multifacteur peut être activée. Utilisez autant que possible l’authentification Active Directory (sécurité intégrée).

Autorisation

Fait référence aux actions qu’un utilisateur peut exécuter dans une base de données du pool SQL serverless
Est contrôlée par :
les appartenances aux rôles
les autorisations au niveau objet de la base de données de votre compte d’utilisateur.
Si authentification SQL :
l’utilisateur SQL existe seulement dans le pool SQL serverless
les autorisations sont limitées aux objets présents dans le pool SQL serverless.
l’accès aux objets sécurisables d’autres services (comme le stockage Azure) ne peut pas être accordé directement à un utilisateur SQL, car il n’existe que dans l’étendue du pool SQL serverless.
l’utilisateur SQL doit être autorisé à accéder aux fichiers dans le compte de stockage.
Si authentification Microsoft Entra, un utilisateur peut :
se connecter à un pool SQL serverless et à d’autres services, comme Stockage Azure
accorder des autorisations à l’utilisateur Microsoft Entra.

Accès aux comptes de stockage

Anonymous access : accéder à des fichiers accessibles publiquement, placés sur des comptes de stockage Azure qui autorisent l’accès anonyme.
Signature d’accès partagé (SAP) : accès délégué aux ressources du compte de stockage. Accorde aux clients l’accès aux ressources d’un compte de stockage sans partager les clés du compte. Fournit un contrôle précis sur le type d’accès accordé aux clients qui disposent de la signature SAS : - intervalle de validité, - autorisations accordées, - plage d’adresses IP acceptée, - protocole accepté (https/http).
Identité managée : Fonctionnalité de Microsoft Entra ID qui fournit des services Azure pour le pool SQL serverless + déploie une identité managée automatiquement dans Microsoft Entra ID. Utilisée pour autoriser les demandes d’accès aux données dans le stockage Azure. Avant d’accéder aux données, l’administrateur du stockage Azure doit accorder des autorisations à l’identité managée pour accéder aux données, de la même façon que l’octroi d’une autorisation à un autre utilisateur Microsoft Entra.
Identité de l’utilisateur : Également « pass-through ». Type d’autorisation où l’identité de l’utilisateur Microsoft Entra qui s’est connecté au pool SQL serverless est utilisée pour autoriser l’accès aux données. Avant d’accéder aux données, l’administrateur de Stockage Azure doit accorder des autorisations à l’utilisateur Microsoft Entra pour accéder aux données. Utilisateurs SQL pas pris en charge.

Types d’autorisation pris en charge pour les utilisateurs de bases de données

Type d’autorisation
Utilisateur SQL
Utilisateur Microsoft Entra
Identité de l’utilisateur
Non pris en charge
Prise en charge
SAS
Prise en charge
Prise en charge
Identité managée
Non pris en charge
Prise en charge
There are no rows in this table

Types d’autorisation et de stockage pris en charge

Type d’autorisation
Stockage Blob
ADLS Gen1
ADLS Gen2
Identité de l’utilisateur
Prise en charge - Le jeton SAP peut être utilisé pour accéder à un stockage qui n’est pas protégé par un pare-feu
Non pris en charge
Prise en charge - Le jeton SAP peut être utilisé pour accéder à un stockage qui n’est pas protégé par un pare-feu
SAS
Prise en charge
Prise en charge
Prise en charge
Identité managée
Prise en charge
Prise en charge
Pris en charge
There are no rows in this table

Gérer les utilisateurs dans les pools SQL serverless Azure Synapse

Depuis un espace de travail :
Gérer
Accédez à Contrôle d’accès
Cliquez sur Ajouter
image.png

Gérer les autorisations utilisateur dans des pools SQL serverless Azure Synapse

Stockage Azure implémente un contrôle d’accès en fonction du rôle (RBAC) Azure et les listes de contrôle d’accès (ACL) comme POSIX (Portable Operating System Interface for Unix).
Vous pouvez associer un principal de sécurité à un niveau d’accès pour les fichiers et répertoires.
Associations capturées dans une ACL.
Chaque fichier et répertoire d’un compte de stockage a une ACL.
2 types de listes de contrôle d'accès :
ACL d’accès : Contrôle l’accès à un objet. Les fichiers et les répertoires ont tous des ACL d’accès.
ACL par défaut : Modèles d’ACL associés à un répertoire, qui déterminent les ACL d’accès pour tous les éléments enfants créés dans ce répertoire. Les fichiers n’ont pas d’ACL par défaut.

Niveaux d’autorisations

Autorisation
Fichier
Répertoire
Lecture (R)
Permet de lire le contenu d’un fichier
Requiert les autorisations Lecture et Exécution pour répertorier le contenu du répertoire
Écriture (W)
Permet d’écrire ou d’ajouter du contenu dans un fichier
Requiert les autorisations Écriture et Exécution pour créer des éléments enfants dans un répertoire
Exécution (X)
Cela ne signifie rien dans le contexte de Data Lake Storage Gen2
Requise pour parcourir les éléments enfants d’un répertoire
There are no rows in this table

Instructions de configuration des listes de contrôle d’accès

Utilisez toujours les groupes de sécurité Microsoft Entra comme principal attribué dans une entrée d’ACL. Permettra d’ajouter et de supprimer des utilisateurs ou des principaux de service sans devoir réappliquer les ACL sur la structure de répertoires dans son ensemble.

Rôles nécessaires pour les utilisateurs de pools SQL serverless

Utilisateurs qui ont besoin d’un accès en lecture seule : attribuer un rôle nommé Lecteur des données blob du stockage.
Utilisateurs qui ont besoin d’un accès en lecture/écriture : attribuer un rôle nommé Contributeur aux données blob du stockage. L’accès en lecture/écriture est nécessaire si l’utilisateur doit avoir accès à CETAS (Create External table As Select).

Autorisation au niveau base de données

Utilisateur avec un accès plus granulaire.
Créer des informations de connexion (LOGIN) :
use master
CREATE LOGIN [alias@domain.com] FROM EXTERNAL PROVIDER;
Créer un utilisateur (USER) :
use yourdb -- Utilise la base de données
CREATE USER alias FROM LOGIN [alias@domain.com];
Ajouter USER aux membres du rôle spécifié :
use yourdb -- Utilise la base de données
alter role db_datareader
Add member alias -- Type USER name from step 2
-- You can use any Database Role which exists
-- (examples: db_owner, db_datareader, db_datawriter)
-- Replace alias with alias of the user you would like to give access and domain with the company domain you are using.

Want to print your doc?
This is not the way.
Try clicking the ⋯ next to your doc name or using a keyboard shortcut (
CtrlP
) instead.