أدوار التحكم في الوصول استناداً إلى الدور لـ Synapse
تصف المقالة الأدوار المضمنة في Synapse RBAC (التحكم في الوصول المستند إلى الدور)، والأذونات التي تمنحها، والنطاقات التي يمكن استخدامها فيها.
لمزيد من المعلومات حول مراجعة وتعيين عضويات دور Synapse، راجع كيفية مراجعة تعيينات دور Synapse RBAC وكيفية تعيين أدوار Synapse RBAC.
المدمج في أدوار ونطاقات Synapse RBAC
يصف الجدول التالي الأدوار المضمنة والنطاقات التي يمكن استخدامها فيها.
إشعار
المستخدمون الذين لديهم أي دور Synapse RBAC في أي نطاق لديهم دور مستخدم Synapse تلقائياً في نطاق مساحة العمل.
هام
لا تمنح أدوار Synapse RBAC أذونات لإنشاء أو إدارة تجمعات SQL وتجمعات Apache Spark وأوقات تشغيل التكامل في مساحات عمل Azure Synapse. مطلوب دور مالك Azure أو Azure Contributor في مجموعة الموارد لهذه الإجراءات.
| الدور | الأذونات | النطاقات |
|---|---|---|
| مسؤول Synapse | وصول Synapse الكامل إلى تجمعات SQL بلا خادم ومخصصة، وتجمعات Data Explorer، وتجمعات Apache Spark، وأوقات تشغيل التكامل. يتضمن الوصول إلى جميع البيانات الاصطناعية التعليمة البرمجية المنشورة وقراءتها وتحديثها وحذفها. يتضمن أذونات Compute Operator وLinked Data Manager وCredential User على بيانات اعتماد هوية نظام مساحة العمل. يتضمن تعيين أدوار Synapse RBAC. بالإضافة إلى مسؤول Synapse، يمكن لمالكي Azure أيضاً تعيين أدوار Synapse RBAC. أذونات Azure مطلوبة لإنشاء موارد الحساب وحذفها وإدارتها. يمكن تعيين أدوار Synapse RBAC حتى عند تعطيل الاشتراك المقترن.يمكن قراءة وكتابة البيانات الاصطناعية يمكن القيام بجميع الإجراءات على أنشطة Spark. يمكنه عرض سجلات تجمع Spark يمكنه عرض دفتر الملاحظات المحفوظ وإخراج مسار التدفق يمكنه استخدام البيانات السرية المخزنة بواسطة الخدمات أو معلومات تسجيل الدخول المرتبطةيمكنه تعيين وإبطال أدوار Synapse RBAC في النطاق الحالي | مساحة العمل مجموعة شرارة وقت تشغيل التكامل بيانات اعتماد الخدمة المرتبطة |
| مسؤول Synapse Apache Spark | وصول Synapse الكامل إلى Apache Spark Pools. قم بإنشاء وقراءة وتحديث وحذف الوصول إلى تعريفات وظائف Spark ومفكرات الملاحظات ومخرجاتها المنشورة والمكتبات والخدمات المرتبطة ومعلومات تسجيل الدخول. يتضمن الوصول للقراءة إلى جميع البيانات الاصطناعية التعليمة البرمجية المنشورة الأخرى. لا يتضمن إذناً لاستخدام معلومات تسجيل الدخول وتشغيل التدفقات. لا يشمل منح حق الوصول. يمكن القيام بجميع الإجراءات على البيانات الاصطناعية Sparkيمكن القيام بجميع الإجراءات على أنشطة Spark | مساحة العمل مجموعة شرارة |
| مسؤول Synapse SQL | وصول Synapse كامل إلى تجمعات SQL بلا خادم. قم بإنشاء وقراءة وتحديث وحذف الوصول إلى نصوص SQL المنشورة ومعلومات تسجيل الدخول والخدمات المرتبطة. يتضمن الوصول للقراءة إلى جميع البيانات الاصطناعية التعليمة البرمجية المنشورة الأخرى. لا يتضمن إذناً لاستخدام معلومات تسجيل الدخول وتشغيل التدفقات. لا يشمل منح حق الوصول. يمكن أن تفعل جميع الإجراءات على نصوص SQL يمكن الاتصال بنقاط نهاية بلا خادم SQL مع أذونات SQL db_datareaderو db_datawriterconnectgrant |
مساحة عمل |
| مساهم في Synapse | الوصول الكامل إلى مجمعات Apache Spark وأوقات تشغيل التكامل. يتضمن إنشاء وقراءة وتحديث وحذف الوصول إلى جميع البيانات الاصطناعية للتعليمات البرمجية المنشورة ومخرجاتها، بما في ذلك المسارات المجدولة وبيانات الاعتماد والخدمات المرتبطة. يتضمن حساب أذونات المشغل. لا يتضمن إذناً لاستخدام معلومات تسجيل الدخول وتشغيل التدفقات. لا يشمل منح حق الوصول. يمكن قراءة وكتابة البيانات الاصطناعيةيمكن عرض دفتر الملاحظات المحفوظ وإخراج مسار التدفقيمكن القيام بجميع الإجراءات على أنشطة Sparkيمكن عرض سجلات Spark pool | مساحة العمل مجموعة شرارة وقت تشغيل التكامل |
| ناشر الأدوات في Synapse | إنشاء الوصول إلى البيانات الاصطناعية للتعليمات البرمجية المنشورة ومخرجاتها وقراءتها وتحديثها وحذفها، بما في ذلك المسارات المجدولة. لا يتضمن إذناً لتشغيل التعليمة البرمجية أو التدفقات، أو لمنح الوصول. يمكنه قراءة الأعمال الفنية المنشورة ونشرهايمكن عرض دفتر الملاحظات المحفوظ، ووظيفة Spark، وإخراج مسار التدفق | مساحة عمل |
| مستخدم الأدوات في Synapse | الوصول للقراءة إلى البيانات الاصطناعية التعليمة البرمجية المنشورة ومخرجاتها. يمكن إنشاء بيانات اصطناعية جديدة ولكن لا يمكن نشر التغييرات أو تشغيل التعليمة البرمجية بدون أذونات إضافية. | مساحة عمل |
| مشغّل حساب في Synapse | إرسال مهام Spark ومفكرات الملاحظات وعرض السجلات. يتضمن إلغاء وظائف Spark المقدمة من قبل أي مستخدم. يتطلب أذونات اعتماد إضافية للاستخدام على هوية نظام مساحة العمل لتشغيل مسارات التدفق وعرض عمليات تشغيل التدفقات والمخرجات. يمكن إرسال وإلغاء الوظائف، بما في ذلك الوظائف المقدمة من قبل الآخرينيمكن عرض سجلات Spark pool | مساحة العملSpark poolوقت تشغيل التكامل |
| مشغل مراقبة Synapse | قراءة البيانات الاصطناعية للتعليمات البرمجية المنشورة، بما في ذلك السجلات والمخرجات لتشغيل البنية الأساسية لبرنامج ربط العمليات التجارية ودفاتر الملاحظات المكتملة. يتضمن القدرة على سرد وعرض تفاصيل تجمعات Apache Spark وتجمعات Data Explorer وأوقات تشغيل التكامل. يتطلب أذونات إضافية لتشغيل/إلغاء التدفقات ومفكرات Spark ووظائف Spark. | مساحة عمل |
| مستخدم بيانات اعتماد في Synapse | استخدام وقت التشغيل ووقت التكوين للبيانات سرية داخل معلومات تسجيل الدخول والخدمات المرتبطة في أنشطة مثل عمليات تشغيل مسارات التدفق. لتشغيل التدفقات، يكون هذا الدور مطلوباً، ويتم تحديد نطاقه وفقاً لهوية نظام مساحة العمل. نطاق إلى بيانات الاعتماد، يسمح بالوصول إلى البيانات عبر خدمة مرتبطة محمية بواسطة بيانات الاعتماد (قد يتطلب أيضًا إذن استخدام حساب) يسمح بتنفيذ المسارات المحمية بواسطة بيانات اعتماد هوية نظام مساحة العمل | بيانات اعتماد مساحة العمل الخدمة المرتبطة |
| مدير بيانات الارتباط التشعبي في Synapse | إنشاء وإدارة نقاط النهاية الخاصة المُدارة والخدمات المرتبطة ومعلومات تسجيل الدخول. يمكن إنشاء نقاط نهاية خاصة مُدارة تستخدم الخدمات المرتبطة المحمية بواسطة معلومات تسجيل الدخول | مساحة عمل |
| مستخدم في Synapse | سرد وعرض تفاصيل تجمعات SQL وتجمعات Apache Spark وأوقات تشغيل التكامل والخدمات ومعلومات تسجيل الدخول المرتبطة المنشورة. لا تتضمن البيانات الاصطناعية التعليمة البرمجية المنشورة الأخرى. يمكن إنشاء بيانات اصطناعية جديدة ولكن لا يمكن تشغيلها أو نشرها بدون أذونات إضافية. يمكن سرد وقراءة تجمعات Spark، وأوقات تشغيل التكامل. | مساحة العمل Spark poolالخدمة المرتبطة معلومات تسجيل الدخول |
تشابك أدوار RBAC والإجراءات التي تسمح بها
إشعار
- جميع الإجراءات المدرجة في الجداول أدناه مسبوقة، "Microsoft.Synapse/..."
- جميع إجراءات القراءة والكتابة والحذف تتعلق بالبيانات الاصطناعية المنشورة في الخدمة المباشرة. لا تؤثر هذه الأذونات على الوصول إلى البيانات الاصطناعية في مستودع Git متصل.
يسرد الجدول التالي الأدوار المضمنة والإجراءات/الأذونات التي يدعمها كل منها.
| دور | الإجراءات |
|---|---|
| مسؤول Synapse | workspaces/readworkspaces/roleAssignments/write, deleteworkspaces/managedPrivateEndpoint/write, deleteworkspaces/bigDataPools/useCompute/actionworkspaces/bigDataPools/viewLogs/actionworkspaces/integrationRuntimes/useCompute/actionworkspaces/integrationRuntimes/viewLogs/actionworkspaces/artifacts/readworkspaces/notebooks/write, deleteworkspaces/sparkJobDefinitions/write, deleteworkspaces/sqlScripts/write, deleteworkspaces/kqlScripts/write, deleteworkspaces/dataFlows/write, deleteworkspaces/pipelines/write, deleteworkspaces/triggers/write, deleteworkspaces/datasets/write, deleteworkspaces/libraries/write, deleteworkspaces/linkedServices/write, deleteworkspaces/credentials/write, deleteworkspaces/notebooks/viewOutputs/actionworkspaces/pipelines/viewOutputs/actionworkspaces/linkedServices/useSecret/actionworkspaces/credentials/useSecret/actionworkspaces/linkConnections/readworkspaces/linkConnections/writeworkspaces/linkConnections/deleteworkspaces/linkConnections/useCompute/action |
| مسؤول Synapse Apache Spark | workspaces/readworkspaces/bigDataPools/useCompute/actionworkspaces/bigDataPools/viewLogs/actionworkspaces/notebooks/viewOutputs/actionworkspaces/artifacts/readworkspaces/notebooks/write, deleteworkspaces/sparkJobDefinitions/write, deleteworkspaces/libraries/write, deleteworkspaces/linkedServices/write, deleteworkspaces/credentials/write, delete |
| مسؤول Synapse SQL | workspaces/readworkspaces/artifacts/readworkspaces/sqlScripts/write, deleteworkspaces/linkedServices/write, deleteworkspaces/credentials/write, delete |
| مساهم في Synapse | workspaces/readworkspaces/bigDataPools/useCompute/actionworkspaces/bigDataPools/viewLogs/actionworkspaces/integrationRuntimes/useCompute/actionworkspaces/integrationRuntimes/viewLogs/actionworkspaces/artifacts/readworkspaces/notebooks/write, deleteworkspaces/sparkJobDefinitions/write, deleteworkspaces/sqlScripts/write, deleteworkspaces/kqlScripts/write, deleteworkspaces/dataFlows/write, deleteworkspaces/pipelines/write, deleteworkspaces/triggers/write, deleteworkspaces/datasets/write, deleteworkspaces/libraries/write, deleteworkspaces/linkedServices/write, deleteworkspaces/credentials/write, deleteworkspaces/notebooks/viewOutputs/actionworkspaces/pipelines/viewOutputs/actionworkspaces/linkConnections/readworkspaces/linkConnections/writeworkspaces/linkConnections/deleteworkspaces/linkConnections/useCompute/action |
| ناشر الأدوات في Synapse | workspaces/readworkspaces/artifacts/readworkspaces/notebooks/write, deleteworkspaces/sparkJobDefinitions/write, deleteworkspaces/sqlScripts/write, deleteworkspaces/kqlScripts/write, deleteworkspaces/dataFlows/write, deleteworkspaces/pipelines/write, deleteworkspaces/triggers/write, deleteworkspaces/datasets/write, deleteworkspaces/libraries/write, deleteworkspaces/linkedServices/write, deleteworkspaces/credentials/write, deleteworkspaces/notebooks/viewOutputs/actionworkspaces/pipelines/viewOutputs/action |
| مستخدم الأدوات في Synapse | مساحات العمل/قراءةمساحات العمل/البيانات الاصطناعية/قراءةمساحات العمل/مفكرات الملاحظات/viewOutputs/مساحات عمل الإجراءات/المسارات/viewOutputs/الإجراء |
| مشغّل حساب في Synapse | workspaces/readworkspaces/bigDataPools/useCompute/actionworkspaces/bigDataPools/viewLogs/actionworkspaces/integrationRuntimes/useCompute/actionworkspaces/integrationRuntimes/viewLogs/actionworkspaces/linkConnections/readworkspaces/linkConnections/useCompute/action |
| مشغل مراقبة Synapse | workspaces/readworkspaces/artifacts/readworkspaces/notebooks/viewOutputs/actionworkspaces/pipelines/viewOutputs/actionworkspaces/integrationRuntimes/viewLogs/actionworkspaces/bigDataPools/viewLogs/action |
| مستخدم بيانات اعتماد في Synapse | workspaces/readworkspaces/linkedServices/useSecret/actionworkspaces/credentials/useSecret/action |
| مدير بيانات الارتباط التشعبي في Synapse | workspaces/readworkspaces/managedPrivateEndpoint/write, deleteworkspaces/linkedServices/write, deleteworkspaces/credentials/write, delete |
| مستخدم في Synapse | workspaces/read |
تشابك إجراءات RBAC والأدوار التي تسمح لها
يسرد الجدول التالي إجراءات Synapse والأدوار المضمنة التي تسمح بهذه الإجراءات:
| الإجراء | الدور |
|---|---|
| workspaces/read | Synapse AdministratorSynapse Apache Spark AdministratorSynapse SQL AdministratorSynapse ContributorSynapse Artifact PublisherSynapse Artifact UserSynapse Compute Operator Synapse Monitoring Operator Synapse Credential UserSynapse Linked Data ManagerSynapse User |
| workspaces/roleAssignments/write, delete | مسؤول Synapse |
| workspaces/managedPrivateEndpoint/write, delete | Synapse AdministratorSynapse Linked Data Manager |
| workspaces/bigDataPools/useCompute/action | Synapse AdministratorSynapse Apache Spark AdministratorSynapse ContributorSynapse Compute Operator Synapse Monitoring Operator |
| workspaces/bigDataPools/viewLogs/action | Synapse AdministratorSynapse Apache Spark AdministratorSynapse ContributorSynapse Compute Operator |
| workspaces/integrationRuntimes/useCompute/action | Synapse AdministratorSynapse ContributorSynapse Compute OperatorSynapse Monitoring Operator |
| workspaces/integrationRuntimes/viewLogs/action | Synapse AdministratorSynapse ContributorSynapse Compute OperatorSynapse Monitoring Operator |
| workspaces/linkConnections/read | Synapse AdministratorSynapse ContributorSynapse Compute Operator |
| workspaces/linkConnections/useCompute/action | Synapse AdministratorSynapse ContributorSynapse Compute Operator |
| workspaces/artifacts/read | Synapse AdministratorSynapse Apache Spark AdministratorSynapse SQL AdministratorSynapse ContributorSynapse Artifact PublisherSynapse Artifact User |
| workspaces/notebooks/write, delete | Synapse AdministratorSynapse Apache Spark AdministratorSynapse ContributorSynapse Artifact Publisher |
| workspaces/sparkJobDefinitions/write, delete | Synapse AdministratorSynapse Apache Spark AdministratorSynapse ContributorSynapse Artifact Publisher |
| workspaces/sqlScripts/write, delete | Synapse AdministratorSynapse SQL AdministratorSynapse ContributorSynapse Artifact Publisher |
| workspaces/kqlScripts/write, delete | Synapse AdministratorSynapse ContributorSynapse Artifact Publisher |
| workspaces/dataFlows/write, delete | Synapse AdministratorSynapse ContributorSynapse Artifact Publisher |
| workspaces/pipelines/write, delete | Synapse AdministratorSynapse ContributorSynapse Artifact Publisher |
| workspaces/linkConnections/write, delete | Synapse AdministratorSynapse Contributor |
| workspaces/triggers/write, delete | Synapse AdministratorSynapse ContributorSynapse Artifact Publisher |
| workspaces/datasets/write, delete | Synapse AdministratorSynapse ContributorSynapse Artifact Publisher |
| workspaces/libraries/write, delete | Synapse AdministratorSynapse Apache Spark AdministratorSynapse ContributorSynapse Artifact Publisher |
| workspaces/linkedServices/write, delete | Synapse AdministratorSynapse Apache Spark AdministratorSynapse SQL AdministratorSynapse ContributorSynapse Artifact PublisherSynapse Linked Data Manager |
| workspaces/credentials/write, delete | Synapse AdministratorSynapse Apache Spark AdministratorSynapse SQL AdministratorSynapse ContributorSynapse Artifact PublisherSynapse Linked Data Manager |
| workspaces/notebooks/viewOutputs/action | Synapse AdministratorSynapse Apache Spark AdministratorSynapse ContributorSynapse Artifact PublisherSynapse Artifact User |
| workspaces/pipelines/viewOutputs/action | Synapse AdministratorSynapse ContributorSynapse Artifact PublisherSynapse Artifact User |
| workspaces/linkedServices/useSecret/action | Synapse AdministratorSynapse Credential User |
| workspaces/credentials/useSecret/action | Synapse AdministratorSynapse Credential User |
نطاقات Synapse RBAC وأدوارها المدعومة
يسرد الجدول أدناه نطاقات Synapse RBAC والأدوار التي يمكن تعيينها في كل نطاق.
إشعار
لإنشاء عنصر أو حذفه، يجب أن يكون لديك أذونات في نطاق مستوى أعلى.
| النطاق | الأدوار |
|---|---|
| مساحة عمل | Synapse AdministratorSynapse Apache Spark AdministratorSynapse SQL AdministratorSynapse ContributorSynapse Artifact PublisherSynapse Artifact UserSynapse Compute Operator Synapse Monitoring Operator Synapse Credential UserSynapse Linked Data ManagerSynapse User |
| تجمع Apache Spark | Synapse Administrator Synapse Contributor Synapse Compute Operator |
| وقت تشغيل التكامل | Synapse Administrator Synapse Contributor Synapse Compute Operator |
| الخدمة المرتبطة | Synapse Administrator Synapse Credential User |
| بيانات اعتماد | Synapse Administrator Synapse Credential User |
إشعار
يتم تحديد نطاق جميع الأدوار والإجراءات المصطنعة على مستوى مساحة العمل.
الخطوات التالية
- تعرف على كيفية مراجعة تعيينات دور Synapse RBAC لمساحة العمل.
- تعرف على كيفية تعيين أدوار Synapse RBAC