Role Synapse RBAC
Tento článek popisuje předdefinované role Synapse RBAC (řízení přístupu na základě role), oprávnění, která udělují, a obory, ve kterých se dají použít.
Další informace o kontrole a přiřazování členství rolí Synapse najdete v tématu Jak přezkoumat přiřazení rolí Synapse RBAC Jak přiřadit role Synapse RBAC.
Předdefinované role a obory Synapse RBAC
Následující tabulka popisuje předdefinované role a obory, ve kterých se dají použít.
Poznámka:
Uživatelé s libovolnou rolí Synapse RBAC v libovolném oboru automaticky mají roli uživatele Synapse v oboru pracovního prostoru.
Důležité
Role Synapse RBAC neudělují oprávnění k vytváření nebo správě fondů SQL, fondů Apache Spark a prostředí Integration Runtime v pracovních prostorech Azure Synapse. Pro tyto akce se vyžadují role vlastníka Azure nebo přispěvatele Azure ve skupině prostředků.
| Role | Oprávnění | Rozsahy |
|---|---|---|
| Správce Synapse | Úplný přístup Synapse k bezserverové a vyhrazené fondy SQL, fondy Průzkumníka dat, fondy Apache Sparku a prostředí Integration Runtime. Zahrnuje vytváření, čtení, aktualizaci a odstraňování přístupu ke všem publikovaným artefaktům kódu. Zahrnuje oprávnění operátora výpočetních prostředků, propojeného správce dat a uživatele přihlašovacích údajů k přihlašovacím údajům systémové identity pracovního prostoru. Zahrnuje přiřazování rolí Synapse RBAC. Kromě správce Synapse můžou vlastníci Azure také přiřazovat role Synapse RBAC. K vytváření, odstraňování a správě výpočetních prostředků se vyžadují oprávnění Azure. Role Synapse RBAC je možné přiřadit i v případě, že je přidružené předplatné zakázané. Může číst a zapisovat artefakty Může provádět všechny akce s aktivitami Sparku. Může zobrazit protokoly fondu Sparku. Může zobrazit uložený poznámkový blok a výstup kanálu. Může používat tajné kódy uložené propojenými službami nebo přihlašovacími údaji . Role Synapse RBAC můžou přiřadit a odvolat v aktuálním oboru. |
Fond Sparku pracovního prostoru Přihlašovací údaje propojené služby integration runtime |
| Správce Synapse Apache Sparku |
Úplný přístup Synapse k fondům Apache Sparku Umožňuje vytvářet, číst, aktualizovat a odstraňovat přístup k publikovaným definicám úloh Sparku, poznámkových blokům a jejich výstupům a ke knihovnám, propojeným službám a přihlašovacím údajům. Zahrnuje přístup pro čtení ke všem ostatním publikovaným artefaktům kódu. Nezahrnuje oprávnění k používání přihlašovacích údajů a spouštění kanálů. Nezahrnuje udělení přístupu. Může provádět všechny akce s artefakty Sparku. Může provádět všechny akce s aktivitami Sparku. |
Fond Sparku pracovního prostoru |
| Správce Synapse SQL | Úplný přístup Synapse k bezserverové fondy SQL. Umožňuje vytvářet, číst, aktualizovat a odstraňovat přístup k publikovaným skriptům SQL, přihlašovacím údajům a propojeným službám. Zahrnuje přístup pro čtení ke všem ostatním publikovaným artefaktům kódu. Nezahrnuje oprávnění k používání přihlašovacích údajů a spouštění kanálů. Nezahrnuje udělení přístupu. Může provádět všechny akce se skripty SQL. Může se připojit ke koncovým bodům bez serveru SQL pomocí SQL db_datareader, db_datawriter, connect, a grant oprávnění |
Pracovní prostor |
| Přispěvatel Synapse | Úplný přístup Synapse k fondům Apache Spark a prostředím Integration Runtime. Zahrnuje vytváření, čtení, aktualizaci a odstraňování přístupu ke všem publikovaným artefaktům kódu a jejich výstupům, včetně plánovaných kanálů, přihlašovacích údajů a propojených služeb. Zahrnuje oprávnění výpočetního operátora. Nezahrnuje oprávnění k používání přihlašovacích údajů a spouštění kanálů. Nezahrnuje udělení přístupu. Může číst a zapisovat artefakty. Může zobrazit uložený poznámkový blok a výstup kanálu. Může provádět všechny akce s aktivitami Sparku. Může zobrazit protokoly fondu Sparku. |
Fond Sparku pracovního prostoru Prostředí Integration Runtime |
| Vydavatel artefaktů Synapse | Umožňuje vytvářet, číst, aktualizovat a odstraňovat přístup k publikovaným artefaktům kódu a jejich výstupům, včetně plánovaných kanálů. Nezahrnuje oprávnění ke spouštění kódu nebo kanálů ani k udělení přístupu. Může číst publikované artefakty a publikovat artefakty Může zobrazit uložený poznámkový blok, úlohu Sparku a výstup kanálu. |
Pracovní prostor |
| Uživatel artefaktu Synapse | Čtení přístupu k publikovaným artefaktům kódu a jejich výstupům Může vytvářet nové artefakty, ale nemůže publikovat změny nebo spouštět kód bez dalších oprávnění. | Pracovní prostor |
| Operátor služby Synapse Compute | Odešlete úlohy Sparku a poznámkové bloky a zobrazíte protokoly. Zahrnuje zrušení úloh Sparku odeslaných libovolným uživatelem. Vyžaduje další oprávnění k použití přihlašovacích údajů pro identitu systému pracovního prostoru ke spouštění kanálů, zobrazení spuštění kanálu a výstupů. Může odesílat a rušit úlohy, včetně úloh odeslaných jinými uživateli , můžou zobrazit protokoly fondu Sparku. |
Modul runtime integrace fondu Sparku pracovního prostoru |
| Operátor monitorování Synapse | Přečtěte si publikované artefakty kódu, včetně protokolů a výstupů pro spuštění kanálu a dokončené poznámkové bloky. Zahrnuje možnost vypsat a zobrazit podrobnosti o fondech Apache Sparku, fondech Průzkumníku dat a modulech Integration Runtime. Vyžaduje další oprávnění ke spouštění nebo rušení kanálů, poznámkových bloků Sparku a úloh Sparku. | Pracovní prostor |
| Uživatel přihlašovacích údajů Synapse | Doba běhu a konfigurace používání tajných kódů v rámci přihlašovacích údajů a propojených služeb v aktivitách, jako jsou spuštění kanálu. Ke spuštění kanálů je tato role povinná a vymezená na identitu systému pracovního prostoru. Vymezený na přihlašovací údaje, umožňuje přístup k datům prostřednictvím propojené služby, která je chráněná přihlašovacími údaji (může také vyžadovat oprávnění k používání výpočetních prostředků) Umožňuje spouštění kanálů chráněných přihlašovacími údaji identity systému pracovního prostoru. |
Přihlašovací údaje propojené služby pracovního prostoru |
| Synapse Linked Data Manager | Vytváření a správa spravovaných privátních koncových bodů, propojených služeb a přihlašovacích údajů Může vytvořit spravované privátní koncové body, které používají propojené služby chráněné přihlašovacími údaji. | Pracovní prostor |
| Uživatel Synapse | Zobrazí seznam a zobrazení podrobností o fondech SQL, fondech Apache Spark, prostředích Integration Runtime a publikovaných propojených službách a přihlašovacích údajích. Nezahrnuje další publikované artefakty kódu. Může vytvářet nové artefakty, ale nemůže je spustit nebo publikovat bez dalších oprávnění. Může vypsat a číst fondy Sparku, prostředí Integration Runtime. |
Přihlašovací údaje k pracovnímu prostoru, fondu Sparku |
Role Synapse RBAC a akce, které umožňují
Poznámka:
- Všechny akce uvedené v následujících tabulkách mají předponu Microsoft.Synapse/..."
- Všechny akce čtení, zápisu a odstranění artefaktů jsou s ohledem na publikované artefakty v živé službě. Tato oprávnění nemají vliv na přístup k artefaktům v připojeném úložišti Git.
Následující tabulka uvádí předdefinované role a akce/oprávnění, které jednotlivé podporují.
| Role | Akce |
|---|---|
| Správce Synapse | workspaces/read workspaces/roleAssignments/write, odstranění pracovních prostorů/managedPrivateEndpoint/write, odstranění pracovních prostorů/bigDataPool/useCompute/action workspaces/bigDataPool/viewLogs/ action workspaces/scopePool/useCompute/action workspaces/scopePool/viewLogs/action workspaces/integrationRuntime/useCompute/action workspaces/integrationRuntime/viewLogs/action workspaces/artifacts/read workspaces/notebooks/write workspaces/sparkJobDefinitions/write, odstranění pracovních prostorů/scopeJobDefinitions/write, odstranění pracovních prostorů/sqlScripts/write, odstranění pracovních prostorů/dataFlows/write, odstranění pracovních prostorů/dataMappers/write, odstranění pracovních prostorů/pipelines/write, odstranění pracovních prostorů/triggerů/zápisu, odstranění pracovních prostorů/linkedServices/write, odstranění pracovních prostorů/přihlašovacích údajů/zápis, odstranění pracovních prostorů/poznámkových bloků/ odstranění pracovních prostorů/cancelPipelineRun/action workspaces/notebooksViewOutputs/action workspaces/pipelinesViewOutputs/action workspaces/linkedServicesUseSecret/action workspaces/credentialsUseSecret/action workspaces/libraries/write, delete workspaces/kQLScripts/write, delete workspaces/sparkConfigurations/write, delete workspaces/synapseLinkConnections/read, write, delete workspaces/synapseLinkConnections/ useCompute/action |
| Správce Synapse Apache Sparku | workspaces/read orkspaces/bigDataPoolUseCompute/action orkspaces/bigDataPoolViewLogs/action orkspaces/artifacts/read orkspaces/notebooks/write, delete orkspaces/sparkJobDefinitions/write, delete orkspaces/linkedServices/write, delete orkspaces/credentials/write, delete orkspaces/libraries/write, delete orkspaces/notebooksViewOutputs/action |
| Správce Synapse SQL | workspaces/read workspaces/artifacts/read workspaces/sqlScripts/write, delete workspaces/linkedServices/write, delete workspaces/credentials/write, delete |
| Správce oboru Synapse | workspaces/read workspaces/scopePoolUseCompute/action workspaces/scopePoolViewLogs/action workspaces/linkedServices/write, delete workspaces/credentials/write, delete workspaces/scopeJobDefinitions/write, delete |
| Synapse Private Endpoint Manager | workspaces/read workspaces/managedPrivateEndpoint/write, delete workspaces/linkedServices/write, delete workspaces/credentials/write, delete |
| Přispěvatel Synapse | workspaces/read workspaces/bigDataPool/useCompute/action workspaces/bigDataPool/viewLogs/action workspaces/scopePool/useCompute/action workspaces/scopePool/viewLogs/action workspaces/integrationRuntime/useCompute/action workspaces/integrationRuntime/viewLogs/action workspaces/artifacts/read workspaces/notebooks/write, odstranění pracovních prostorů/sparkJobDefinitions/write, odstranění pracovních prostorů/sqlScripts/write, odstranění workspaces/dataFlows/write, delete workspaces/dataMappers/write, delete workspaces/pipelines/write, delete workspaces/triggers/write, delete workspaces/datasets/write, delete workspaces/linkedServices/write, delete workspaces/credentials/write, delete workspaces/cancelPipelineRun/action workspaces/notebooksViewOutputs/action workspaces/pipelinesViewOutputs/action workspaces/library/write, delete workspaces/kQLScripts/write, delete workspaces/sparkConfigurations/write, delete workspaces/synapseLinkConnections/read,write, delete workspaces/synapseLinkConnections/useComputeAction |
| Vydavatel artefaktů Synapse | workspaces/read workspaces/artifacts/read workspaces/notebooks/write, odstraňte pracovní prostory/sparkJobDefinitions/write, odstraňte pracovní prostory/scopeJobDefinitions/write, delete workspaces/sqlScripts/write, delete workspaces/dataFlows/write, delete workspaces/dataMappers/write, delete workspaces/pipelines/write, delete workspaces/triggers/write, delete workspaces/datasets/write, delete workspaces/linkedServices/write, odstranění pracovních prostorů/credentials/write, odstranění pracovních prostorů/notebooksViewOutputs/action workspaces/pipelinesViewOutputs/action workspaces/libraries/write, delete workspaces/kQLScripts/write, delete workspaces/sparkConfigurations/write, delete |
| Uživatel artefaktu Synapse | workspaces/read workspaces/artifacts/read workspaces/notebooks/viewOutputs/action workspaces/pipelines/viewOutputs/action |
| Operátor služby Synapse Compute | workspaces/read workspaces/bigDataPools/useCompute/action workspaces/bigDataPools/viewLogs/action workspaces/scopePool/useCompute/action workspaces/scopePool/viewLogs/action workspaces/action workspaces/integrationRuntimes/useCompute/action workspaces/integrationRuntimes/viewLogs/action workspaces/cancelPipelineRun/action workspaces/linkConnections/read workspaces/linkConnections/useCompute/action |
| Operátor monitorování Synapse | workspaces/read workspaces/artifacts/read workspaces/notebooks/viewOutputs/action workspaces/pipelines/viewOutputs/action workspaces/integrationRuntimes/viewLogs/action workspaces/bigDataPools/viewLogs/action |
| Uživatel přihlašovacích údajů Synapse | workspaces/read workspaces/linkedServices/useSecret/action workspaces/credentials/useSecret/action |
| Synapse Linked Data Manager | workspaces/read workspaces/managedPrivateEndpoint/write, delete workspaces/linkedServices/write, delete workspaces/credentials/write, delete |
| Uživatel Synapse | pracovní prostory/čtení |
Akce Synapse RBAC a role, které jim umožňují
Následující tabulka uvádí akce Synapse a předdefinované role, které umožňují tyto akce:
| Akce | Role |
|---|---|
| pracovní prostory/čtení | Synapse Administrator Synapse Administrator Synapse Apache Spark Administrator Synapse SQL Administrator Synapse Contributor Synapse Artifact Publisher Synapse Artifact User Synapse Compute Operator Synapse Monitoring Operator Synapse Credential User Synapse Linked Data Manager Synapse User Synapse User Synapse |
| workspaces/roleAssignments/write, delete | Správce Synapse |
| workspaces/managedPrivateEndpoint/write, delete | Synapse Administrator Synapse Linked Data Manager |
| workspaces/bigDataPools/useCompute/action | Synapse Administrator Synapse Administrator Synapse Apache Spark Administrator Synapse Contributor Synapse Compute Operator Synapse Monitoring Operator |
| workspaces/bigDataPools/viewLogs/action | Synapse Administrator Synapse Administrator Synapse Apache Spark Administrator Synapse Contributor Synapse Compute Operator |
| workspaces/integrationRuntimes/useCompute/action | Synapse Administrator Synapse Contributor Synapse Compute Operator Synapse Monitoring Operator |
| workspaces/integrationRuntimes/viewLogs/action | Synapse Administrator Synapse Contributor Synapse Compute Operator Synapse Monitoring Operator |
| workspaces/linkConnections/read | Synapse Administrator Synapse Contributor Synapse Compute – operátor synapse |
| workspaces/linkConnections/useCompute/action | Synapse Administrator Synapse Contributor Synapse Compute – operátor synapse |
| pracovní prostory, artefakty/ čtení | Synapse Administrator Synapse Administrator Synapse Apache Spark Administrator Synapse SQL Administrator Synapse Contributor Synapse Artifact Publisher Synapse Artifact User Synapse |
| pracovní prostory, poznámkové bloky, zápis, odstranění | Synapse Administrator Synapse Administrator Synapse Apache Spark Administrator Synapse Contributor Synapse Artifact Publisher |
| workspaces/sparkJobDefinitions/write, delete | Synapse Administrator Synapse Administrator Synapse Apache Spark Administrator Synapse Contributor Synapse Artifact Publisher |
| workspaces/sqlScripts/write, delete | Synapse Administrator Synapse SQL Administrator Synapse Contributor Synapse Artifact Publisher Synapse Administrator Synapse |
| workspaces/kqlScripts/write, delete | Synapse Administrator Synapse Contributor Synapse Artifact Publisher |
| workspaces/dataFlows/write, delete | Synapse Administrator Synapse Contributor Synapse Artifact Publisher |
| pracovní prostory, kanály/ zápis, odstranění | Synapse Administrator Synapse Contributor Synapse Artifact Publisher |
| workspaces/linkConnections/write, delete | Přispěvatel Synapse Administrator Synapse |
| workspaces/triggers/write, delete | Synapse Administrator Synapse Contributor Synapse Artifact Publisher |
| workspaces/datasets/write, delete | Synapse Administrator Synapse Contributor Synapse Artifact Publisher |
| pracovní prostory/ knihovny/ zápis, odstranění | Synapse Administrator Synapse Administrator Synapse Apache Spark Administrator Synapse Contributor Synapse Artifact Publisher |
| workspaces/linkedServices/write, delete | Synapse Administrator Synapse Administrator Synapse Apache Spark Administrator Synapse SQL Administrator Synapse Contributor Synapse Artifact Publisher Synapse Linked Data Manager |
| pracovní prostory/ přihlašovací údaje/ zápis, odstranění | Synapse Administrator Synapse Administrator Synapse Apache Spark Administrator Synapse SQL Administrator Synapse Contributor Synapse Artifact Publisher Synapse Linked Data Manager |
| workspaces/notebooks/viewOutputs/action | Synapse Administrator Synapse Administrator Synapse Apache Spark Administrator Synapse Contributor Synapse Artifact User Synapse Artifact |
| workspaces/pipelines/viewOutputs/action | Synapse Administrator Synapse Contributor Synapse Artifact Synapse Artifact User |
| workspaces/linkedServices/useSecret/action | Uživatel přihlašovacích údajů Synapse správce Synapse |
| workspaces/credentials/useSecret/action | Uživatel přihlašovacích údajů Synapse správce Synapse |
Obory Synapse RBAC a jejich podporované role
Následující tabulka uvádí obory Synapse RBAC a role, které je možné přiřadit v každém oboru.
Poznámka:
Pokud chcete vytvořit nebo odstranit objekt, musíte mít oprávnění na vyšší úrovni.
| Obor | Role |
|---|---|
| Pracovní prostor | Synapse Administrator Synapse Administrator Synapse Apache Spark Administrator Synapse SQL Administrator Synapse Contributor Synapse Artifact Publisher Synapse Artifact User Synapse Compute Operator Synapse Monitoring Operator Synapse Credential User Synapse Linked Data Manager Synapse User Synapse User Synapse |
| Fond Apache Sparku | Synapse Administrator Synapse Contributor Synapse Compute – operátor synapse |
| Prostředí Integration Runtime | Synapse Administrator Synapse Contributor Synapse Compute – operátor synapse |
| Propojená služba | Uživatel přihlašovacích údajů Synapse správce Synapse |
| Reference | Uživatel přihlašovacích údajů Synapse správce Synapse |
Poznámka:
Všechny role a akce artefaktů jsou vymezeny na úrovni pracovního prostoru.
Další kroky
- Zjistěte , jak zkontrolovat přiřazení rolí RBAC Synapse pro pracovní prostor.
- Zjistěte , jak přiřadit role Synapse RBAC.