Funções e permissões do Azure Data Factory

APLICA-SE A: Azure Data Factory Azure Synapse Analytics

Gorjeta

Experimente o Data Factory no Microsoft Fabric, uma solução de análise tudo-em-um para empresas. O Microsoft Fabric abrange tudo, desde a movimentação de dados até ciência de dados, análises em tempo real, business intelligence e relatórios. Saiba como iniciar uma nova avaliação gratuitamente!

Este artigo descreve as funções necessárias para criar e gerenciar recursos do Azure Data Factory e as permissões concedidas por essas funções.

Funções e requisitos

Para criar instâncias do Data Factory, a conta de usuário que você usa para entrar no Azure deve ser um membro da função de colaborador , a função de proprietário ou um administrador da assinatura do Azure. Para ver as permissões que tem na subscrição, no portal do Azure, selecione o seu nome de utilizador no canto superior direito e, em seguida, selecione As minhas permissões. Se tiver acesso a várias subscrições, selecione a subscrição apropriada.

Para criar e gerir recursos subordinados do Data Factory - incluindo conjuntos de dados, serviços ligados, pipelines, acionadores e runtimes de integração - os requisitos seguintes são aplicáveis:

  • Para criar e gerenciar recursos filho no portal do Azure, você deve pertencer à função de Colaborador do Data Factory no nível do Grupo de Recursos ou acima.

    Nota

    Se você já atribuiu a função de Colaborador no nível do Grupo de Recursos ou superior, não precisará da função de Colaborador do Data Factory. A função de Colaborador é uma função de superconjunto que inclui todas as permissões concedidas à função de Colaborador do Data Factory.

  • Para criar e gerir recursos subordinados com o PowerShell ou o SDK, a função contribuidor ao nível do grupo de recursos ou superior é suficiente.

Para obter instruções de exemplo sobre como adicionar um utilizador a uma função, veja o artigo Adicionar funções.

Configurar permissões

Depois de criar um Data Factory, convém permitir que outros usuários trabalhem com o data factory. Para conceder esse acesso a outros usuários, você precisa adicioná-los à função interna de Colaborador do Data Factory no Grupo de Recursos que contém o Data Factory.

Escopo da função de Colaborador do Data Factory

A associação à função de Colaborador do Data Factory permite que os usuários façam o seguinte:

  • Crie, edite e exclua fábricas de dados e recursos filho, incluindo conjuntos de dados, serviços vinculados, pipelines, gatilhos e tempos de execução de integração.
  • Implante modelos do Resource Manager. A implantação do Resource Manager é o método de implantação usado pelo Data Factory no portal do Azure.
  • Gerencie alertas do App Insights para um data factory.
  • Crie tíquetes de suporte.

Para saber mais sobre essa função, veja Função de Colaborador do Data Factory.

Implantação de modelo do Gerenciador de Recursos

A função de Colaborador do Data Factory, no nível do grupo de recursos ou superior, permite que os usuários implantem modelos do Gerenciador de Recursos. Como resultado, os membros da função podem usar modelos do Gerenciador de Recursos para implantar fábricas de dados e seus recursos filhos, incluindo conjuntos de dados, serviços vinculados, pipelines, gatilhos e tempos de execução de integração. A associação a essa função não permite que o usuário crie outros recursos.

As permissões no Azure Repos e no GitHub são independentes das permissões do Data Factory. Como resultado, um usuário com permissões de repositório que seja apenas um membro da função Leitor pode editar recursos filho do Data Factory e confirmar alterações no repositório, mas não pode publicar essas alterações.

Importante

A implantação do modelo do Gerenciador de Recursos com a função de Colaborador do Data Factory não eleva suas permissões. Por exemplo, se você implantar um modelo que cria uma máquina virtual do Azure e não tiver permissão para criar máquinas virtuais, a implantação falhará com um erro de autorização.

No contexto de publicação, a permissão Microsoft.DataFactory/factories/write aplica-se aos seguintes modos.

  • Essa permissão só é necessária no modo Live quando o cliente modifica os parâmetros globais.
  • Essa permissão é sempre necessária no modo Git, pois toda vez que o cliente publica, o objeto de fábrica com o último ID de confirmação precisa ser atualizado.

Cenários e funções personalizados

Às vezes, pode ser necessário conceder diferentes níveis de acesso para diferentes usuários do data factory. Por exemplo:

  • Você pode precisar de um grupo em que os usuários só tenham permissões em um data factory específico.
  • Ou você pode precisar de um grupo onde os usuários só podem monitorar uma fábrica de dados (ou fábricas), mas não podem modificá-la.

Você pode obter esses cenários personalizados criando funções personalizadas e atribuindo usuários a essas funções. Para saber mais sobre funções personalizadas, veja Funções personalizadas no Azure.

Aqui estão alguns exemplos que demonstram o que você pode alcançar com funções personalizadas:

  • Permita que um usuário crie, edite ou exclua qualquer data factory em um grupo de recursos do portal do Azure.

    Atribua a função interna de colaborador do Data Factory no nível do grupo de recursos para o usuário. Se você quiser permitir o acesso a qualquer data factory em uma assinatura, atribua a função no nível da assinatura.

  • Permita que um usuário visualize (leia) e monitore um data factory, mas não edite-o ou altere-o.

    Atribua a função de leitor interna no recurso de fábrica de dados para o usuário.

  • Permita que um usuário edite uma única fábrica de dados no portal do Azure.

    Este cenário requer duas atribuições de função.

    1. Atribua a função de colaborador interna no nível da fábrica de dados.
    2. Crie uma função personalizada com a permissão Microsoft.Resources/deployments/. Atribua essa função personalizada ao usuário no nível do grupo de recursos.
  • Permitir que um usuário possa testar a conexão em um serviço vinculado ou visualizar dados em um conjunto de dados

    Crie uma função personalizada com permissões para as seguintes ações: Microsoft.DataFactory/factories/getFeatureValue/read e Microsoft.DataFactory/factories/getDataPlaneAccess/action. Atribua essa função personalizada no recurso de fábrica de dados para o usuário.

  • Permita que um usuário atualize uma fábrica de dados do PowerShell ou do SDK, mas não no portal do Azure.

    Atribua a função de colaborador interna no recurso de fábrica de dados para o usuário. Essa função permite que o usuário veja os recursos no portal do Azure, mas o usuário não pode acessar os botões Publicar e Publicar Tudo .