Synapse RBAC Rolleri
Makalede yerleşik Synapse RBAC (rol tabanlı erişim denetimi) rolleri, verdikleri izinler ve kullanabilecekleri kapsamlar açıklanmaktadır.
Synapse rol üyeliklerini gözden geçirme ve atama hakkında daha fazla bilgi için bkz . Synapse RBAC rol atamalarını gözden geçirme ve Synapse RBAC rollerini atama.
Yerleşik Synapse RBAC rolleri ve kapsamları
Aşağıdaki tabloda yerleşik roller ve bunların hangi kapsamlarda kullanılabildiği açıklanmaktadır.
Not
Herhangi bir kapsamda Synapse RBAC rolüne sahip kullanıcılar otomatik olarak çalışma alanı kapsamında Synapse Kullanıcı rolüne sahiptir.
Önemli
Synapse RBAC rolleri, Azure Synapse çalışma alanlarında SQL havuzları, Apache Spark havuzları ve Tümleştirme çalışma zamanları oluşturma veya yönetme izinleri vermez. Bu eylemler için kaynak grubundaki Azure Sahibi veya Azure Katkıda Bulunanı rolleri gereklidir.
| Role | İzinler | Kapsamlar |
|---|---|---|
| Synapse Yöneticisi | Sunucusuz ve ayrılmış SQL havuzlarına, Veri Gezgini havuzlarına, Apache Spark havuzlarına ve Tümleştirme çalışma zamanlarına tam Synapse erişimi. Yayımlanan tüm kod yapıtlarına oluşturma, okuma, güncelleştirme ve silme erişimini içerir. Çalışma alanı sistem kimliği kimlik bilgileri üzerinde İşlem İşleci, Bağlı Veri Yöneticisi ve Kimlik Bilgisi Kullanıcı izinlerini içerir. Synapse RBAC rolleri atamayı içerir. Azure Sahipleri Synapse Yöneticisi'ne ek olarak Synapse RBAC rollerini de atayabilir. İşlem kaynaklarını oluşturmak, silmek ve yönetmek için Azure izinleri gereklidir. Synapse RBAC rolleri, ilişkili abonelik devre dışı bırakıldığında bile atanabilir. Yapıtları okuyabilir ve yazabilir Spark etkinliklerinde tüm eylemleri gerçekleştirebilir. Spark havuzu günlüklerini görüntüleyebilir Kaydedilen not defteri ve işlem hattı çıkışını görüntüleyebilir Bağlı hizmetler veya kimlik bilgileri tarafından depolanan gizli dizileri kullanabilir Geçerli kapsamda Synapse RBAC rollerini atayabilir ve iptal edebilir |
Çalışma Alanı Spark havuzu Tümleştirme çalışma zamanı Bağlı hizmet Kimlik Bilgileri |
| Synapse Apache Spark Yöneticisi |
Apache Spark Havuzlarına tam Synapse erişimi. Yayımlanan Spark iş tanımlarına, not defterlerine ve bunların çıkışlarına ve kitaplıklara, bağlı hizmetlere ve kimlik bilgilerine erişim oluşturun, okuyun, güncelleştirin ve silin. Diğer tüm yayımlanmış kod yapıtlarına okuma erişimi içerir. Kimlik bilgilerini kullanma ve işlem hatlarını çalıştırma izni içermez. Erişim izni verme dahil değildir. Spark yapıtlarında tüm eylemleri yapabilir Spark etkinliklerinde tüm eylemleri gerçekleştirebilir |
Çalışma Alanı Spark havuzu |
| Synapse SQL Yöneticisi | Sunucusuz SQL havuzlarına tam Synapse erişimi. Yayımlanan SQL betiklerine, kimlik bilgilerine ve bağlı hizmetlere erişim oluşturun, okuyun, güncelleştirin ve silin. Diğer tüm yayımlanmış kod yapıtlarına okuma erişimi içerir. Kimlik bilgilerini kullanma ve işlem hatlarını çalıştırma izni içermez. Erişim izni verme dahil değildir. SQL betiklerinde tüm eylemleri gerçekleştirebilir SQL , , db_datawriterconnectve grant izinleriyle SQL db_datareadersunucusuz uç noktalarına bağlanabilir |
Çalışma alanı |
| Synapse Katkıda Bulunanı | Apache Spark havuzlarına ve Tümleştirme çalışma zamanlarına tam Synapse erişimi. Zamanlanmış işlem hatları, kimlik bilgileri ve bağlı hizmetler dahil olmak üzere yayımlanan tüm kod yapıtlarına ve bunların çıkışlarına oluşturma, okuma, güncelleştirme ve silme erişimini içerir. İşlem işleci izinlerini içerir. Kimlik bilgilerini kullanma ve işlem hatlarını çalıştırma izni içermez. Erişim izni verme dahil değildir. Yapıtları okuyabilir ve yazabilir Kaydedilmiş not defterini ve işlem hattı çıkışını görüntüleyebilir Spark etkinliklerinde tüm eylemleri yapabilir Spark havuzu günlüklerini görüntüleyebilir |
Çalışma Alanı Spark havuzu Tümleştirme çalışma zamanı |
| Synapse Artifact Publisher | Zamanlanmış işlem hatları da dahil olmak üzere yayımlanmış kod yapıtlarına ve bunların çıkışlarına erişim oluşturun, okuyun, güncelleştirin ve silin. Kod veya işlem hatlarını çalıştırma veya erişim izni verme izni içermez. Yayımlanan yapıtları okuyabilir ve yapıtları yayımlayabilir Kaydedilen not defterini, Spark işini ve işlem hattı çıkışını görüntüleyebilir |
Çalışma alanı |
| Synapse Artifact User | Yayımlanan kod yapıtlarına ve bunların çıkışlarına okuma erişimi. Yeni yapıtlar oluşturabilir, ancak değişiklikleri yayımlayamaz veya daha fazla izin olmadan kod çalıştıramaz. | Çalışma alanı |
| Synapse İşlem İşleci | Spark işlerini ve not defterlerini gönderin ve günlükleri görüntüleyin. Herhangi bir kullanıcı tarafından gönderilen Spark işlerinin iptalini içerir. İşlem hatlarını çalıştırmak, işlem hattı çalıştırmalarını ve çıkışlarını görüntülemek için çalışma alanı sistem kimliğinde diğer kullanım kimlik bilgileri izinlerini gerektirir. Başkaları tarafından gönderilen işler dahil olmak üzere işleri gönderebilir ve iptal edebilir Spark havuzu günlüklerini görüntüleyebilir |
Çalışma Alanı Spark havuzu Tümleştirme çalışma zamanı |
| Synapse İzleme İşleci | İşlem hattı çalıştırmaları ve tamamlanmış not defterleri için günlükler ve çıkışlar da dahil olmak üzere yayımlanan kod yapıtlarını okuyun. Apache Spark havuzlarının, Veri Gezgini havuzlarının ve Tümleştirme çalışma zamanlarının ayrıntılarını listeleme ve görüntüleme özelliğini içerir. İşlem hatlarını, Spark not defterlerini ve Spark işlerini çalıştırmak/iptal etmek için başka izinler gerektirir. | Çalışma alanı |
| Synapse Kimlik Bilgisi Kullanıcısı | İşlem hattı çalıştırmaları gibi etkinliklerde kimlik bilgileri ve bağlı hizmetler içindeki gizli dizilerin çalışma zamanı ve yapılandırma süresi kullanımı. İşlem hatlarını çalıştırmak için bu rol gereklidir ve kapsamı çalışma alanı sistem kimliği olarak belirlenmiştir. Kapsamı bir kimlik bilgisi olarak belirlenmiş, kimlik bilgileriyle korunan bağlı bir hizmet aracılığıyla verilere erişim izni verir (işlem kullanım izni de gerekebilir) Çalışma alanı sistem kimliği kimlik bilgileriyle korunan işlem hatlarının yürütülmesine izin verir |
Çalışma Alanı Bağlı Hizmet Kimlik Bilgileri |
| Synapse Bağlı Veri Yöneticisi | Yönetilen özel uç noktaların, bağlı hizmetlerin ve kimlik bilgilerinin oluşturulması ve yönetimi. Kimlik bilgileriyle korunan bağlı hizmetleri kullanan yönetilen özel uç noktalar oluşturabilir | Çalışma alanı |
| Synapse Kullanıcısı | SQL havuzlarının, Apache Spark havuzlarının, Tümleştirme çalışma zamanlarının ve yayımlanan bağlı hizmetlerin ve kimlik bilgilerinin ayrıntılarını listeleyin ve görüntüleyin. Yayımlanan diğer kod yapıtlarını içermez. Yeni yapıtlar oluşturabilir, ancak daha fazla izin olmadan çalıştırılamaz veya yayımlayamaz. Spark havuzlarını, Tümleştirme çalışma zamanlarını listeleyebilir ve okuyabilir. |
Çalışma alanı, Spark havuzu Bağlı hizmet kimlik bilgileri |
Synapse RBAC rolleri ve izin verdikleri eylemler
Not
- Aşağıdaki tablolarda listelenen tüm eylemlere "Microsoft.Synapse/..." ön eki eklenir
- Tüm yapıt okuma, yazma ve silme eylemleri, canlı hizmetteki yayımlanmış yapıtlarla ilişkilidir. Bu izinler, bağlı git deposundaki yapıtlara erişimi etkilemez.
Aşağıdaki tabloda yerleşik roller ve her birinin desteklediği eylemler/izinler listelenmiştir.
| Rol | Eylemler |
|---|---|
| Synapse Yöneticisi | çalışma alanları/okuma çalışma alanları/roleAssignments/write, çalışma alanlarını silme /managedPrivateEndpoint/write, çalışma alanlarını silme /bigDataPool/useCompute/action workspaces/bigDataPool/viewLogs/action workspaces/scopePool/useCompute/action workspaces/scopePool/viewLogs/action workspaces/integrationRuntime/useCompute/action workspaces/integrationRuntime/viewLogs/action workspaces/artifacts/read workspaces/notebooks/write çalışma alanları/sparkJobDefinitions/write, çalışma alanlarını/scopeJobDefinitions/write, workspaces/sqlScripts/write, delete workspaces/dataFlows/write, delete workspaces/dataMappers/write, delete workspaces/pipelines/write, delete workspaces/triggers/write, delete workspaces/datasets/write, delete workspaces/linkedServices/write, delete workspaces/credentials/write, delete workspaces/notebooks/ çalışma alanlarını silme /cancelPipelineRun/eylem çalışma alanları/not defterleriViewOutputs/eylem çalışma alanları/işlem hatlarıViewOutputs/eylem çalışma alanları/linkedServicesSecret/eylem çalışma alanlarını/kimlik bilgilerini kullanmaSecret/eylem çalışma alanları/kitaplıklar/yazma, çalışma alanlarını silme /kQLScripts/yazma, çalışma alanlarını silme /sparkConfigurations/write, çalışma alanlarını silme /synapseLinkConnections/read, write, delete workspaces/synapseLinkConnections/ useCompute/action |
| Synapse Apache Spark Yöneticisi | workspaces/read orkspaces/bigDataPoolUseCompute/action orkspaces/bigDataPoolViewLogs/action orkspaces/artifacts/read orkspaces/notebooks/write, delete orkspaces/sparkJobDefinitions/write, delete orkspaces/linkedServices/write, delete orkspaces/credentials/write, delete orkspaces/libraryes/write, delete orkspaces/notebooksViewOutputs/action |
| Synapse SQL Yöneticisi | çalışma alanları/okuma çalışma alanları/yapıtlar/okuma çalışma alanları/sqlScripts/yazma, çalışma alanlarını silme /linkedServices/yazma, çalışma alanlarını silme /kimlik bilgileri/yazma, silme |
| Synapse Kapsam Yöneticisi | workspaces/read workspaces/scopePoolUseCompute/action workspaces/scopePoolViewLogs/action workspaces/linkedServices/write, delete workspaces/credentials/write, delete workspaces/scopeJobDefinitions/write, delete |
| Synapse Özel Uç Nokta Yöneticisi | workspaces/read workspaces/managedPrivateEndpoint/write, delete workspaces/linkedServices/write, delete workspaces/credentials/write, delete |
| Synapse Katkıda Bulunanı | çalışma alanları/okuma çalışma alanları/bigDataPool/useCompute/action çalışma alanları/bigDataPool/viewLogs/action workspaces/scopePool/useCompute/action workspaces/scopePool/viewLogs/action workspaces/integrationRuntime/useCompute/action workspaces/integrationRuntime/viewLogs/action workspaces/artifacts/read workspaces/notebooks/write, çalışma alanlarını silme /sparkJobDefinitions/write, delete workspaces/sqlScripts/write, delete workspaces/dataFlows/write, delete workspaces/dataMappers/write, delete workspaces/pipelines/write, delete workspaces/triggers/write, delete workspaces/datasets/write, delete workspaces/linkedServices/write, delete workspaces/credentials/write, delete workspaces/cancelPipelineRun/action workspaces/notebooksViewOutputs/action workspaces/pipelinesViewOutputs/action workspaces/libraryes/write, delete delete workspaces/kQLScripts/write, delete workspaces/sparkConfigurations/write, delete workspaces/synapseLinkConnections/read,write, delete workspaces/synapseLinkConnections/useComputeAction |
| Synapse Artifact Publisher | çalışma alanları/okuma çalışma alanları/yapıtlar/okuma çalışma alanları/not defterleri/yazma, çalışma alanlarını/ sparkJobDefinitions/write, çalışma alanlarını silme /scopeJobDefinitions/write, çalışma alanlarını silme /sqlScripts/write, çalışma alanlarını/dataFlows/write, çalışma alanlarını silme/dataMappers/write, çalışma alanlarını/işlem hatlarını/yazma, çalışma alanlarını/tetikleyicileri/yazma silme, çalışma alanlarını/veri kümelerini/yazma, çalışma alanlarını silme /linkedServices/yazma, çalışma alanlarını/kimlik bilgilerini/yazma, çalışma alanlarını/not defterlerini silmeViewOutputs /eylem çalışma alanları/işlem hatlarıViewOutputs/eylem çalışma alanları/kitaplıklar/yazma, çalışma alanlarını silme /kQLScripts/yazma, çalışma alanlarını silme /sparkConfigurations/write, silme |
| Synapse Artifact User | çalışma alanları/okuma çalışma alanları/yapıtlar/okuma çalışma alanları/not defterleri/viewOutputs/eylem çalışma alanları/işlem hatları/viewOutputs/action |
| Synapse İşlem İşleci | workspaces/read workspaces/bigDataPools/useCompute/action workspaces/bigDataPools/viewLogs/action workspaces/scopePool/useCompute/action workspaces/scopePool/viewLogs/action workspaces/integrationRuntimes/useCompute/action workspaces/integrationRuntimes/viewLogs/action workspaces/cancelPipelineRun/action workspaces/linkConnections/read workspaces/linkConnections/useCompute/action |
| Synapse İzleme İşleci | çalışma alanları/okuma çalışma alanları/yapıtlar/okuma çalışma alanları/not defterleri/viewOutputs/eylem çalışma alanları/işlem hatları/viewOutputs/eylem çalışma alanları/integrationRuntimes/viewLogs/eylem çalışma alanları/bigDataPools/viewLogs/action |
| Synapse Kimlik Bilgisi Kullanıcısı | çalışma alanları/okuma çalışma alanları/linkedServices/useSecret/action workspaces/credentials/useSecret/action |
| Synapse Bağlı Veri Yöneticisi | workspaces/read workspaces/managedPrivateEndpoint/write, delete workspaces/linkedServices/write, delete workspaces/credentials/write, delete |
| Synapse Kullanıcısı | çalışma alanları/okuma |
Synapse RBAC eylemleri ve bunlara izin veren roller
Aşağıdaki tabloda Synapse eylemleri ve bu eylemlere izin veren yerleşik roller listelenmiştir:
| Eylem | Role |
|---|---|
| çalışma alanları/okuma | Synapse Yöneticisi Synapse Apache Spark Yöneticisi Synapse SQL Yöneticisi Synapse Katılımcısı Synapse Artifact Publisher Synapse Artifact Kullanıcısı Synapse İşlem Operatörü Synapse İzleme operatörü Synapse Kimlik Bilgisi Kullanıcısı Synapse Bağlı Veri Yöneticisi Synapse Kullanıcısı |
| çalışma alanları/roleAssignments/write, delete | Synapse Yöneticisi |
| workspaces/managedPrivateEndpoint/write, delete | Synapse Yöneticisi Synapse Bağlı Veri Yöneticisi |
| workspaces/bigDataPools/useCompute/action | Synapse Yöneticisi Synapse Apache Spark Yöneticisi Synapse Katkıda Bulunan Synapse İşlem Operatörü Synapse İzleme İşleci |
| workspaces/bigDataPools/viewLogs/action | Synapse Yöneticisi Synapse Apache Spark Yöneticisi Synapse Katkıda Bulunan Synapse İşlem İşleci |
| workspaces/integrationRuntimes/useCompute/action | Synapse Yöneticisi Synapse Katkıda Bulunan Synapse İşlem Operatörü Synapse İzleme operatörü |
| workspaces/integrationRuntimes/viewLogs/action | Synapse Yöneticisi Synapse Katkıda Bulunan Synapse İşlem Operatörü Synapse İzleme operatörü |
| çalışma alanları/linkConnections/read | Synapse Yöneticisi Synapse Katkıda Bulunan Synapse İşlem operatörü |
| workspaces/linkConnections/useCompute/action | Synapse Yöneticisi Synapse Katkıda Bulunan Synapse İşlem operatörü |
| çalışma alanları/yapıtlar/okuma | Synapse Yöneticisi Synapse Apache Spark Yöneticisi Synapse SQL Yöneticisi Synapse Contributor Synapse Artifact Publisher Synapse Artifact User |
| çalışma alanları/not defterleri/yazma, silme | Synapse Yöneticisi Synapse Apache Spark Yöneticisi Synapse Katkıda Bulunan Synapse Artifact Publisher |
| workspaces/sparkJobDefinitions/write, delete | Synapse Yöneticisi Synapse Apache Spark Yöneticisi Synapse Katkıda Bulunan Synapse Artifact Publisher |
| çalışma alanları/sqlScripts/yazma, silme | Synapse Yöneticisi Synapse SQL Yöneticisi Synapse Katkıda Bulunan Synapse Artifact Publisher |
| workspaces/kqlScripts/write, delete | Synapse Yöneticisi Synapse Katkıda Bulunan Synapse Artifact Publisher |
| çalışma alanları/dataFlows/yazma, silme | Synapse Yöneticisi Synapse Katkıda Bulunan Synapse Artifact Publisher |
| çalışma alanları/işlem hatları/yazma, silme | Synapse Yöneticisi Synapse Katkıda Bulunan Synapse Artifact Publisher |
| çalışma alanları/linkConnections/yazma, silme | Synapse Yöneticisi Synapse Katkıda Bulunanı |
| çalışma alanları/tetikleyiciler/yazma, silme | Synapse Yöneticisi Synapse Katkıda Bulunan Synapse Artifact Publisher |
| çalışma alanları/veri kümeleri/yazma, silme | Synapse Yöneticisi Synapse Katkıda Bulunan Synapse Artifact Publisher |
| çalışma alanları/kitaplıklar/yazma, silme | Synapse Yöneticisi Synapse Apache Spark Yöneticisi Synapse Katkıda Bulunan Synapse Artifact Publisher |
| workspaces/linkedServices/write, delete | Synapse Yöneticisi Synapse Apache Spark Yöneticisi Synapse SQL Yöneticisi Synapse Katkıda Bulunan Synapse Artifact Publisher Synapse Bağlı Veri Yöneticisi |
| çalışma alanları/kimlik bilgileri/yazma, silme | Synapse Yöneticisi Synapse Apache Spark Yöneticisi Synapse SQL Yöneticisi Synapse Katkıda Bulunan Synapse Artifact Publisher Synapse Bağlı Veri Yöneticisi |
| çalışma alanları/not defterleri/viewOutputs/action | Synapse Yöneticisi Synapse Apache Spark Yöneticisi Synapse Katkıda Bulunan Synapse Artifact Publisher Synapse Artifact User |
| workspaces/pipelines/viewOutputs/action | Synapse Yöneticisi Synapse Katkıda Bulunan Synapse Artifact Publisher Synapse Artifact User |
| workspaces/linkedServices/useSecret/action | Synapse Yöneticisi Synapse Kimlik Bilgisi Kullanıcısı |
| çalışma alanları/kimlik bilgileri/useSecret/action | Synapse Yöneticisi Synapse Kimlik Bilgisi Kullanıcısı |
Synapse RBAC kapsamları ve desteklenen rolleri
Aşağıdaki tabloda Synapse RBAC kapsamları ve her kapsama atanabilecek roller listelenmiştir.
Not
Bir nesneyi oluşturmak veya silmek için daha üst düzey bir kapsamda izinlere sahip olmanız gerekir.
| Kapsam | Roller |
|---|---|
| Çalışma alanı | Synapse Yöneticisi Synapse Apache Spark Yöneticisi Synapse SQL Yöneticisi Synapse Katılımcısı Synapse Artifact Publisher Synapse Artifact Kullanıcısı Synapse İşlem Operatörü Synapse İzleme operatörü Synapse Kimlik Bilgisi Kullanıcısı Synapse Bağlı Veri Yöneticisi Synapse Kullanıcısı |
| Apache Spark havuzu | Synapse Yöneticisi Synapse Katkıda Bulunan Synapse İşlem operatörü |
| Tümleştirme çalışma zamanı | Synapse Yöneticisi Synapse Katkıda Bulunan Synapse İşlem operatörü |
| Bağlı hizmet | Synapse Yöneticisi Synapse Kimlik Bilgisi Kullanıcısı |
| Referans | Synapse Yöneticisi Synapse Kimlik Bilgisi Kullanıcısı |
Not
Tüm yapıt rollerinin ve eylemlerinin kapsamı çalışma alanı düzeyindedir.
Sonraki adımlar
- Çalışma alanı için Synapse RBAC rol atamalarını gözden geçirmeyi öğrenin.
- Synapse RBAC rollerini atamayı öğrenin