Role RBAC usługi Synapse
W tym artykule opisano wbudowane role kontroli dostępu opartej na rolach (kontrola dostępu oparta na rolach), uprawnienia, które udzielają, oraz zakresy, w których mogą być używane.
Aby uzyskać więcej informacji na temat przeglądania i przypisywania członkostwa w rolach usługi Synapse, zobacz jak przejrzeć przypisania ról RBAC usługi Synapse i jak przypisać role RBAC usługi Synapse.
Wbudowane role i zakresy kontroli dostępu opartej na rolach usługi Synapse
W poniższej tabeli opisano wbudowane role i zakresy, w których można ich używać.
Uwaga
Użytkownicy z dowolną rolą RBAC usługi Synapse w dowolnym zakresie automatycznie mają rolę użytkownika usługi Synapse w zakresie obszaru roboczego.
Ważne
Role RBAC usługi Synapse nie udzielają uprawnień do tworzenia pul SQL, pul platformy Apache Spark i środowisk Integration Runtime w obszarach roboczych usługi Azure Synapse ani zarządzania nimi. Role Właściciel platformy Azure lub Współautor platformy Azure w grupie zasobów są wymagane dla tych akcji.
Rola | Uprawnienia | Zakresy |
---|---|---|
Administrator Synapse | Pełny dostęp usługi Synapse do bezserwerowych i dedykowanych pul SQL, pul eksploratora danych, pul platformy Apache Spark i środowisk Integration Runtime. Obejmuje tworzenie, odczytywanie, aktualizowanie i usuwanie dostępu do wszystkich opublikowanych artefaktów kodu. Obejmuje uprawnienia operatora obliczeniowego, połączonego menedżera danych i użytkownika poświadczeń w poświadczeniu tożsamości systemu obszaru roboczego. Obejmuje przypisywanie ról RBAC usługi Synapse. Oprócz usługi Synapse Administracja istrator właściciele platformy Azure mogą również przypisywać role RBAC usługi Synapse. Uprawnienia platformy Azure są wymagane do tworzenia, usuwania zasobów obliczeniowych i zarządzania nimi. Role RBAC usługi Synapse można przypisać nawet wtedy, gdy skojarzona subskrypcja jest wyłączona. Może odczytywać i zapisywać artefakty Mogą wykonywać wszystkie akcje w działaniach platformy Spark. Może wyświetlać dzienniki puli platformy Spark Może wyświetlać zapisane dane wyjściowe notesu i potoku Może używać wpisów tajnych przechowywanych przez połączone usługi lub poświadczenia Mogą przypisywać i odwoływać role RBAC usługi Synapse w bieżącym zakresie |
Pula platformy Spark obszaru roboczego Poświadczenia połączonej usługi środowiska Integration Runtime |
Usługa Synapse Apache Spark Administracja istrator |
Pełny dostęp usługi Synapse do pul platformy Apache Spark. Tworzenie, odczytywanie, aktualizowanie i usuwanie dostępu do opublikowanych definicji zadań platformy Spark, notesów i ich danych wyjściowych oraz bibliotek, połączonych usług i poświadczeń. Obejmuje dostęp do odczytu do wszystkich innych opublikowanych artefaktów kodu. Nie obejmuje uprawnień do używania poświadczeń i uruchamiania potoków. Nie obejmuje udzielania dostępu. Może wykonywać wszystkie akcje dotyczące artefaktów platformy Spark Może wykonywać wszystkie akcje w działaniach platformy Spark |
Pula platformy Spark obszaru roboczego |
Usługa Synapse SQL Administracja istrator | Pełny dostęp usługi Synapse do bezserwerowych pul SQL. Tworzenie, odczytywanie, aktualizowanie i usuwanie dostępu do opublikowanych skryptów SQL, poświadczeń i połączonych usług. Obejmuje dostęp do odczytu do wszystkich innych opublikowanych artefaktów kodu. Nie obejmuje uprawnień do używania poświadczeń i uruchamiania potoków. Nie obejmuje udzielania dostępu. Może wykonywać wszystkie akcje dotyczące skryptów SQL Może łączyć się z punktami końcowymi bezserwerowymi SQL przy użyciu uprawnień SQL db_datareader , db_datawriter , connect i grant |
Obszar roboczy |
Współautor usługi Synapse | Pełny dostęp usługi Synapse do pul platformy Apache Spark i środowisk Integration Runtime. Obejmuje dostęp do tworzenia, odczytu, aktualizowania i usuwania wszystkich opublikowanych artefaktów kodu oraz ich danych wyjściowych, w tym zaplanowanych potoków, poświadczeń i połączonych usług. Obejmuje uprawnienia operatora obliczeniowego. Nie obejmuje uprawnień do używania poświadczeń i uruchamiania potoków. Nie obejmuje udzielania dostępu. Może odczytywać i zapisywać artefakty Mogą wyświetlać zapisane notesy i dane wyjściowe potoku Może wykonywać wszystkie akcje w działaniach platformy Spark Może wyświetlać dzienniki puli platformy Spark |
Pula platformy Spark obszaru roboczego Integration Runtime (Produkt Integration Runtime) |
Wydawca artefaktów usługi Synapse | Tworzenie, odczytywanie, aktualizowanie i usuwanie dostępu do opublikowanych artefaktów kodu i ich danych wyjściowych, w tym zaplanowanych potoków. Nie obejmuje uprawnień do uruchamiania kodu lub potoków ani udzielania dostępu. Może odczytywać opublikowane artefakty i publikować artefakty Mogą wyświetlać zapisany notes, zadanie platformy Spark i dane wyjściowe potoku |
Obszar roboczy |
Użytkownik artefaktu usługi Synapse | Odczyt dostępu do opublikowanych artefaktów kodu i ich danych wyjściowych. Może tworzyć nowe artefakty, ale nie może publikować zmian ani uruchamiać kodu bez dodatkowych uprawnień. | Obszar roboczy |
Synapse Compute Operator | Przesyłanie zadań i notesów platformy Spark oraz wyświetlanie dzienników. Obejmuje anulowanie zadań platformy Spark przesłanych przez dowolnego użytkownika. Wymaga dodatkowego użycia uprawnień poświadczeń w tożsamości systemu obszaru roboczego do uruchamiania potoków, wyświetlania przebiegów potoków i danych wyjściowych. Może przesyłać i anulować zadania, w tym zadania przesłane przez inne osoby mogą wyświetlać dzienniki puli platformy Spark |
Środowisko Integration Runtime puli Spark obszaru roboczego |
Operator monitorowania usługi Synapse | Odczytywanie opublikowanych artefaktów kodu, w tym dzienników i danych wyjściowych dla przebiegów potoków i ukończonych notesów. Obejmuje możliwość wyświetlania i wyświetlania szczegółów pul platformy Apache Spark, pul eksploratora danych i środowisk Integration Runtime. Wymaga dodatkowych uprawnień do uruchamiania/anulowania potoków, notesów platformy Spark i zadań platformy Spark. | Obszar roboczy |
Użytkownik poświadczeń usługi Synapse | Czas wykonywania i czas konfiguracji użycia wpisów tajnych w ramach poświadczeń i połączonych usług w działaniach, takich jak uruchomienia potoku. Aby uruchamiać potoki, ta rola jest wymagana w zakresie tożsamości systemu obszaru roboczego. W zakresie poświadczeń zezwala na dostęp do danych za pośrednictwem połączonej usługi chronionej przy użyciu poświadczeń (może również wymagać uprawnienia do użycia obliczeniowego) Umożliwia wykonywanie potoków chronionych przez poświadczenia tożsamości systemu obszaru roboczego |
Poświadczenia połączonej usługi obszaru roboczego |
Menedżer połączonych danych usługi Synapse | Tworzenie zarządzanych prywatnych punktów końcowych, połączonych usług i poświadczeń oraz zarządzanie nimi. Może tworzyć zarządzane prywatne punkty końcowe korzystające z połączonych usług chronionych przez poświadczenia | Obszar roboczy |
Użytkownik usługi Synapse | Wyświetlanie i wyświetlanie szczegółów pul SQL, pul platformy Apache Spark, środowisk Integration Runtime oraz opublikowanych połączonych usług i poświadczeń. Nie zawiera innych opublikowanych artefaktów kodu. Może tworzyć nowe artefakty, ale nie może uruchamiać ani publikować bez dodatkowych uprawnień. Może wyświetlać listę i odczytywać pule platformy Spark, środowiska Integration Runtime. |
Obszar roboczy, połączona usługa puli Platformy Spark — poświadczenia |
Role RBAC usługi Synapse i akcje, na które zezwalają
Uwaga
- Wszystkie akcje wymienione w poniższych tabelach mają prefiks "Microsoft.Synapse/..."
- Wszystkie akcje odczytu, zapisu i usuwania artefaktów są zgodne z opublikowanymi artefaktami w usłudze na żywo. Te uprawnienia nie mają wpływu na dostęp do artefaktów w połączonym repozytorium Git.
W poniższej tabeli wymieniono wbudowane role oraz akcje/uprawnienia, które obsługują poszczególne funkcje.
Rola | Akcje |
---|---|
Administrator Synapse | workspaces/read workspaces/roleAssignments/write, usuwanie obszarów roboczych/managedPrivateEndpoint/write, usuwanie obszarów roboczych/bigDataPools/useCompute/action workspaces/bigDataPools/viewLogs/action workspaces/integrationRuntimes/useCompute/action workspaces/integrationRuntimes/viewLogs/action workspaces/artifacts/read workspaces/write, delete workspaces/sparkJobDefinitions/write, delete workspaces/sqlScripts/ write, delete workspaces/kqlScripts/write, delete workspaces/dataFlows/write, delete workspaces/pipelines/write, delete workspaces/triggers/write, delete workspaces/datasets/write, delete workspaces/libraries/write, delete workspaces/linkedServices/write, delete workspaces/credentials/write, delete workspaces/notebooks/viewOutputs/action workspaces/viewOutputs/viewOutputs/action workspaces/ linkedServices/useSecret/action workspaces/credentials/useSecret/action workspaces/link Połączenie ions/read workspaces/link Połączenie ions/write workspaces/link Połączenie ions/delete workspaces/link Połączenie ions/useCompute/action |
Usługa Synapse Apache Spark Administracja istrator | workspaces/read workspaces/bigDataPools/useCompute/action workspaces/bigDataPools/viewLogs/action workspaces/notebooks/viewOutputs/action workspaces/artifacts/read workspaces/notebooks/write, delete workspaces/sparkJobDefinitions/write, delete workspaces/libraries/write, delete workspaces/linkedServices/write, delete workspaces/credentials/write |
Usługa Synapse SQL Administracja istrator | workspaces/read workspaces/artifacts/read workspaces/sqlScripts/write, delete workspaces/linkedServices/write, delete workspaces/credentials/write, delete workspaces/credentials/write, delete |
Współautor usługi Synapse | workspaces/read workspaces/bigDataPools/useCompute/action workspaces/bigDataPools/viewLogs/action workspaces/integrationRuntimes/useCompute/action workspaces/integrationRuntimes/viewLogs/action workspaces/artifacts/read workspaces/notebooks/write, usuwanie obszarów roboczych/sparkJobDefinitions/write, usuwanie obszarów roboczych/sqlScripts/write, usuwanie obszarów roboczych/kqlScripts/write, usuwanie obszarów roboczych/przepływów danych/zapisuworkspaces/pipelines/write, delete workspaces/triggers/write, delete workspaces/datasets/write, delete workspaces/libraries/write, delete Workspaces/linkedServices/write, delete workspaces/credentials/write, delete workspaces/notebooks/viewOutputs/action workspaces/pipelines/viewOutputs/action workspaces/link Połączenie ions/read workspaces/linkPołączenie ions/write workspaces/link Połączenie ions/delete workspaces/link Połączenie ions/useCompute/action |
Wydawca artefaktów usługi Synapse | workspaces/read workspaces/artifacts/read workspaces/notebooks/write, delete workspaces/sparkJobDefinitions/write, delete workspaces/sqlScripts/write, delete workspaces/kqlScripts/write, delete workspaces/dataFlows/write, delete workspaces/pipelines/write, delete workspaces/triggers/write, delete workspaces/datasets/write, delete workspaces/libraries/write, delete workspaces/linkedServices/write, delete workspaces/linkedServices/write, delete workspaces/deleteworkspaces/credentials/write, delete workspaces/notebooks/viewOutputs/action workspaces/pipelines/viewOutputs/action |
Użytkownik artefaktu usługi Synapse | workspaces/read workspaces/artifacts/read workspaces/notebooks/viewOutputs/action workspaces/pipelines/viewOutputs/action |
Synapse Compute Operator | workspaces/read workspaces/bigDataPools/useCompute/action workspaces/bigDataPools/viewLogs/action workspaces/integrationRuntimes/useCompute/action workspaces/integrationRuntimes/viewLogs/action workspaces/link Połączenie ions/read workspaces/link Połączenie ions/useCompute/action |
Operator monitorowania usługi Synapse | workspaces/read workspaces/artifacts/read workspaces/notebooks/viewOutputs/action workspaces/pipelines/viewOutputs/action workspaces/integrationRuntimes/viewLogs/action workspaces/bigDataPools/viewLogs/action |
Użytkownik poświadczeń usługi Synapse | workspaces/read workspaces/linkedServices/useSecret/action workspaces/credentials/useSecret/action |
Menedżer połączonych danych usługi Synapse | workspaces/read workspaces/managedPrivateEndpoint/write, delete workspaces/linkedServices/write, delete workspaces/credentials/write, delete workspaces/credentials/write |
Użytkownik usługi Synapse | obszary robocze/odczyt |
Akcje RBAC usługi Synapse i role, które je zezwalają
W poniższej tabeli wymieniono akcje usługi Synapse i wbudowane role, które zezwalają na te akcje:
Akcja | Rola |
---|---|
obszary robocze/odczyt | Synapse Administracja istrator Synapse Apache Spark Administracja istrator synapse SQL Administracja istrator współautora synapse artifact synapse artifact publisher Synapse Artifact User Synapse Compute Operator Synapse Monitoring Operator Synapse Credential User Synapse Linked Data Manager Synapse User Synapse Linked Data Manager Synapse User |
workspaces/roleAssignments/write, delete | Administrator Synapse |
workspaces/managedPrivateEndpoint/write, delete | Synapse Administracja istrator Synapse Linked Data Manager |
workspaces/bigDataPools/useCompute/action | Operator monitorowania synapse Administracja istrator synapse Apache Spark Administracja istrator synapse — współautor synapse— operator monitorowania usługi Synapse |
workspaces/bigDataPools/viewLogs/action | Operator obliczeniowy synapse Administracja istrator synapse Apache Spark Administracja istrator synapse — współautor usługi Synapse |
workspaces/integrationRuntimes/useCompute/action | Operator monitorowania synapse Administracja istrator Synapse Contributor Synapse Compute Operator Synapse |
workspaces/integrationRuntimes/viewLogs/action | Operator monitorowania synapse Administracja istrator Synapse Contributor Synapse Compute Operator Synapse |
workspaces/link Połączenie ions/read | Operator obliczeniowy synapse Administracja istrator synapse — współautor synapse |
workspaces/link Połączenie ions/useCompute/action | Operator obliczeniowy synapse Administracja istrator synapse — współautor synapse |
obszary robocze/artefakty/odczyt | Usługa Synapse Administracja istrator Synapse Apache Spark Administracja istrator synapse SQL Administracja istrator współautora synapse artifact publisher synapse Artifact User |
obszary robocze/notesy/zapis, usuwanie | Synapse Administracja istrator Synapse Apache Spark Administracja istrator Współautor synapse Artifact Publisher |
workspaces/sparkJobDefinitions/write, delete | Synapse Administracja istrator Synapse Apache Spark Administracja istrator Współautor synapse Artifact Publisher |
workspaces/sqlScripts/write, delete | Synapse Administracja istrator Synapse SQL Administracja istrator Synapse Contributor Synapse Artifact Publisher |
workspaces/kqlScripts/write, delete | Synapse Administracja istrator Synapse Contributor Synapse Artifact Publisher |
workspaces/dataFlows/write, delete | Synapse Administracja istrator Synapse Contributor Synapse Artifact Publisher |
obszary robocze/potoki/zapis, usuwanie | Synapse Administracja istrator Synapse Contributor Synapse Artifact Publisher |
workspaces/link Połączenie ions/write, delete | Współautor usługi Synapse Administracja istrator synapse |
obszary robocze/wyzwalacze/zapis, usuwanie | Synapse Administracja istrator Synapse Contributor Synapse Artifact Publisher |
obszary robocze/zestawy danych/zapis, usuwanie | Synapse Administracja istrator Synapse Contributor Synapse Artifact Publisher |
obszary robocze/biblioteki/zapis, usuwanie | Synapse Administracja istrator Synapse Apache Spark Administracja istrator Współautor synapse Artifact Publisher |
workspaces/linkedServices/write, delete | Synapse Administracja istrator Synapse Apache Spark Administracja istrator Synapse SQL Administracja istrator Synapse Contributor Synapse Artifact Publisher Synapse Linked Data Manager |
workspaces/credentials/write, delete | Synapse Administracja istrator Synapse Apache Spark Administracja istrator Synapse SQL Administracja istrator Synapse Contributor Synapse Artifact Publisher Synapse Linked Data Manager |
workspaces/notebooks/viewOutputs/action | Synapse Administracja istrator Synapse Apache Spark Administracja istrator współautora synapse Artifact Publisher Synapse Artifact User |
workspaces/pipelines/viewOutputs/action | Użytkownik artefaktu synapse Administracja istrator synapse contributor Synapse Artifact Publisher |
workspaces/linkedServices/useSecret/action | Użytkownik poświadczeń usługi Synapse Administracja istrator synapse |
workspaces/credentials/useSecret/action | Użytkownik poświadczeń usługi Synapse Administracja istrator synapse |
Zakresy RBAC usługi Synapse i ich obsługiwane role
W poniższej tabeli wymieniono zakresy RBAC usługi Synapse i role, które można przypisać w każdym zakresie.
Uwaga
Aby utworzyć lub usunąć obiekt, musisz mieć uprawnienia w zakresie wyższego poziomu.
Scope | Role |
---|---|
Obszar roboczy | Synapse Administracja istrator Synapse Apache Spark Administracja istrator synapse SQL Administracja istrator współautora synapse artifact synapse artifact publisher Synapse Artifact User Synapse Compute Operator Synapse Monitoring Operator Synapse Credential User Synapse Linked Data Manager Synapse User Synapse Linked Data Manager Synapse User |
Pula platformy Apache Spark | Operator obliczeniowy synapse Administracja istrator synapse — współautor usługi Synapse |
Integration Runtime (Produkt Integration Runtime) | Operator obliczeniowy synapse Administracja istrator synapse — współautor usługi Synapse |
Połączona usługa | Użytkownik poświadczeń usługi Synapse Administracja istrator synapse |
Referencje | Użytkownik poświadczeń usługi Synapse Administracja istrator synapse |
Uwaga
Wszystkie role artefaktów i akcje są ograniczone na poziomie obszaru roboczego.
Następne kroki
- Dowiedz się , jak przeglądać przypisania ról RBAC usługi Synapse dla obszaru roboczego.
- Dowiedz się , jak przypisać role RBAC usługi Synapse