أدوار وأذونات لـ Azure Data Factory

ينطبق على:Azure Data Factory Azure Synapse Analytics

تلميح

جرب Data Factory في Microsoft Fabric، وهو حل تحليلي متكامل للمؤسسات. يغطي Microsoft Fabric كل شيء بدءا من حركة البيانات إلى علم البيانات والتحليلات في الوقت الحقيقي والمعلومات المهنية وإعداد التقارير. تعرف على كيفية بدء إصدار تجريبي جديد مجانا!

توضح هذه المقالة الأدوار المطلوبة لإنشاء موارد Azure Data Factory وإدارتها، والأذونات الممنوحة بواسطة هذه الأدوار.

الأدوار والمتطلبات

لإنشاء مثيلات Data Factory، يجب أن يكون حساب المستخدم الذي تستخدمه لتسجيل الدخول إلى Azure عضواً في دور المساهم أو دور المالك أو المسؤول من اشتراك Azure. لعرض الأذونات التي لديك في الاشتراك، في مدخل Microsoft Azure، حدد اسم المستخدم الخاص بك في الزاوية العلوية اليسرى، ثم حدد My permissions. إذا كان لديك حق الوصول إلى اشتراكات متعددة، فحدّد الاشتراك المناسب.

لإنشاء موارد تابعة لـ Data Factory وإدارتها، بما في ذلك مجموعات البيانات، والخدمات المرتبطة، والتدفقات، وأوقات تشغيل التكامل، فإن المتطلبات التالية تنطبق:

• لإنشاء الموارد التابعة وإدارتها في مدخل Microsoft Azure، يجب أن تنتمي إلى دور Data Factory Contributor على مستوى مجموعة الموارد أو أعلى.

  إشعار

  إذا قمت بتعيين دور المساهم مسبقاً على مستوى مجموعة الموارد أو أعلى، فلن تحتاج إلى دور Data Factory Contributor. دور المساهم هو دور مجموعة فائقة يتضمن جميع الأذونات الممنوحة لـ Data Factory Contributor role.

• لإنشاء الموارد التابعة وإدارتها باستخدام PowerShell أو SDK، فإن دور المساهم على مستوى المورد أو أعلى كافي.

للحصول على نماذج من الإرشادات حول كيفية إضافة مستخدم إلى دور، راجع مقالة إضافة أدوار.

إعداد الأذونات

بعد إنشاء Data Factory، قد تحتاج إلى السماح للمستخدمين الآخرين بالعمل مع مصنع البيانات. لمنح هذا الوصول إلى مستخدمين آخرين، يجب إضافتهم إلى دورData Factory Contributor المضمن في مجموعة الموارد التي تحتوي على Data Factory.

نطاق دور المساهم في Data Factory

تتيح عضوية دور Data Factory Contributor للمستخدمين القيام بالأشياء التالية:

• إنشاء وتعديل وحذف مصانع البيانات والموارد التابعة لها، بما في ذلك مجموعات البيانات والخدمات المرتبطة والمسارات والمشغلات وأوقات تشغيل التكامل.
• قوالب Azure Resource Manager توزيع Azure Resource Manager عبارة عن أسلوب التوزيع المستخدم عن طريق Data Factory في مدخل Microsoft Azure.
• إدارة تنبيهات App Insights لمصنع بيانات.
• إنشاء تذاكر الدعم.

لمزيد من المعلومات حول هذا الدور، راجع Data Factory Contributor role.

نشر قالب Azure Resource Manager

يتيح دور Data Factory Contributor. على مستوى مجموعة الموارد أو أعلى، للمستخدمين نشر قوالب Azure Resource Manager. ونتيجة لذلك، يمكن لأعضاء الدور استخدام قوالب Azure Resource Manager لنشر كل من مصانع البيانات ومواردها التابعة، بما في ذلك مجموعات البيانات والخدمات المرتبطة والمسارات والمشغلات ووقت تشغيل التكامل. لا تسمح العضوية في هذا الدور للمستخدم بإنشاء موارد أخرى.

الأذونات على Azure Repos وGitHub مستقلة عن أذونات Data Factory. ونتيجة لذلك، يمكن للمستخدم الذي لديه أذونات Azure Repos وهو عضو فقط في دور القارئ تحرير موارد Data Factory التابعة وتنفيذ التغييرات في المستودع، ولكن لا يمكنه نشر هذه التغييرات.

هام

توزيع قالب Azure Resource Manager مع دور Data Factory Contributor لا يرفع الأذونات الخاصة بك. على سبيل المثال، إذا قمت بنشر قالب يقوم بإنشاء جهاز Azure ظاهري، ولم يكن لديك الإذن لإنشاء الأجهزة الظاهرية، يفشل النشر مع خطأ في التخويل.

في سياق النشر، يطبق إذن Microsoft.DataFactory / plants / write في الأوضاع التالية.

• هذا الإذن مطلوب فقط في الوضع المباشر عندما يقوم العميل بتعديل المعلمات العمومية.
• يعد هذا الإذن مطلوباً دائماً في وضع Git في كل مرة بعد نشر العميل، يجب تحديث عنصر المصنع الذي يحتوي على معرف الالتزام الأخير.

سيناريوهات مخصصة وأدوار مخصصة

قد تحتاج أحياناً إلى منح مستويات وصول مختلفة لمستخدمي مصنع البيانات المختلفين. على سبيل المثال:

• قد تحتاج إلى مجموعة يمتلك فيها المستخدمون أذونات فقط على مصنع بيانات معين.
• أو قد تحتاج إلى مجموعة حيث يمكن للمستخدمين فقط مراقبة مصنع بيانات (أو مصانع) ولكن لا يمكنهم تعديله.

يمكنك تحقيق هذه السيناريوهات المخصصة بإنشاء أدوار مخصصة وتعيين مستخدمين لهذه الأدوار. لمزيد من المعلومات حول الأدوار المخصصة، راجع الأدوار المخصصة في Azure.

فيما يلي بعض الأمثلة التي توضح ما يمكنك تحقيقه باستخدام الأدوار المخصصة:

• اسمح للمستخدم بإنشاء أو تحرير أو حذف أي مصنع بيانات في مجموعة موارد من مدخل Microsoft Azure.

  تعيين دور المساهم في Data Factory المضمن على مستوى مجموعة الموارد للمستخدم. إذا كنت تريد السماح بالوصول إلى أي مصنع بيانات في أحد الاشتراكات، فقم بتعيين الدور على مستوى الاشتراك.

• اسمح للمستخدم بعرض (قراءة) ومراقبة مصنع بيانات، لكن لا يقوم بتحريره أو تغييره.

  تعيين دور القارئ المضمن على مورد مصنع البيانات للمستخدم.

• السماح للمستخدم بتحرير مصنع بيانات واحد في مدخل Microsoft Azure.

  يتطلب هذا السيناريو تعيينين للدور.

  1. تعيين دور المساهم المضمن على مستوى مصنع البيانات.
  2. إنشاء دور مخصص من خلال الإذن Microsoft.Resources/deployments/. تعيين هذا الدور المخصص للمستخدم على مستوى مجموعة الموارد.

• اسمح للمستخدم بالقدرة على اختبار الاتصال في خدمة مرتبطة أو معاينة البيانات في مجموعة بيانات

  أنشئ دوراً مخصصاً بأذونات للإجراءات التالية: Microsoft.DataFactory / plants / getFeatureValue / read وMicrosoft.DataFactory / plants / getDataPlaneAccess / action. قم بتعيين هذا الدور المخصص على مورد مصنع البيانات للمستخدم.

• اسمح للمستخدم بتحديث مصنع بيانات من PowerShell أو SDK، ولكن ليس في مدخل Microsoft Azure.

  تعيين دور المساهم المضمن على مورد مصنع البيانات للمستخدم. يتيح هذا الدور للمستخدم الاطلاع على الموارد في مدخل Azure، ولكن لا يمكن للمستخدم الوصول إلى الزرين نشر ونشر الكل.

المحتوى ذو الصلة

• تعرف على المزيد حول الأدوار في Azure - فهم تعريفات الأدوار

• تعرف على المزيد حول دور المساهم في Data Factory - دور المساهم في Data Factory.