Synapse RBAC 角色
本文說明內建的 Synapse RBAC 角色、他們授與的許可權,以及其可使用的範圍。
如需檢閱和指派 Synapse 角色成員資格的詳細資訊,請參閱 如何檢閱 Synapse RBAC 角色指派 ,以及如何 指派 Synapse RBAC 角色。
內建 Synapse RBAC 角色和範圍
下表描述可以使用的內建角色和範圍。
注意
在任何範圍內具有任何 Synapse RBAC 角色的使用者,會自動在工作區範圍內擁有 Synapse 使用者角色。
重要
Synapse RBAC 角色不會授與在 Azure Synapse 工作區中建立或管理 SQL 集區、Apache Spark 集區和整合運行時間的許可權。 這些動作需要資源群組上的 Azure 擁有者或 Azure 參與者角色。
角色 | 權限 | 範圍 |
---|---|---|
Synapse 系統管理員 | 完整 Synapse 存取無伺服器和專用 SQL 集區、數據總管集區、Apache Spark 集區和整合運行時間。 包括建立、讀取、更新和刪除所有已發佈程式代碼成品的存取權。 包含工作區系統身分識別認證的計算操作員、鏈接的數據管理員和認證用戶許可權。 包括指派 Synapse RBAC 角色。 除了 Synapse 管理員 istrator 之外,Azure 擁有者也可以指派 Synapse RBAC 角色。 建立、刪除和管理計算資源需要 Azure 許可權。 即使停用相關聯的訂用帳戶,也可以指派 Synapse RBAC 角色。 可以讀取和寫入成品 可以在Spark活動上執行所有動作。 可以檢視 Spark 集區記錄 可以檢視已儲存的筆記本和管線輸出 可以使用連結服務或認證 所儲存的秘密在目前範圍中指派和撤銷 Synapse RBAC 角色 |
工作區 Spark 集區 整合運行時間 連結服務 認證 |
Synapse Apache Spark 管理員 istrator |
Apache Spark 集區的完整 Synapse 存取權。 建立、讀取、更新和刪除已發佈 Spark 作業定義、筆記本及其輸出的存取權,以及連結庫、鏈接服務和認證。 包含所有其他已發佈程式代碼成品的讀取許可權。 不包含使用認證和執行管線的許可權。 不包含授與存取權。 可以在 Spark 成品 上執行所有動作 可以在 Spark 活動上執行所有動作 |
工作區 Spark 集區 |
Synapse SQL 管理員 | 完整 Synapse 存取無伺服器 SQL 集區。 建立、讀取、更新和刪除已發行 SQL 腳本、認證和鏈接服務的存取權。 包含所有其他已發佈程式代碼成品的讀取許可權。 不包含使用認證和執行管線的許可權。 不包含授與存取權。 可以在 SQL 文稿上執行所有動作 可以使用 SQL db_datareader 、、 db_datawriter connect 和 grant 許可權連線到 SQL 無伺服器端點 |
工作區 |
Synapse 參與者 | Apache Spark 集區和整合運行時間的完整 Synapse 存取權。 包括建立、讀取、更新和刪除所有已發佈程式代碼成品及其輸出的存取權,包括排程的管線、認證和鏈接服務。 包含計算運算符許可權。 不包含使用認證和執行管線的許可權。 不包含授與存取權。 可以讀取和寫入成品 可以檢視儲存的筆記本和管線輸出 可以在Spark活動 上執行所有動作可以檢視Spark集區記錄 |
工作區 Spark 集區 整合執行階段 |
Synapse Artifact Publisher | 建立、讀取、更新和刪除已發佈程式代碼成品及其輸出的存取權,包括排程的管線。 不包含執行程式代碼或管線的許可權,或授與存取權。 可以讀取已發佈的成品和發佈成品 可以檢視已儲存的筆記本、Spark 作業和管線輸出 |
工作區 |
Synapse 成品使用者 | 讀取已發佈程式代碼成品及其輸出的存取權。 可以建立新的成品,但無法在沒有其他許可權的情況下發佈變更或執行程序代碼。 | 工作區 |
Synapse 計算運算符 | 提交 Spark 作業和筆記本,並檢視記錄。 包含取消任何使用者提交的Spark作業。 需要工作區系統身分識別上的額外使用認證許可權,才能執行管線、檢視管線執行和輸出。 可以提交和取消作業,包括其他人 提交的作業可以檢視 Spark 集區記錄 |
工作區 Spark 集 區整合運行時間 |
Synapse 監視操作員 | 讀取已發佈的程式代碼成品,包括管線執行和已完成筆記本的記錄和輸出。 包含列出和檢視 Apache Spark 集區、數據總管集區和整合運行時間的詳細數據的能力。 需要額外的許可權才能執行/取消管線、Spark 筆記本和 Spark 作業。 | 工作區 |
Synapse 認證使用者 | 在管線執行等活動中,在認證和鏈接服務內使用秘密的運行時間和組態時間。 若要執行管線,此角色必須限定於工作區系統身分識別。 限定為認證,允許透過受認證保護的連結服務存取資料(也可能需要計算使用許可權) 允許執行受工作區系統身分識別認證保護的管線 |
工作區 連結服務 認證 |
Synapse 鏈接的數據管理員 | 建立和管理受控私人端點、鏈接服務和認證。 可以建立受控私人端點,以使用受認證保護的連結服務 | 工作區 |
Synapse 使用者 | 列出和檢視 SQL 集區、Apache Spark 集區、整合運行時間,以及已發佈的連結服務和認證的詳細數據。 不包含其他已發佈的程序代碼成品。 可以建立新的成品,但無法在沒有其他許可權的情況下執行或發佈。 可以列出和讀取 Spark 集區、整合運行時間。 |
工作區、Spark 集區 連結服務 認證 |
Synapse RBAC 角色及其允許的動作
注意
- 下表中列出的所有動作前面都會加上 “Microsoft.Synapse/...”
- 所有成品讀取、寫入和刪除動作都與即時服務中已發佈的成品有關。 這些許可權不會影響連線 Git 存放庫中成品的存取權。
下表列出每個支援的內建角色和動作/許可權。
角色 | 動作 |
---|---|
Synapse 系統管理員 | workspaces/read workspaces/roleAssignments/write, delete workspaces/managedPrivateEndpoint/write, delete workspaces/bigDataPools/useCompute/action workspaces/bigDataPools/viewLogs/action workspaces/integrationRuntimes/useCompute/action workspaces/integrationRuntimes/viewLogs /action workspaces/artifacts/read workspaces/notebooks/write, delete workspaces/sparkJobDefinitions/write, delete workspaces/sqlScripts/write、delete workspaces/kqlScripts/write、delete workspaces/dataFlows/write、delete workspaces/pipelines/write、delete workspaces/triggers/write、delete workspaces/datasets /write、delete workspaces/libraries /write、delete workspaces/linkedServices /write、delete workspaces/credentials/write 、delete workspaces/notebooks/viewOutputs/action workspaces/pipelines/viewOutputs/viewOutputs/action workspaces/linkedServices/useSecret/action workspaces/credentials/useSecret/action workspaces/link 連線 ions/read workspaces/link 連線 ions/write workspaces/link 連線 ions/delete workspaces/link 連線 ions/useCompute/action |
Synapse Apache Spark 管理員 | workspaces/read workspaces/bigDataPools/useCompute/action workspaces/bigDataPools/viewLogs/action workspaces/notebooks/viewOutputs/action workspaces/artifacts/read workspaces/notebooks/write、delete workspaces/sparkJobDefinitions/write、delete workspaces/libraries/write、delete workspaces/linkedServices/write、delete workspaces/credentials/write、delete |
Synapse SQL 管理員 | workspaces/read workspaces/artifacts/read workspaces/sqlScripts/write、delete workspaces/linkedServices/write、delete workspaces/credentials/write、delete |
Synapse 參與者 | workspaces/read workspaces/bigDataPools/useCompute/action workspaces/bigDataPools/viewLogs/action workspaces/integrationRuntimes/useCompute/action workspaces/integrationRuntimes/viewLogs/action workspaces/artifacts/read workspaces/notebooks/write, delete workspaces/sparkJobDefinitions/write, delete workspaces/sqlScripts/write, delete workspaces/kqlScripts/write, delete workspaces/dataFlows/write, delete workspaces/pipelines/write、delete workspaces/triggers/write、delete workspaces/datasets/write、delete workspaces/library/write、delete workspaces/linkedServices/write、delete workspaces/credentials/ write、delete workspaces/notebooks/viewOutputs/action workspaces/pipelines/viewOutputs/action workspaces/link 連線 ions/read workspaces/link 連線 ions/write workspaces/link 連線 ions/delete workspaces/link 連線 ions/useCompute/action |
Synapse Artifact Publisher | workspaces/read workspaces/artifacts/read workspaces/notebooks/write、 delete workspaces/sparkJobDefinitions/write, delete workspaces/sqlScripts/write, delete workspaces/kqlScripts/write, delete workspaces/dataFlows /write, delete workspaces/pipelines /write, delete workspaces/triggers /write, delete workspaces/datasets /write, delete workspaces/libraries/write, delete workspaces/linkedServices/write, delete workspaces/credentials/write,delete workspaces/notebooks/viewOutputs/action workspaces/pipelines/viewOutputs/action |
Synapse 成品使用者 | workspaces/read workspaces/artifacts/read workspaces/notebooks/viewOutputs/action workspaces/pipelines/viewOutputs/action |
Synapse 計算運算符 | workspaces/read workspaces/bigDataPools/useCompute/action workspaces/bigDataPools/viewLogs/action workspaces/integrationRuntimes/useCompute/action workspaces/integrationRuntimes/viewLogs/action workspaces/link 連線 ions/read workspaces/link 連線 ions/useCompute/action |
Synapse 監視操作員 | workspaces/read workspaces/artifacts/read workspaces/notebooks/viewOutputs/action workspaces/pipelines/viewOutputs/action workspaces/integrationRuntimes/viewLogs/ action workspaces/bigDataPools/viewLogs/action |
Synapse 認證使用者 | workspaces/read workspaces/linkedServices/useSecret/action workspaces/credentials/useSecret/action |
Synapse 鏈接的數據管理員 | workspaces/read workspaces/managedPrivateEndpoint/write、delete workspaces/linkedServices/write、delete workspaces/credentials/write、delete |
Synapse 使用者 | workspaces/read |
Synapse RBAC 動作和允許它們的角色
下表列出 Synapse 動作和允許這些動作的內建角色:
動作 | 角色 |
---|---|
workspaces/read | Synapse 管理員 istrator Synapse Apache Spark 管理員 istrator Synapse SQL 管理員 istrator Synapse 參與者 Synapse Artifact Publisher Synapse Artifact User Synapse Compute Operator Synapse Monitoring Operator Synapse Credential Operator Synapse Linked Data Manager Synapse User |
workspaces/roleAssignments/write, delete | Synapse 系統管理員 |
workspaces/managedPrivateEndpoint/write, delete | Synapse 管理員 istrator Synapse Linked Data Manager |
workspaces/bigDataPools/useCompute/action | Synapse 管理員 istrator Synapse Apache Spark 管理員 istrator Synapse 參與者 Synapse 計算運算符 Synapse 監視運算符 |
workspaces/bigDataPools/viewLogs/action | Synapse 管理員 istrator Synapse Apache Spark 管理員 istrator Synapse 參與者 Synapse 計算運算符 |
workspaces/integrationRuntimes/useCompute/action | Synapse 管理員 istrator Synapse 參與者 Synapse 計算運算符 Synapse 監視運算符 |
workspaces/integrationRuntimes/viewLogs/action | Synapse 管理員 istrator Synapse 參與者 Synapse 計算運算符 Synapse 監視運算符 |
workspaces/link 連線 ions/read | Synapse 管理員 istrator Synapse 參與者 Synapse 計算操作員 |
workspaces/link 連線 ions/useCompute/action | Synapse 管理員 istrator Synapse 參與者 Synapse 計算運算符 |
workspaces/artifacts/read | Synapse 管理員 istrator Synapse Apache Spark 管理員 istrator Synapse SQL 管理員 istrator Synapse 參與者 Synapse Artifact Publisher Synapse Artifact User |
workspaces/notebooks/write,delete | Synapse 管理員 istrator Synapse Apache Spark 管理員 istrator Synapse 參與者 Synapse Artifact Publisher |
workspaces/sparkJobDefinitions/write, delete | Synapse 管理員 istrator Synapse Apache Spark 管理員 istrator Synapse 參與者 Synapse 成品發行者 |
workspaces/sqlScripts/write, delete | Synapse 管理員 istrator Synapse SQL 管理員 istrator Synapse 參與者 Synapse 成品發行者 |
workspaces/kqlScripts/write, delete | Synapse 管理員 istrator Synapse 參與者 Synapse Artifact Publisher |
workspaces/dataFlows/write, delete | Synapse 管理員 istrator Synapse 參與者 Synapse Artifact Publisher |
workspaces/pipelines/write, delete | Synapse 管理員 istrator Synapse 參與者 Synapse 成品發行者 |
workspaces/link 連線 ions/write, delete | Synapse 管理員 istrator Synapse 參與者 |
workspaces/triggers/write,delete | Synapse 管理員 istrator Synapse 參與者 Synapse 成品發行者 |
workspaces/datasets/write, delete | Synapse 管理員 istrator Synapse 參與者 Synapse Artifact Publisher |
workspaces/libraries/write, delete | Synapse 管理員 istrator Synapse Apache Spark 管理員 istrator Synapse 參與者 Synapse Artifact Publisher |
workspaces/linkedServices/write, delete | Synapse 管理員 istrator Synapse Apache Spark 管理員 istrator Synapse SQL 管理員 istrator Synapse 參與者 Synapse Artifact Publisher Synapse Linked Data Manager |
workspaces/credentials/write, delete | Synapse 管理員 istrator Synapse Apache Spark 管理員 istrator Synapse SQL 管理員 istrator Synapse 參與者 Synapse Artifact Publisher Synapse Linked Data Manager |
workspaces/notebooks/viewOutputs/action | Synapse 管理員 istrator Synapse Apache Spark 管理員 istrator Synapse 參與者 Synapse Artifact Publisher Synapse Artifact User |
workspaces/pipelines/viewOutputs/action | Synapse 管理員 istrator Synapse 參與者 Synapse Artifact Publisher Synapse Artifact User |
workspaces/linkedServices/useSecret/action | Synapse 管理員 istrator Synapse 認證使用者 |
workspaces/credentials/useSecret/action | Synapse 管理員 istrator Synapse 認證使用者 |
Synapse RBAC 範圍及其支援的角色
下表列出 Synapse RBAC 範圍,以及可在每個範圍指派的角色。
注意
若要建立或刪除物件,您必須具有較高層級範圍的許可權。
範圍 | 角色 |
---|---|
工作區 | Synapse 管理員 istrator Synapse Apache Spark 管理員 istrator Synapse SQL 管理員 istrator Synapse 參與者 Synapse Artifact Publisher Synapse Artifact User Synapse Compute Operator Synapse Monitoring Operator Synapse Credential Operator Synapse Linked Data Manager Synapse User |
Apache Spark 集區 | Synapse 管理員 istrator Synapse 參與者 Synapse 計算運算符 |
整合執行階段 | Synapse 管理員 istrator Synapse 參與者 Synapse 計算運算符 |
連結服務 | Synapse 管理員 istrator Synapse 認證使用者 |
認證 | Synapse 管理員 istrator Synapse 認證使用者 |
注意
所有成品角色和動作的範圍都在工作區層級。
下一步
- 瞭解如何 檢閱工作區的 Synapse RBAC 角色指派。
- 瞭解如何 指派 Synapse RBAC 角色