Rôles RBAC Synapse
L’article décrit les rôles RBAC (contrôle d’accès en fonction du rôle) Synapse intégrés, les autorisations qu’ils accordent, ainsi que les étendues au niveau desquelles ils peuvent être utilisés.
Pour plus d’informations sur l’examen et l’attribution des appartenances aux rôles Synapse, consultez Guide pratique pour passer en revue les attributions de rôles RBAC Synapse et Guide pratique pour attribuer des rôles RBAC Synapse.
Rôles RBAC Synapse intégrés et étendues
Le tableau suivant décrit les rôles intégrés et les étendues à partir desquelles ils peuvent être utilisés.
Notes
Les utilisateurs disposant d’un rôle RBAC Synapse dans n’importe quelle étendue disposent automatiquement du rôle d’Utilisateur Synapse dans l’étendue de l’espace de travail.
Important
Les rôles RBAC Synapse n’accordent pas d’autorisations pour créer ou gérer des pools SQL, des pools Apache Spark et des runtimes d’intégration dans les espaces de travail Azure Synapse. Les rôles de propriétaire Azure ou de contributeur Azure sur le groupe de ressources sont requis pour ces actions.
| Role | Autorisations | Étendues |
|---|---|---|
| Administrateur Synapse | Accès complet de Synapse aux pools SQL serverless et dédiés, aux pools Data Explorer, aux pools Apache Spark et aux runtimes d’intégration. Comprend un accès en création, lecture, mise à jour et suppression portant sur tous les artefacts de code publiés. Comprend les autorisations d’opérateur de calcul, de gestionnaire des données liées et d’utilisateur d’informations d’identification sur les informations d’identification système de l’espace de travail. Comprend l’attribution de rôles RBAC Synapse. En plus de l’administrateur Synapse, les propriétaires Azure peuvent également attribuer des rôles Synapse RBAC. Des autorisations Azure sont requises pour créer, supprimer et gérer des ressources de calcul. Les rôles RBAC Synapse peuvent être attribués même lorsque l’abonnement associé est désactivé. Peut lire et écrire des artefacts Peut effectuer toutes les actions sur les activités Spark. Peut afficher les journaux des pools Spark Peut afficher le notebook enregistré et la sortie du pipeline Peut utiliser les secrets stockés par les services liés ou les informations d’identification Peut attribuer et révoquer des rôles RBAC Synapse au niveau de l’étendue actuelle |
Espace de travail pool Spark Runtime d'intégration Service lié Informations d’identification |
| Administrateur Synapse Apache Spark |
Accès Synapse complet aux pools Apache Spark. Accès en création, lecture, mise à jour et suppression aux définitions de travail Spark publiées, aux notebooks et à leurs sorties, ainsi qu’aux bibliothèques, services liés et informations d’identification. Comprend un accès en lecture à tous les autres artefacts de code publiés. Ne permet pas d’utiliser des informations d’identification et d’exécuter des pipelines. Ne comprend pas l’octroi d’accès. Peut effectuer toutes les actions sur les artefacts Spark Peut effectuer toutes les actions sur les activités Spark |
Espace de travail Pool Spark |
| Administrateur Synapse SQL | Accès Synapse complet aux pools SQL serverless. Accès en création, lecture, mise à jour et suppression aux scripts SQL publiés, informations d’identification et services liés. Comprend un accès en lecture à tous les autres artefacts de code publiés. Ne permet pas d’utiliser des informations d’identification et d’exécuter des pipelines. Ne comprend pas l’octroi d’accès. Permet d’effectuer toutes les actions sur les scripts SQL Peut se connecter à des points de terminaison SQL serverless avec les autorisations SQL db_datareader, db_datawriter, connect et grant |
Espace de travail |
| Contributeur Synapse | Accès Synapse complet aux pools Apache Spark et runtimes d’intégration. Comprend un accès en création, lecture, mise à jour et suppression à tous les artefacts de code publiés et leurs sorties, y compris les pipelines planifiés, les informations d’identification et les services liés. Comprend les autorisations d’opérateur de calcul. Ne permet pas d’utiliser des informations d’identification et d’exécuter des pipelines. Ne comprend pas l’octroi d’accès. Peut lire et écrire des artefacts Peut afficher le notebook enregistré et la sortie du pipeline Peut effectuer toutes les actions sur les activités Spark Peut afficher les journaux des pools Spark |
Espace de travail pool Spark Runtime d’intégration |
| Éditeur d'artefact Synapse | Accès en création, lecture, mise à jour et suppression portant sur les artefacts de code publiés et leurs sorties, y-compris les pipelines planifiés. Ne comprend pas l’autorisation d’exécuter du code ou des pipelines, ou d’accorder l’accès. Peut lire les artefacts publiés et publier des artefacts Peut afficher le notebook enregistré, le travail Spark et la sortie du pipeline |
Espace de travail |
| Utilisateur d'artefact Synapse | Accès en lecture portant sur les artefacts de code publiés et leurs sorties. Peut créer des artefacts, mais ne peut pas publier de modifications, ni exécuter du code sans autorisations additionnelles. | Espace de travail |
| Opérateur de capacité de calcul Synapse | Soumettre des travaux et des notebooks Spark et afficher les journaux. Comprend l’annulation des travaux Spark soumis par n’importe quel utilisateur. Nécessite d’autres autorisations d’utilisation des informations d’identification sur l’identité du système de l’espace de travail pour exécuter des pipelines, afficher des exécutions de pipeline et des sorties. Peut soumettre et annuler des travaux, y compris des travaux soumis par d’autres Peut afficher les journaux des pools Spark |
Espace de travail Pool Spark Runtime d’intégration |
| Opérateur de surveillance Synapse | Lire les artefacts de code publiés, y compris les journaux et les sorties des exécutions de pipeline et des notebooks terminés. Inclut la possibilité de lister et d’afficher des détails sur les pools Apache Spark, les pools Data Explorer et les runtimes d’intégration. Nécessite d’autres autorisations pour exécuter/annuler des pipelines, des blocs-notes Spark et des travaux Spark. | Espace de travail |
| Utilisateur d’informations d’identification Synapse | Exécution et configuration, utilisation des secrets dans les informations d’identification et des services liés dans des activités telles que les exécutions de pipeline. Pour exécuter des pipelines, ce rôle est requis, étendu à l’identité du système de l’espace de travail. Étendu à des informations d’identification, permet l’accès aux données via un service lié protégé par des informations d’identification (nécessite également une autorisation d’utilisation du calcul) Permet l’exécution de pipelines protégés par les informations d’identification de l’identité du système de l’espace de travail |
Espace de travail Service lié Informations d’identification |
| Gestionnaire des données liées Synapse | Création et gestion des points de terminaison privés managés, des services liés et des informations d’identification. Peut créer des points de terminaison privés managés utilisant des services liés protégés par des informations d’identification | Espace de travail |
| Utilisateur Synapse | Répertorier et afficher les détails des pools SQL, des pools Apache Spark, des runtimes d’intégration, des services liés et informations d’identification publiés. Ne comprend pas d’autres artefacts de code publiés. Peut créer des artefacts, mais ne peut pas exécuter ou publier sans autorisations additionnelles. Peut répertorier et lire les pools Spark, les runtimes d’intégration. |
Espace de travail, pool Spark Service lié Informations d’identification |
Rôles RBAC Synapse et actions qu’ils permettent
Notes
- Toutes les actions répertoriées dans les tableaux ci-dessous sont préfixées, « Microsoft.Synapse/... »
- Toutes les actions de lecture, d’écriture et de suppression d’artefacts portent sur les artefacts publiés dans le service en ligne. Ces autorisations n’affectent pas l’accès aux artefacts d’un référentiel Git connecté.
Le tableau suivant répertorie les rôles intégrés et les actions/autorisations prises en charge par chacun.
| Rôle | Actions |
|---|---|
| Administrateur Synapse | workspaces/read workspaces/roleAssignments/write, delete workspaces/managedPrivateEndpoint/write, supprimer workspaces/bigDataPool/useCompute/action workspaces/bigDataPool/viewLogs/action workspaces/scopePool/useCompute/action workspaces/scopePool/viewLogs/action workspaces/integrationRuntime/useCompute/action workspaces/integrationRuntime/viewLogs/action workspaces/artifacts/read workspaces/notebooks/write workspaces/sparkJobDefinitions/write,supprimer espaces de travail/scopeJobDefinitions/write, supprimer espaces de travail/sqlScripts/write, supprimer espaces de travail/dataFlows/write, supprimer espaces de travail/dataMappers/write, supprimer espace de travail/pipelines/write, supprimer espaces de travail/déclencheurs/write, supprimer espaces de travail/jeux de données/write, supprimer espaces de travail/Services liés/write, supprimer espaces de travail/informations d'identification/write, supprimer espaces de travail/blocs-notes/supprimer espaces de travail/cancelPipelineRun/action espaces de travail/notebooksViewOutputs/action espaces de travail/pipelinesViewOutputs/action espaces de travail/linkedServicesUseSecret/action espaces de travail/credentialsUseSecret/action espaces de travail/libraries/write, supprimer espaces de travail/kQLScripts/write, supprimer espace de travail/sparkConfigurations/write, supprimer espaces de travail/synapseLinkConnections/read, write, supprimer espaces de travail/synapseLinkConnections/useCompute/action |
| Administrateur Synapse Apache Spark | espaces de travail/read orkspaces/bigDataPoolUseCompute/action orkspaces/bigDataPoolViewLogs/action orkspaces/artefacts/read orkspaces/blocs-notes/write, supprimer espaces de travail/sparkJobDefinitions/write, supprimer espace de travail/Services liés/write, supprimer espaces de travail/informations d'identification/write, supprimer espaces de travail/librairies/write, supprimer espaces de travail/blocs-notes/action |
| Administrateur Synapse SQL | workspaces/read workspaces/artifacts/read workspaces/sqlScripts/write, delete workspaces/linkedServices/write, delete workspaces/credentials/write, delete |
| Administrateur(-trice) Scope Synapse | espaces de travail/read espaces de travail/scopePoolUseCompute/action espaces de travail/scopePoolViewLogs/action espaces de travail/linkedServices/write, supprimer espaces de travail/informations d'identification/write, supprimer espaces de travail/scopeJobDefinitions/write, supprimer |
| Synapse Private Endpoint Manager | workspaces/read workspaces/managedPrivateEndpoint/write, delete workspaces/linkedServices/write, delete workspaces/credentials/write, delete |
| Contributeur Synapse | espaces de travail/read espaces de travail/bigDataPool/useCompute/action espaces de travail/bigDataPool/viewLogs/action espaces de travail/scopePool/useCompute/action espaces de travail/scopePool/viewLogs/action espaces de travail/integrationRuntime/useCompute/action espaces de travail/integrationRuntime/viewLogs/action espaces de travail/artifacts/read espaces de travail/notebooks/write, supprimer espaces de travail/sparkJobDefinitions/write, supprimer espaces de travail/sqlScripts/write, supprimer espaces de travail/dataFlows/write, supprimer espaces de travail/dataMappers/write, supprimer espaces de travail/pipelines/write, supprimer espaces de travail/triggers/write, supprimer espaces de travail/datasets/write, supprimer espaces de travail/linkedServices/write, supprimer espaces de travail/credentials/write, supprimer espaces de travail/cancelPipelineRun/action espaces de travail/notebooksViewOutputs/action espaces de travail/pipelinesViewOutputs/action espaces de travail/libraries/write, supprimer espaces de travail/kQLScripts/write, supprimer espaces de travail/sparkConfigurations/write, supprimer espaces de travail/synapseLinkConnections/read,write, supprimer espaces de travail/synapseLinkConnections/useComputeAction |
| Éditeur d'artefact Synapse | workspaces/read workspaces/artifacts/read workspaces/notebooks/write, delete workspaces/sparkJobDefinitions/write, delete workspaces/scopeJobDefinitions/write, delete workspaces/sqlScripts/write, delete workspaces/dataFlows/write, delete workspaces/dataMappers/write, delete workspaces/pipelines/write, delete workspaces/triggers/write, supprimer workspaces/datasets/write, supprimer workspaces/linkedServices/write, supprimer workspaces/credentials/write, supprimer workspaces/notebooksViewOutputs/action workspaces/pipelinesViewOutputs/action workspaces/libraries/write, supprimer workspaces/kQLScripts/write, supprimer workspaces/sparkConfigurations/write, supprimer |
| Utilisateur d'artefact Synapse | workspaces/read workspaces/artifacts/read workspaces/notebooks/viewOutputs/action workspaces/pipelines/viewOutputs/action |
| Opérateur de capacité de calcul Synapse | espaces de travail/read espaces de travail/bigDataPools/useCompute/action espaces de travail/bigDataPools/viewLogs/action espaces de travail/scopePool/useCompute/action espaces de travail/scopePool/viewLogs/action espaces de travail/integrationRuntimes/useCompute/action espaces de travail/integrationRuntimes/viewLogs/action espaces de travail/cancelPipelineRun/action espaces de travail/linkConnections/read espaces de travail/linkConnections/useCompute/action |
| Opérateur de surveillance Synapse | workspaces/read workspaces/artifacts/read workspaces/notebooks/viewOutputs/action workspaces/pipelines/viewOutputs/action workspaces/integrationRuntimes/viewLogs/action workspaces/bigDataPools/viewLogs/action |
| Utilisateur d’informations d’identification Synapse | workspaces/read workspaces/linkedServices/useSecret/action workspaces/credentials/useSecret/action |
| Gestionnaire des données liées Synapse | workspaces/read workspaces/managedPrivateEndpoint/write, delete workspaces/linkedServices/write, delete workspaces/credentials/write, delete |
| Utilisateur Synapse | workspaces/read |
Actions RBAC Synapse et rôles qui les permettent
Le tableau suivant répertorie les actions Synapse et les rôles intégrés qui permettent ces actions :
| Action | Role |
|---|---|
| workspaces/read | Synapse Administrator Synapse Apache Spark Administrator Synapse SQL Administrator Synapse Contributor Synapse Artifact Publisher Synapse Artifact User Synapse Compute Operator Synapse Monitoring Operator Synapse Credential User Synapse Linked Data Manager Synapse User |
| workspaces/roleAssignments/write, delete | Administrateur Synapse |
| workspaces/managedPrivateEndpoint/write, delete | Administrateur Synapse Gestionnaire des données liées Synapse |
| workspaces/bigDataPools/useCompute/action | Synapse Administrator Synapse Apache Spark Administrator Synapse Contributor Synapse Compute Operator Synapse Monitoring Operator |
| workspaces/bigDataPools/viewLogs/action | Administrateur Synapse Administrateur Synapse Apache Spark Contributeur Synapse Opérateur de capacité de calcul Synapse |
| workspaces/integrationRuntimes/useCompute/action | Synapse Administrator Synapse Contributor Synapse Compute Operator Synapse Monitoring Operator |
| workspaces/integrationRuntimes/viewLogs/action | Synapse Administrator Synapse Contributor Synapse Compute Operator Synapse Monitoring Operator |
| workspaces/linkConnections/read | Administrateur Synapse Contributeur Synapse Opérateur de capacité de calcul Synapse |
| workspaces/linkConnections/useCompute/action | Administrateur Synapse Contributeur Synapse Opérateur de capacité de calcul Synapse |
| workspaces/artifacts/read | Administrateur Synapse Administrateur Synapse Apache Spark Administrateur Synapse SQL Contributeur Synapse Éditeur d’artefact Synapse Utilisateur d’artefact Synapse |
| workspaces/notebooks/write, delete | Administrateur Synapse Administrateur Synapse Apache Spark Contributeur Synapse Éditeur d’artefact Synapse |
| workspaces/sparkJobDefinitions/write, delete | Administrateur Synapse Administrateur Synapse Apache Spark Contributeur Synapse Éditeur d’artefact Synapse |
| workspaces/sqlScripts/write, delete | Administrateur Synapse Administrateur Synapse SQL Contributeur Synapse Éditeur d’artefact Synapse |
| workspaces/kqlScripts/write, delete | Administrateur Synapse Contributeur Synapse Éditeur d’artefact Synapse |
| workspaces/dataFlows/write, delete | Administrateur Synapse Contributeur Synapse Éditeur d’artefact Synapse |
| workspaces/pipelines/write, delete | Administrateur Synapse Contributeur Synapse Éditeur d’artefact Synapse |
| workspaces/linkConnections/write, delete | Contributeur Synapse Administrator Synapse |
| workspaces/triggers/write, delete | Administrateur Synapse Contributeur Synapse Éditeur d’artefact Synapse |
| workspaces/datasets/write, delete | Administrateur Synapse Contributeur Synapse Éditeur d’artefact Synapse |
| workspaces/libraries/write, delete | Administrateur Synapse Administrateur Synapse Apache Spark Contributeur Synapse Éditeur d’artefact Synapse |
| workspaces/linkedServices/write, delete | Administrateur Synapse Administrateur Synapse Apache Spark Administrateur Synapse SQL Contributeur Synapse Éditeur d’artefact Synapse Gestionnaire des données liées Synapse |
| workspaces/credentials/write, delete | Administrateur Synapse Administrateur Synapse Apache Spark Administrateur Synapse SQL Contributeur Synapse Éditeur d’artefact Synapse Gestionnaire des données liées Synapse |
| workspaces/notebooks/viewOutputs/action | Administrateur Synapse Administrateur Synapse Apache Spark Contributeur Synapse Éditeur d’artefact Synapse Utilisateur d’artefact Synapse |
| workspaces/pipelines/viewOutputs/action | Administrateur Synapse Contributeur Synapse Éditeur d’artefact Synapse Utilisateur d’artefact Synapse |
| workspaces/linkedServices/useSecret/action | Administrateur Synapse Utilisateur d’informations d’identification Synapse |
| workspaces/credentials/useSecret/action | Administrateur Synapse Utilisateur d’informations d’identification Synapse |
Étendues RBAC Synapse et rôles correspondants pris en charge
Le tableau ci-dessous répertorie les étendues RBAC Synapse et les rôles qui pouvant être attribués à chaque étendue.
Notes
Pour créer ou supprimer un objet, vous devez disposer d’autorisations dans une étendue de niveau supérieur.
| Étendue | Rôles |
|---|---|
| Espace de travail | Synapse Administrator Synapse Apache Spark Administrator Synapse SQL Administrator Synapse Contributor Synapse Artifact Publisher Synapse Artifact User Synapse Compute Operator Synapse Monitoring Operator Synapse Credential User Synapse Linked Data Manager Synapse User |
| Pool Apache Spark | Administrateur Synapse Contributeur Synapse Opérateur de capacité de calcul Synapse |
| Runtime d’intégration | Administrateur Synapse Contributeur Synapse Opérateur de capacité de calcul Synapse |
| Service lié | Administrateur Synapse Utilisateur d’informations d’identification Synapse |
| Informations d'identification | Administrateur Synapse Utilisateur d’informations d’identification Synapse |
Notes
Tous les rôles et actions d’artefact sont étendus au niveau de l’espace de travail.
Étapes suivantes
- Découvrir comment passer en revue les attributions de rôles RBAC Synapse pour un espace de travail
- Découvrir comment attribuer des rôles RBAC Synapse