Entender as funções necessárias para executar tarefas comuns no Azure Synapse

Este artigo ajuda a entender quais funções RBAC (controle de acesso baseado em função) do Synapse ou funções RBAC do Azure são necessárias para realizar o trabalho no Synapse Studio. Para gerenciar a associação de função, confira Gerenciar atribuições de função RBAC do Azure Synapse.

Resumo de fluxo de trabalho e controle de acesso do Synapse Studio

Acessar o Synapse Studio

É possível abrir o Synapse Studio, exibir os detalhes do workspace e listar qualquer um de seus recursos do Azure, como pools de SQL, pools do Spark ou runtimes de Integração. Você verá se alguma função RBAC do Synapse foi atribuída a você ou se tem a função Proprietário, Colaborador ou Leitor do Azure no workspace.

Gerenciamento de recursos

Você pode criar pools de SQL, pools do Data Explorer e pools do Apache Spark se for um Proprietário ou Colaborador do Azure no grupo de recursos. Você pode criar um Runtime de Integração se for um Proprietário ou Colaborador do Azure no espaço de trabalho. Ao usar modelos do ARM para implantação automatizada, você precisa ser um Colaborador do Azure no grupo de recursos.

Você poderá pausar ou dimensionar um pool de SQL dedicado, configurar um pool do Spark ou um runtime de integração se for um Proprietário ou um Colaborador do Azure no workspace ou do recurso.

Exibir e editar artefatos de código

Com o acesso ao Synapse Studio, é possível criar artefatos de código, como scripts SQL, scripts KQL, notebooks, trabalhos do Spark, serviços vinculados, pipelines, fluxos de dados, gatilhos e credenciais. Esses artefatos podem ser publicados ou salvos com permissões adicionais.

Um Usuário de artefatos Synapse, Publicador de artefatos Synapse, Colaborador de Synapse ou Administrador de Synapse, poderá listar, abrir e editar os artefatos de código já publicados, incluindo os pipelines agendados.

Executar seu código

É possível executar scripts SQL em pools SQL se tiver as permissões SQL necessárias definidas nos pools do SQL. Você poderá executar scripts KQL em pools do Data Explorer se tiver as permissões necessárias.

É possível executar notebooks e trabalhos do Spark se tiver permissões de operador de computação Synapse no espaço de trabalho ou em pools do Apache Spark específicos.

Com as permissões de operador de computação no espaço de trabalho ou em tempos de execução de integração específicos, e permissões de credencial apropriadas, é possível executar pipelines.

Monitorar e gerenciar a execução

É possível examinar o status de execução de notebooks e trabalhos em pools do Apache Spark se for um usuário Synapse.

É possível examinar os logs e cancelar a execução de trabalhos e pipelines se for um operador de computação Synapse no espaço de trabalho ou para um pool ou pipeline do Spark específico.

Depurar pipelines

Você pode examinar e fazer alterações em pipelines como Usuário do Azure Synapse, mas se quiser depurá-los, também precisará ter o Usuário de Credenciais do Azure Synapse.

Publicar e salvar seu código

É possível publicar artefatos de código novos ou atualizados para o serviço se for um editor de artefatos Synapse, colaborador de Synapse ou administrador Synapse.

É possível confirmar artefatos de código para um branch de trabalho de um repositório Git se o espaço de trabalho estiver habilitado para Git e tiver permissões de Git. Com o Git habilitado, a publicação só é permitida a partir da ramificação de colaboração.

Quando o Synapse Studio é fechado sem publicar ou confirmar alterações em artefatos de código, essas alterações serão perdidas.

Tarefas e funções necessárias

A tabela a seguir lista tarefas comuns e para cada tarefa, as funções RBAC Synapse ou RBAC do Azure necessárias.

Observação

O administrador do Synapse não está listado para cada tarefa, a menos que seja a única função que fornece a permissão necessária. Um administrador do Synapse pode executar todas as tarefas habilitadas por outras funções de RBAC do Synapse.

Observação

Os usuários convidados de outro locatário também podem revisar, adicionar ou alterar as atribuições de função, contanto que tenham sido atribuídos como Administrador de Synapse.

A função de RBAC Synapse mínima necessária é mostrada.

Todas as funções RBAC Synapse em qualquer escopo fornecem permissões de usuário Synapse no espaço de trabalho.

Todas as permissões/ações RBAC Synapse mostradas na tabela são prefixadas com Microsoft/Synapse/workspaces/....

Tarefa (desejo...) Função (preciso ser...) Permissão/ação de RBAC Synapse
Abrir o Synapse Studio em um espaço de trabalho Usuário do Azure Synapse ou read
Proprietário, colaborador ou leitor do Azure no espaço de trabalho nenhum
Listar pools de SQL, pools do Data Explorer, pools do Apache Spark, tempos de execução de integração e acessar detalhes de configuração Usuário do Azure Synapse ou read
Proprietário, colaborador ou leitor do Azure no espaço de trabalho nenhum
Listar serviços ou credenciais vinculados ou endpoints privados gerenciados Usuário do Azure Synapse ler
POOLS de SQL
Criar um pool SQL dedicado ou um pool SQL sem servidor Proprietário ou Colaborador do Azure no grupo de recursos nenhum
Gerenciar (pausar, dimensionar ou excluir) um pool SQL dedicado Proprietário ou colaborador do Azure no espaço de trabalho ou no pool SQL nenhum
Criar um script SQL
Usuário do Synapse ou
Proprietário ou Colaborador do Azure no espaço de trabalho.

Permissões SQL adicionais são necessárias para executar um script SQL, publicar ou confirmar alterações.
Listar e abrir qualquer script SQL publicado Usuário de Artefato da Synapse ou Editor de Artefato, ou Contribuidor da Synapse artefatos/leitura
Executar um script SQL em um pool de SQL sem servidor Permissões SQL no pool (concedidas automaticamente a um administrador do Synapse) nenhum
Executar um script SQL em um pool de SQL dedicado Permissões SQL no pool (concedidas automaticamente a um administrador do Synapse) nenhum
Publicar um script SQL novo, atualizado ou excluído Publicador de artefatos ou Colaborador do Synapse sqlScripts/write, delete
Confirmar alterações em um script SQL para o repositório Git Requer permissões Git no repositório
Atribuir um administrador no Active Directory no espaço de trabalho (por meio de propriedades do espaço de trabalho no portal do Azure) Proprietário ou colaborador do Azure no espaço de trabalho
POOLS DO DATA EXPLORER
Criar um pool do Data Explorer Proprietário ou Colaborador do Azure no grupo de recursos nenhum
Gerenciar (pausar, dimensionar ou excluir) um pool do Data Explorer Proprietário ou contribuidor do Azure no espaço de trabalho ou no pool do Data Explorer nenhum
Criar um script KQL
Usuário do Azure Synapse.

Permissões adicionais do Data Explorer são necessárias para executar um script, publicar ou confirmar alterações.
Listar e abrir qualquer script KQL publicado Usuário de Artefato da Synapse ou Editor de Artefato, ou Contribuidor da Synapse artefatos/leitura
Executar um script KQL em um pool do Data Explorer Permissões do Data Explorer no pool (concedidas automaticamente a um administrador do Synapse) nenhum
Publicar novo, atualizar ou excluir script KQL Publicador de artefatos ou Colaborador do Synapse kqlScripts/write, delete
Confirmar alterações a um script KQL no repositório Git Requer permissões Git no repositório
POOLS DO APACHE SPARK
Criar um Pool do Apache Spark Proprietário ou Colaborador do Azure no grupo de recursos
Monitorar aplicativos Apache Spark Usuário do Azure Synapse ler
Exibir os logs para execução de notebook e trabalho completos Operador de monitoramento do Synapse
Cancelar qualquer trabalho de notebook ou Spark em execução em um pool do Apache Spark Operador de computação do Synapse no pool do Apache Spark. bigDataPools/useCompute
Criar um notebook ou uma definição de trabalho Usuário do Synapse ou
Proprietário, Colaborador ou Leitor do Azure no espaço de trabalho

Permissões adicionais são necessárias para executar, publicar ou confirmar alterações
read




Listar e abrir um notebook ou uma definição de trabalho publicados, incluindo revisão de saídas salvas Usuário de Artefato Synapse ou Operador de Monitoramento Synapse no espaço de trabalho artefatos/leitura
Executar um notebook e examinar sua saída ou enviar um trabalho do Spark Administrador Synapse Apache Spark ou Operador Synapse Compute no pool Apache Spark selecionado bigDataPools/useCompute
Publicar ou excluir um notebook ou uma definição de trabalho (incluindo saída) para o serviço Publicador de artefatos no espaço de trabalho ou administrador do Synapse Apache Spark notebooks/write, delete
Confirmar alterações em um notebook ou definição de trabalho para o repositório Git Permissões do Git nenhum
PIPELINES, TEMPOS DE EXECUÇÃO DE INTEGRAÇÃO, FLUXOS DE DADOS, CONJUNTOS DE DADOS E GATILHOS
Criar, atualizar ou excluir um runtime de integração Proprietário ou colaborador do Azure no espaço de trabalho
Monitorar o status do runtime de integração Operador de monitoramento do Synapse leitura, integrationRuntimes/viewLogs
Examinar o pipeline Operador de monitoramento do Synapse read, pipelines/viewOutputs
Criar um pipeline Usuário do Synapse

Permissões adicionais do Synapse são necessárias para depurar, adicionar gatilhos, publicar ou confirmar alterações
ler
Criar um fluxo de dados ou conjunto de dados Usuário do Synapse

Permissões adicionais do Synapse são necessárias para publicar ou confirmar alterações
ler
Listar e abrir um pipeline publicado Usuário de artefato do Synapse ou operador de monitoramento do Synapse artefatos/leitura
Visualizar dados de um conjunto de dados Usuário Synapse e Credencial de usuário Synapse no WorkspaceSystemIdentity
Depurar um pipeline usando o runtime de integração padrão Usuário do Synapse e usuário da credencial do Synapse na credencial WorkspaceSystemIdentity read,
credentials/useSecret
Criar um gatilho, incluindo o gatilho Now (requer permissão para executar o Pipeline) Usuário Synapse e Credencial de usuário Synapse no WorkspaceSystemIdentity read, credentials/useSecret/action
Executar um pipeline Usuário Synapse e Credencial de usuário Synapse no WorkspaceSystemIdentity read, credentials/useSecret/action
Copiar dados usando a ferramenta Copiar Dados Usuário do Synapse e usuário da credencial do Synapse na identidade do sistema do espaço de trabalho read, credentials/useSecret/action
Ingerir dados (usando um agendamento) Autor do Synapse e usuário da credencial do Synapse na identidade do sistema do espaço de trabalho read, credentials/useSecret/action
Publicar um pipeline novo, atualizado ou excluído, fluxo de dados ou gatilho para o serviço Publicador de artefatos do Synapse no espaço de trabalho pipelines/write, delete
dataflows/write, delete
triggers/write, delete
Confirmar alterações em pipelines, fluxos de dados, conjuntos de dados ou gatilhos para o repositório Git Permissões do Git nenhum
SERVIÇOS VINCULADOS
Criar um serviço vinculado (inclui atribuir uma credencial) Usuário do Synapse

Permissões adicionais são necessárias para usar um serviço vinculado com credenciais ou para publicar ou confirmar alterações
ler
Listar e abrir um serviço vinculado publicado Usuário de Artefato do Azure Synapse linkedServices/write, delete
Testar a conexão em um serviço vinculado protegido por uma credencial Usuário do Synapse e usuário da credencial do Synapse credentials/useSecret/action
Publicar um serviço vinculado Editor de artefatos Synapse ou Gerenciador de Dados vinculados Synapse linkedServices/write, delete
Confirmar definições de serviço vinculado para o repositório Git Permissões do Git nenhum
GERENCIAMENTO DE ACESSO
Examinar as atribuições de função RBAC do Azure Synapse Usuário do Azure Synapse ler
Atribuir e remover atribuições de função RBAC Synapse para usuários, grupos e entidades de serviço Administrador do Synapse no espaço de trabalho ou em um escopo de item de espaço de trabalho específico roleAssignments/write, delete

Próximas etapas