Azure Synapse Analyticsへのデータベース アクセスを承認する

Tip

Microsoft Fabric Data Warehouse は、将来のアーキテクチャ、組み込みの AI、および新機能を備えた、Data Lake 基盤上のエンタープライズ 規模のリレーショナル ウェアハウスです。 データ ウェアハウスを初めて使用する場合は、Fabric Data Warehouseから始めます。 既存の dedicated SQL プール ワークロードは、Fabric にアップグレードして、データ サイエンス、リアルタイム分析、レポートの新機能にアクセスできます。

この記事では、以下について説明します。

  • ユーザーが管理タスクを実行し、これらのデータベースに格納されているデータにアクセスできるようにする、Azure Synapse Analyticsの構成オプション。
  • スタンドアロン専用 SQL プール (以前の SQL DW) の新しい 論理サーバー を作成した後のアクセスと承認の構成。
    • Azure Synapse Analytics ワークスペース内の専用 SQL プールでは、論理 SQL サーバーは使用されません。
  • master データベースにログインとユーザー アカウントを追加し、これらのアカウントに管理アクセス許可を付与する方法。
  • ログインに関連付けられているユーザー アカウントまたは包含ユーザー アカウントとして、ユーザー データベースにユーザー アカウントを追加する方法。
  • データベース ロールと明示的なアクセス許可を使用して、ユーザー データベースのアクセス許可を持つユーザー アカウントを構成する方法。

認証と承認

認証は、ユーザーが本人の主張どおりの人物であることを証明するプロセスです。 ユーザーは、ユーザー アカウントを使用してデータベースに接続します。

ユーザーは、データベースへの接続を試みるときに、ユーザー アカウントと認証情報を提供します。 ユーザーは、次の 2 つの認証方法のいずれかを使用して認証されます。

  • SQL 認証

    この認証方法を使用して、ユーザーはユーザー アカウント名と関連付けられたパスワードを送信して接続を確立します。 パスワードは、ログインにリンクされているユーザー アカウントの master データベースに格納されるか、ログインにリンク されていない ユーザー アカウントを含むデータベースに格納されます。

  • Microsoft Entra ID 認証

    この認証方法を使用すると、ユーザーはユーザー アカウント名を送信し、Microsoft Entra ID (formerly Azure Active Directory) に格納されている資格情報を使用することをサービスに要求します。

  • ログインとは、1 つ以上のデータベースのユーザー アカウントをリンクできる、master データベース内のアカウントです。 ログインの使用時には、ユーザー アカウントの資格情報はログインと共に格納されます。

  • ユーザー アカウントは、ログインにリンクされている可能性があるが、リンクされている必要はないデータベース内の個々のアカウントです。 ログインにリンクされていないユーザー アカウントでは、資格情報はユーザー アカウントと共に格納されます。

データにアクセスし、さまざまなアクションを実行するための承認は、データベース ロールと明示的なアクセス許可を使用して管理されます。 承認は、ユーザーに割り当てられるアクセス許可のことで、そのユーザーが実行できる操作を決定するものです。 ユーザー アカウントのデータベースのロール メンバーシップオブジェクト レベルのアクセス許可によって制御されます。 ベスト プラクティスとして、必要最小限の特権をユーザーに付与する必要があります。 詳細については、「Azure Synapse ワークスペースのアクセス制御の概要」を参照してください。

新規データベース作成後の既存のログインとユーザー アカウント

Azure SQL リソースを最初にデプロイするときは、特別な種類の管理ログインのログイン名とパスワードを指定します。Server admin。デプロイ時に、master およびユーザー データベースのログインとユーザーの次の構成が行われます。

Important

サーバー管理者のログイン名フィールドには、個人情報、センシティブな情報、または機密情報を入力しないでください。 このフィールドに入力されたデータは、 顧客データとは見なされません。

  • デプロイ プロセスでは、指定したログイン名を使用して、管理特権を持つ SQL 認証ログインが作成されます。 login は、Azure Synapse Analyticsにサインインするための個々のアカウントです。
  • デプロイ プロセスでは、サーバー レベルのプリンシパルとして、すべてのデータベースに対するこのログインの完全な管理アクセス許可が付与されます。 このログインは使用可能なすべてのアクセス許可を持ち、制限することはできません。
  • このアカウントがデータベースにサインインすると、各ユーザー データベースに存在する特殊なユーザー アカウント dbo (ユーザー アカウント) と一致します。 dbo ユーザーは、データベース内のすべてのデータベース アクセス許可を持ち、db_owner 固定データベース ロールのメンバーです。 この記事では、後で追加の固定データベース ロールについて説明します。

サーバー管理者アカウントを識別するには:

  1. Azure ポータルにアクセスします。
  2. リソース メニューで、Synapse ワークスペースに移動します。
  3. [ 概要 ] ページで、 SQL 管理者ユーザー名の値を表示します。

Important

サーバー管理者アカウントの名前は、作成後に変更することはできません。 サーバー管理者のパスワードをリセットするには、Azure ポータルに移動し、Synapse ワークスペースに移動し、REset SQL 管理者パスワード を選択します。

管理アクセス許可を持つ追加のログインとユーザーを作成する

この時点で、論理サーバーは、単一の SQL 認証ログインとユーザー アカウントを使用してアクセスするようにのみ構成されます。 完全または部分的な管理アクセス許可を持つ追加のログインを作成するには、展開モードに応じて次のオプションを使用します。

  • 完全な管理アクセス許可を持つ Microsoft Entra 管理者アカウントを作成する

    Microsoft Entra認証を有効にし、Microsoft Entra admin を追加します。完全な管理アクセス許可を持つ展開の管理者として、1 つのMicrosoft Entra アカウントを構成できます。 このアカウントは、個人のアカウントまたはセキュリティ グループのアカウントのいずれかです。 Azure Synapse への接続に Microsoft Entra アカウントを使用する場合は、Microsoft Entra 管理者設定する必要があります

  • Azure Synapse 専用 SQL プールで、管理権限が制限された SQL ログインを作成する

    • master データベースに追加の SQL 認証ログインを作成します。
    • この新しいログインに関連付けられている master データベース内に、ユーザー アカウントを作成します。
    • sp_addrolemember dbmanager使用して、loginmanager データベースのmaster ロール、またはその両方にユーザー アカウントを追加します。
  • Azure Synapse サーバーレス SQL プールで、管理権限が制限された SQL ログインを作成する

    • master データベースに追加の SQL 認証ログインを作成します。
    • または、CREATE LOGIN 構文を使用してMicrosoft Entra認証ログインを作成します。

管理者以外のユーザーのアカウントを作成する

たとえば、「Azure Synapse ワークスペースのアクセス制御を設定する方法を参照してください。

アクセス許可を制限または昇格するために使用できる次の機能について理解します。