أدوار Synapse RBAC

تصف المقالة الأدوار المضمنة في Synapse RBAC (التحكم في الوصول المستند إلى الدور)، والأذونات التي تمنحها، والنطاقات التي يمكن استخدامها فيها.

لمزيد من المعلومات حول مراجعة وتعيين عضويات دور Synapse، راجع كيفية مراجعة تعيينات دور Synapse RBAC وكيفية تعيين أدوار Synapse RBAC.

ما الذي تغير منذ المعاينة؟

بالنسبة للمستخدمين المطلعين على أدوار Synapse RBAC المقدمة أثناء المعاينة، تنطبق التغييرات التالية:

  • تمت إعادة تسمية مساحة العمل Admin Synapse المسؤول
  • تمت إعادة تسمية Apache Spark Admin Synapse Apache Spark المسؤول ولديه إذن لرؤية جميع البيانات الاصطناعية التعليمة البرمجية المنشورة، بما في ذلك نصوص SQL النصية. لم يعد هذا الدور يمنح الإذن باستخدام مساحة العمل MSI، الأمر الذي يتطلب دور مستخدم معلومات تسجيل الدخول Synapse. هذا الإذن مطلوب لتشغيل التدفقات.
  • تمت إعادة تسمية مسؤول SQL إلى Synapse SQL المسؤول ولديه إذن لرؤية جميع البيانات الاصطناعية التعليمة البرمجية المنشورة، بما في ذلك مفكرات الملاحظات والمهام Spark. لم يعد هذا الدور يمنح الإذن باستخدام مساحة العمل MSI، الأمر الذي يتطلب دور مستخدم معلومات تسجيل الدخول Synapse. هذا الإذن مطلوب لتشغيل التدفقات.
  • تم تقديمأدوار Synapse RBAC جديدة أدق تركز على دعم شخصيات التطوير والعمليات بدلاً من أوقات تشغيل التحليلات المحددة.
  • تم تقديمنطاقات جديدة ذات مستوى أدنى لأدوار متعددة. تسمح هذه النطاقات بتقييد الأدوار بموارد أو عناصر محددة.

المدمج في أدوار ونطاقات Synapse RBAC

يصف الجدول التالي الأدوار المضمنة والنطاقات التي يمكن استخدامها فيها.

ملاحظة

المستخدمون الذين لديهم أي دور Synapse RBAC في أي نطاق لديهم دور مستخدم Synapse تلقائياً في نطاق مساحة العمل.

هام

لا تمنح أدوار Synapse RBAC أذونات لإنشاء أو إدارة تجمعات SQL وتجمعات Apache Spark وأوقات تشغيل التكامل في مساحات عمل Azure Synapse. مطلوب دور مالك Azure أو Azure Contributor في مجموعة الموارد لهذه الإجراءات.

الدور الأذونات النطاقات
مسؤول Synapse وصول Synapse كامل إلى تجمعات SQL، وتجمعات مستكشف البيانات، وتجمعات Apache Spark، وأوقات تشغيل التكامل. يتضمن الوصول إلى جميع البيانات الاصطناعية التعليمة البرمجية المنشورة وقراءتها وتحديثها وحذفها. يتضمن أذونات Compute Operator وLinked Data Manager وCredential User على بيانات اعتماد هوية نظام مساحة العمل. يتضمن تعيين أدوار Synapse RBAC. بالإضافة إلى مسؤول Synapse، يمكن لمالكي Azure أيضاً تعيين أدوار Synapse RBAC. أذونات Azure مطلوبة لإنشاء موارد الحساب وحذفها وإدارتها.

يمكن قراءة وكتابة البيانات الاصطناعية
يمكن القيام بجميع الإجراءات على أنشطة Spark.
يمكنه عرض سجلات تجمع Spark
يمكنه عرض دفتر الملاحظات المحفوظ وإخراج مسار التدفق
يمكنه استخدام البيانات السرية المخزنة بواسطة الخدمات أو معلومات تسجيل الدخول المرتبطة
يمكنه تعيين وإبطال أدوار Synapse RBAC في النطاق الحالي
مساحة العمل
مجموعة شرارة
وقت تشغيل التكامل بيانات اعتماد
الخدمة المرتبطة
مسؤول Synapse Apache Spark
وصول Synapse الكامل إلى Apache Spark Pools. قم بإنشاء وقراءة وتحديث وحذف الوصول إلى تعريفات وظائف Spark ومفكرات الملاحظات ومخرجاتها المنشورة والمكتبات والخدمات المرتبطة ومعلومات تسجيل الدخول.  يتضمن الوصول للقراءة إلى جميع البيانات الاصطناعية التعليمة البرمجية المنشورة الأخرى. لا يتضمن إذناً لاستخدام معلومات تسجيل الدخول وتشغيل التدفقات. لا يشمل منح حق الوصول.

يمكن القيام بجميع الإجراءات على البيانات الاصطناعية Spark
يمكن القيام بجميع الإجراءات على أنشطة Spark
مساحة العمل
مجموعة شرارة
مسؤول Synapse SQL وصول Synapse كامل إلى تجمعات SQL بلا خادم. قم بإنشاء وقراءة وتحديث وحذف الوصول إلى نصوص SQL المنشورة ومعلومات تسجيل الدخول والخدمات المرتبطة.  يتضمن الوصول للقراءة إلى جميع البيانات الاصطناعية التعليمة البرمجية المنشورة الأخرى.  لا يتضمن إذناً لاستخدام معلومات تسجيل الدخول وتشغيل التدفقات. لا يشمل منح حق الوصول.

يمكن أن تفعل جميع الإجراءات على نصوص SQL
يمكن الاتصال بنقاط نهاية بلا خادم SQL مع أذونات SQL db_datareaderو db_datawriterconnectgrant
مساحة العمل
مساهم في Synapse الوصول الكامل إلى مجمعات Apache Spark وأوقات تشغيل التكامل. يتضمن الوصول إلى جميع البيانات الاصطناعية التعليمة البرمجية المنشورة ومخرجاتها، وقراءتها، وتحديثها، وحذفها، بما في ذلك معلومات تسجيل الدخول والخدمات المرتبطة.  يتضمن حساب أذونات المشغل. لا يتضمن إذناً لاستخدام معلومات تسجيل الدخول وتشغيل التدفقات. لا يشمل منح حق الوصول.

يمكن قراءة وكتابة البيانات الاصطناعية
يمكن عرض دفتر الملاحظات المحفوظ وإخراج مسار التدفق
يمكن القيام بجميع الإجراءات على أنشطة Spark
يمكن عرض سجلات Spark pool
مساحة العمل
مجموعة شرارة
وقت تشغيل التكامل
ناشر الأدوات في Synapse إنشاء الوصول إلى البيانات الاصطناعية التعليمة البرمجية المنشورة ومخرجاتها وقراءتها وتحديثها وحذفها. لا يتضمن إذناً لتشغيل التعليمة البرمجية أو التدفقات، أو لمنح الوصول.

يمكنه قراءة الأعمال الفنية المنشورة ونشرها
يمكن عرض دفتر الملاحظات المحفوظ، ووظيفة Spark، وإخراج مسار التدفق
مساحة العمل
مستخدم الأدوات في Synapse الوصول للقراءة إلى البيانات الاصطناعية التعليمة البرمجية المنشورة ومخرجاتها. يمكن إنشاء بيانات اصطناعية جديدة ولكن لا يمكن نشر التغييرات أو تشغيل التعليمة البرمجية بدون أذونات إضافية. مساحة العمل
مشغّل حساب في Synapse إرسال مهام Spark ومفكرات الملاحظات وعرض السجلات.  يتضمن إلغاء وظائف Spark المقدمة من قبل أي مستخدم. يتطلب أذونات اعتماد إضافية للاستخدام على هوية نظام مساحة العمل لتشغيل مسارات التدفق وعرض عمليات تشغيل التدفقات والمخرجات.

يمكن إرسال وإلغاء الوظائف، بما في ذلك الوظائف المقدمة من قبل الآخرين
يمكن عرض سجلات Spark pool
مساحة العمل
Spark pool
وقت تشغيل التكامل
مشغل مراقبة Synapse اقرأ البيانات الاصطناعية للتعليمات البرمجية المنشورة، بما في ذلك السجلات والمخرجات لتشغيل البنية الأساسية لبرنامج ربط العمليات التجارية ودفاتر الملاحظات المكتملة. يتضمن القدرة على سرد وعرض تفاصيل تجمعات SQL بلا خادم، وتجمعات Apache Spark، ومجمعات Data Explorer، وأوقات تشغيل التكامل. يتطلب أذونات إضافية لتشغيل/إلغاء التدفقات ومفكرات Spark ووظائف Spark. مساحة العمل
مستخدم بيانات اعتماد في Synapse استخدام وقت التشغيل ووقت التكوين للبيانات سرية داخل معلومات تسجيل الدخول والخدمات المرتبطة في أنشطة مثل عمليات تشغيل مسارات التدفق. لتشغيل التدفقات، يكون هذا الدور مطلوباً، ويتم تحديد نطاقه وفقاً لهوية نظام مساحة العمل.

نطاق إلى بيانات الاعتماد، يسمح بالوصول إلى البيانات عبر خدمة مرتبطة محمية بواسطة بيانات الاعتماد (قد يتطلب أيضًا إذن استخدام حساب)
يسمح بتنفيذ المسارات المحمية بواسطة بيانات اعتماد هوية نظام مساحة العمل
بيانات اعتماد مساحة العمل
الخدمة المرتبطة
مدير بيانات الارتباط التشعبي في Synapse إنشاء وإدارة نقاط النهاية الخاصة المُدارة والخدمات المرتبطة ومعلومات تسجيل الدخول. يمكن إنشاء نقاط نهاية خاصة مُدارة تستخدم الخدمات المرتبطة المحمية بواسطة معلومات تسجيل الدخول مساحة العمل
مستخدم في Synapse سرد وعرض تفاصيل تجمعات SQL وتجمعات Apache Spark وأوقات تشغيل التكامل والخدمات ومعلومات تسجيل الدخول المرتبطة المنشورة. لا تتضمن البيانات الاصطناعية التعليمة البرمجية المنشورة الأخرى.  يمكن إنشاء بيانات اصطناعية جديدة ولكن لا يمكن تشغيلها أو نشرها بدون أذونات إضافية.

يمكن سرد وقراءة تجمعات Spark، وأوقات تشغيل التكامل.
مساحة العمل Spark pool
​​الخدمة المرتبطة
معلومات تسجيل الدخول

تشابك أدوار RBAC والإجراءات التي تسمح بها

ملاحظة

  • جميع الإجراءات المدرجة في الجداول أدناه مسبوقة، "Microsoft.Synapse/..."
  • جميع إجراءات القراءة والكتابة والحذف تتعلق بالبيانات الاصطناعية المنشورة في الخدمة المباشرة. لا تؤثر هذه الأذونات على الوصول إلى البيانات الاصطناعية في مستودع Git متصل.

يسرد الجدول التالي الأدوار المضمنة والإجراءات/الأذونات التي يدعمها كل منها.

الدور الإجراءات
مسؤول Synapse workspaces/read
workspaces/roleAssignments/write, delete
workspaces/managedPrivateEndpoint/write, delete
workspaces/bigDataPools/useCompute/action
workspaces/bigDataPools/viewLogs/action
workspaces/integrationRuntimes/useCompute/action
workspaces/integrationRuntimes/viewLogs/action
workspaces/artifacts/read
workspaces/notebooks/write, delete
workspaces/sparkJobDefinitions/write, delete
workspaces/sqlScripts/write, delete
workspaces/kqlScripts/write, delete
workspaces/dataFlows/write, delete
workspaces/pipelines/write, delete
workspaces/triggers/write, delete
workspaces/datasets/write, delete
workspaces/libraries/write, delete
workspaces/linkedServices/write, delete
workspaces/credentials/write, delete
workspaces/notebooks/viewOutputs/action
workspaces/pipelines/viewOutputs/action
workspaces/linkedServices/useSecret/action
workspaces/credentials/useSecret/action
workspaces/linkConnections/read
workspaces/linkConnections/write
workspaces/linkConnections/delete
workspaces/linkConnections/useCompute/action
مسؤول Synapse Apache Spark workspaces/read
workspaces/bigDataPools/useCompute/action
workspaces/bigDataPools/viewLogs/action
workspaces/notebooks/viewOutputs/action
workspaces/artifacts/read
workspaces/notebooks/write, delete
workspaces/sparkJobDefinitions/write, delete
workspaces/libraries/write, delete
workspaces/linkedServices/write, delete
workspaces/credentials/write, delete
مسؤول Synapse SQL workspaces/read
workspaces/artifacts/read
workspaces/sqlScripts/write, delete
workspaces/linkedServices/write, delete
workspaces/credentials/write, delete
مساهم في Synapse workspaces/read
workspaces/bigDataPools/useCompute/action
workspaces/bigDataPools/viewLogs/action
workspaces/integrationRuntimes/useCompute/action
workspaces/integrationRuntimes/viewLogs/action
workspaces/artifacts/read
workspaces/notebooks/write, delete
workspaces/sparkJobDefinitions/write, delete
workspaces/sqlScripts/write, delete
workspaces/kqlScripts/write, delete
workspaces/dataFlows/write, delete
workspaces/pipelines/write, delete
workspaces/triggers/write, delete
workspaces/datasets/write, delete
workspaces/libraries/write, delete
workspaces/linkedServices/write, delete
workspaces/credentials/write, delete
workspaces/notebooks/viewOutputs/action
workspaces/pipelines/viewOutputs/action
workspaces/linkConnections/read
workspaces/linkConnections/write
workspaces/linkConnections/delete
workspaces/linkConnections/useCompute/action
ناشر الأدوات في Synapse workspaces/read
workspaces/artifacts/read
workspaces/notebooks/write, delete
workspaces/sparkJobDefinitions/write, delete
workspaces/sqlScripts/write, delete
workspaces/kqlScripts/write, delete
workspaces/dataFlows/write, delete
workspaces/pipelines/write, delete
workspaces/triggers/write, delete
workspaces/datasets/write, delete
workspaces/libraries/write, delete
workspaces/linkedServices/write, delete
workspaces/credentials/write, delete
workspaces/notebooks/viewOutputs/action
workspaces/pipelines/viewOutputs/action
مستخدم الأدوات في Synapse مساحات العمل/قراءة
مساحات العمل/البيانات الاصطناعية/قراءة
مساحات العمل/مفكرات الملاحظات/viewOutputs/مساحات عمل الإجراءات
/المسارات/viewOutputs/الإجراء
مشغّل حساب في Synapse workspaces/read
workspaces/bigDataPools/useCompute/action
workspaces/bigDataPools/viewLogs/action
workspaces/integrationRuntimes/useCompute/action
workspaces/integrationRuntimes/viewLogs/action
workspaces/linkConnections/read
workspaces/linkConnections/useCompute/action
مشغل مراقبة Synapse workspaces/read
workspaces/artifacts/read
workspaces/notebooks/viewOutputs/action
workspaces/pipelines/viewOutputs/action
workspaces/integrationRuntimes/viewLogs/action
workspaces/bigDataPools/viewLogs/action
مستخدم بيانات اعتماد في Synapse workspaces/read
workspaces/linkedServices/useSecret/action
workspaces/credentials/useSecret/action
مدير بيانات الارتباط التشعبي في Synapse workspaces/read
workspaces/managedPrivateEndpoint/write, delete
workspaces/linkedServices/write, delete
workspaces/credentials/write, delete
مستخدم في Synapse workspaces/read

تشابك إجراءات RBAC والأدوار التي تسمح لها

يسرد الجدول التالي إجراءات Synapse والأدوار المضمنة التي تسمح بهذه الإجراءات:

إجراء الدور
workspaces/read Synapse Administrator
Synapse Apache Spark Administrator
Synapse SQL Administrator
Synapse Contributor
Synapse Artifact Publisher
Synapse Artifact User
Synapse Compute Operator
Synapse Monitoring Operator
Synapse Credential User
Synapse Linked Data Manager
Synapse User
workspaces/roleAssignments/write, delete مسؤول Synapse
workspaces/managedPrivateEndpoint/write, delete Synapse Administrator
Synapse Linked Data Manager
workspaces/bigDataPools/useCompute/action Synapse Administrator
Synapse Apache Spark Administrator
Synapse Contributor
Synapse Compute Operator
Synapse Monitoring Operator
workspaces/bigDataPools/viewLogs/action Synapse Administrator
Synapse Apache Spark Administrator
Synapse Contributor
Synapse Compute Operator
workspaces/integrationRuntimes/useCompute/action Synapse Administrator
Synapse Contributor
Synapse Compute Operator
Synapse Monitoring Operator
workspaces/integrationRuntimes/viewLogs/action Synapse Administrator
Synapse Contributor
Synapse Compute Operator
Synapse Monitoring Operator
workspaces/linkConnections/read Synapse Administrator
Synapse Contributor
Synapse Compute Operator
workspaces/linkConnections/useCompute/action Synapse Administrator
Synapse Contributor
Synapse Compute Operator
workspaces/artifacts/read Synapse Administrator
Synapse Apache Spark Administrator
Synapse SQL Administrator
Synapse Contributor
Synapse Artifact Publisher
Synapse Artifact User
workspaces/notebooks/write, delete Synapse Administrator
Synapse Apache Spark Administrator
Synapse Contributor
Synapse Artifact Publisher
workspaces/sparkJobDefinitions/write, delete Synapse Administrator
Synapse Apache Spark Administrator
Synapse Contributor
Synapse Artifact Publisher
workspaces/sqlScripts/write, delete Synapse Administrator
Synapse SQL Administrator
Synapse Contributor
Synapse Artifact Publisher
workspaces/kqlScripts/write, delete Synapse Administrator
Synapse Contributor
Synapse Artifact Publisher
workspaces/dataFlows/write, delete Synapse Administrator
Synapse Contributor
Synapse Artifact Publisher
workspaces/pipelines/write, delete Synapse Administrator
Synapse Contributor
Synapse Artifact Publisher
workspaces/linkConnections/write, delete Synapse Administrator
Synapse Contributor
workspaces/triggers/write, delete Synapse Administrator
Synapse Contributor
Synapse Artifact Publisher
workspaces/datasets/write, delete Synapse Administrator
Synapse Contributor
Synapse Artifact Publisher
workspaces/libraries/write, delete Synapse Administrator
Synapse Apache Spark Administrator
Synapse Contributor
Synapse Artifact Publisher
workspaces/linkedServices/write, delete Synapse Administrator
Synapse Apache Spark Administrator
Synapse SQL Administrator
Synapse Contributor
Synapse Artifact Publisher
Synapse Linked Data Manager
workspaces/credentials/write, delete Synapse Administrator
Synapse Apache Spark Administrator
Synapse SQL Administrator
Synapse Contributor
Synapse Artifact Publisher
Synapse Linked Data Manager
workspaces/notebooks/viewOutputs/action Synapse Administrator
Synapse Apache Spark Administrator
Synapse Contributor
Synapse Artifact Publisher
Synapse Artifact User
workspaces/pipelines/viewOutputs/action Synapse Administrator
Synapse Contributor
Synapse Artifact Publisher
Synapse Artifact User
workspaces/linkedServices/useSecret/action Synapse Administrator
Synapse Credential User
workspaces/credentials/useSecret/action Synapse Administrator
Synapse Credential User

نطاقات Synapse RBAC وأدوارها المدعومة

يسرد الجدول أدناه نطاقات Synapse RBAC والأدوار التي يمكن تعيينها في كل نطاق.

ملاحظة

لإنشاء عنصر أو حذفه، يجب أن يكون لديك أذونات في نطاق مستوى أعلى.

النطاق الأدوار
مساحة العمل Synapse Administrator
Synapse Apache Spark Administrator
Synapse SQL Administrator
Synapse Contributor
Synapse Artifact Publisher
Synapse Artifact User
Synapse Compute Operator
Synapse Monitoring Operator
Synapse Credential User
Synapse Linked Data Manager
Synapse User
تجمع Apache Spark Synapse Administrator
Synapse Contributor
Synapse Compute Operator
وقت تشغيل التكامل Synapse Administrator
Synapse Contributor
Synapse Compute Operator
الخدمة المرتبطة Synapse Administrator
Synapse Credential User
بيانات اعتماد Synapse Administrator
Synapse Credential User

ملاحظة

يتم تحديد نطاق جميع الأدوار والإجراءات المصطنعة على مستوى مساحة العمل.

الخطوات التالية