Grundlegendes zu den erforderlichen Rollen zum Ausführen allgemeiner Aufgaben in Azure Synapse
Dieser Artikel soll Ihnen helfen, zu verstehen, welche Synapse-RBAC- (rollenbasierte Zugriffssteuerung) oder Azure-RBAC-Rollen Sie für Ihre Arbeit in Synapse Studio benötigen. Informationen zum Verwalten der Rollenmitgliedschaft finden Sie unter Verwalten von Synapse RBAC-Rollenzuweisungen.
Synapse Studio-Zugriffssteuerung und -Workflow – Zusammenfassung
Zugreifen auf Synapse Studio
Sie können Synapse Studio öffnen, Details des Arbeitsbereichs anzeigen und alle Azure-Ressourcen wie SQL-Pools, Sparkpools oder Integration Runtimes auflisten. Sie werden sehen, ob Sie einer Synapse RBAC-Rolle zugewiesen wurden oder über die Azure-Besitzer-, Mitwirkenden- oder Leserrolle im Arbeitsbereich verfügen.
Ressourcenverwaltung
Sie können SQL-Pools, Data Explorer-Pools und Apache Spark-Pools erstellen, wenn Sie ein Azure-Besitzer oder -Mitwirkender der Ressourcengruppe sind. Sie können eine Integration Runtime erstellen, wenn Sie ein Azure-Besitzer oder -Mitwirkender im Arbeitsbereich sind. Wenn Sie ARM-Vorlagen für die automatisierte Bereitstellung verwenden, müssen Sie azure-Mitwirkender für die Ressourcengruppe sein.
Für das Anhalten oder Skalieren eines dedizierten SQL-Pools oder das Konfigurieren eines Spark-Pools oder einer Integration Runtime benötigen Sie eine der Rollen „Azure-Besitzer“ oder „Mitwirkender“ für den Arbeitsbereich oder die betreffende Ressource.
Anzeigen und Bearbeiten von Codeartefakten
Wenn Sie Zugriff auf Synapse Studio haben, können Sie neue Codeartefakte erstellen. Dies sind z. B. SQL- und KQL-Skripts, Notebooks, Spark-Aufträge, verknüpfte Dienste, Pipelines, Datenflüsse, Trigger und Anmeldeinformationen. Diese Artefakte können mit zusätzlichen Berechtigungen auch veröffentlicht oder gespeichert werden.
Wenn Sie ein „Benutzer von Synapse-Artefakten“, ein „Herausgeber von Synapse-Artefakten“, ein „Synapse-Mitwirkender“ oder ein „Synapse-Administrator“ sind, können Sie bereits veröffentlichte Codeartefakte auflisten, öffnen und bearbeiten, einschließlich geplanter Pipelines.
Ausführen des Codes
Sie können SQL-Skripts für SQL-Pools ausführen, wenn die erforderlichen SQL-Berechtigungen in den SQL-Pools definiert sind. Sie können KQL-Skripts auf Data Explorer-Pools anwenden, sofern Sie die nötigen Berechtigungen haben.
Sie können Notebooks und Spark-Aufträge ausführen, wenn Sie über die Berechtigungen der Rolle „Operator von Synapse-Computeressourcen“ für den Arbeitsbereich oder bestimmte Apache Spark-Pools verfügen.
Mit den Berechtigungen „Operator von Synapse-Computeressourcen“ für den Arbeitsbereich oder bestimmte Integration Runtimes sowie den entsprechenden Berechtigungen für Ihre Anmeldeinformationen können Sie Pipelines ausführen.
Überwachen und Verwalten der Ausführung
Wenn Sie „Synapse-Benutzer“ sind, können Sie den Status ausgeführter Notebooks und Aufträge in Apache Spark-Pools überwachen.
Sie können Protokolle überprüfen und laufende Aufträge und Pipelines abbrechen, wenn Sie „Operator von Synapse-Computeressourcen“ in diesem Arbeitsbereich oder für einen bestimmten Spark-Pool oder eine bestimmte Pipeline sind.
Debuggen von Pipelines
Sie können Änderungen in Pipelines als Synapse-Benutzer überprüfen und vornehmen. Zum Debuggen benötigen Sie jedoch zusätzlich „Synapse-Anmeldeinformationsbenutzer“.
Veröffentlichen und Speichern des Codes
Für das Veröffentlichen neuer oder aktualisierter Codeartefakte für den Dienst benötigen Sie eine der Rollen „Herausgeber von Synapse-Artefakten“, „Synapse-Mitwirkender“ oder „Synapse-Administrator“.
Sie können Codeartefakte in einen Arbeitsbranch eines Git-Repository committen, wenn Git im Arbeitsbereich aktiviert ist und Sie über Git-Berechtigungen verfügen. Wenn Git aktiviert ist, darf die Veröffentlichung nur im Kollaborationsbranch erfolgen.
Wenn Sie Synapse Studio schließen, ohne Änderungen an Codeartefakten zu veröffentlichen oder zu committen, gehen diese Änderungen verloren.
Aufgaben und erforderliche Rollen
In der folgenden Tabelle sind allgemeine Aufgaben und die jeweils erforderlichen Synapse RBAC- oder Azure RBAC-Rollen aufgeführt.
Hinweis
Die Rolle „Synapse-Administrator“ ist nur bei den Aufgaben aufgeführt, bei denen nur diese Rolle die erforderliche Berechtigung bereitstellt. Ein Synapse-Administrator kann alle Aufgaben ausführen, die von anderen Synapse RBAC-Rollen gewährt werden.
Hinweis
Gastbenutzer aus einem anderen Mandanten können ebenfalls Rollenzuweisungen überprüfen, hinzufügen oder ändern, nachdem sie als Synapse-Administrator zugewiesen wurden.
Die mindestens erforderliche Synapse RBAC-Rolle wird angezeigt.
Alle Synapse-RBAC-Rollen gewähren in jedem Bereich die Berechtigungen der Rolle „Synapse-Benutzer“ im Arbeitsbereich.
Alle in der Tabelle gezeigten Synapse-RBAC-Berechtigungen/-Aktionen weisen das Präfix Microsoft/Synapse/workspaces/... auf.
| Aufgabe | Erforderliche Rolle | Synapse RBAC-Berechtigung/-Aktion |
|---|---|---|
| Öffnen von Synapse Studio in einem Arbeitsbereich | Synapse Benutzer oder | Lesen |
| Azure-Besitzer oder Mitwirkender oder Leser im Arbeitsbereich | none | |
| SQL-Pools oder Data Explorer-Pools oder Apache Spark-Pools oder Integration Runtime auflisten und auf ihre Konfigurationsdetails zugreifen | Synapse Benutzer oder | Lesen |
| Azure-Besitzer oder Mitwirkender oder Leser im Arbeitsbereich | none | |
| Liste der verknüpften Dienste, Anmeldeinformationen oder verwalteten privaten Endpunkte | Synapse-Benutzer | Lesen |
| SQL-POOLS | ||
| Erstellen eines dedizierten SQL-Pools oder eines serverlosen SQL-Pools | Azure-Besitzer oder -Mitwirkender der Ressourcengruppe | none |
| Verwalten (Anhalten, Skalieren oder Löschen) eines dedizierten SQL-Pools | Azure-Besitzer oder Mitwirkender im SQL-Pool oder Arbeitsbereich | Keine |
| Erstellen eines SQL-Skripts |
Synapse-Benutzer oder Azure-Besitzer oder Mitwirkender auf dem Arbeitsbereich. Zusätzliche SQL-Berechtigungen sind erforderlich, um ein SQL-Skript auszuführen, zu veröffentlichen oder Änderungen zu übertragen. |
|
| Auflisten und Öffnen veröffentlichter SQL-Skripts | Synapse-Artefakt-Benutzer oder Artefakt-Herausgeber oder Synapse-Beitragender | artifacts/read |
| Ausführen eines SQL-Skripts in einem serverlosen SQL-Pool | SQL-Berechtigungen für den Pool (werden Synapse-Administratoren automatisch gewährt) | Keine |
| Ausführen eines SQL-Skripts in einem dedizierten SQL-Pool | SQL-Berechtigungen für den Pool (werden Synapse-Administratoren automatisch gewährt) | none |
| Veröffentlichen eines neuen, aktualisierten oder gelöschten SQL-Skripts | Herausgeber von Synapse-Artefakten oder Mitwirkender von Synapse | sqlScripts/write, delete |
| Committen von Änderungen an einem SQL-Skript im Git-Repository | Erfordert Git-Berechtigungen für das Repository | |
| Zuweisen eines Active Directory-Administrators für den Arbeitsbereich (über die Arbeitsbereichseigenschaften im Azure-Portal) | Azure-Besitzer oder Mitwirkender im Arbeitsbereich | |
| DATA EXPLORER-POOLS | ||
| Erstellen eines Data Explorer-Pools | Azure-Besitzer oder -Mitwirkender der Ressourcengruppe | none |
| Verwalten (Anhalten, Skalieren oder Löschen) eines Data Explorer-Pools | Azure-Besitzer oder Mitwirkender am Data Explorer-Pool oder -Arbeitsbereich | Keine |
| Erstellen eines KQL-Skripts |
Synapse-Benutzer. Zur Ausführung eines Skripts, zur Veröffentlichung oder zum Commit von Änderungen sind zusätzliche Data Explorer-Berechtigungen erforderlich. |
|
| Auflisten und Öffnen veröffentlichter KQL-Skripts | Synapse-Artefakt-Benutzer oder Artefakt-Herausgeber oder Synapse-Beitragender | artifacts/read |
| Anwenden eines KQL-Skripts auf einen Data Explorer-Pool | Data Explorer-Berechtigungen für den Pool (werden Synapse-Administratoren automatisch gewährt) | Keine |
| Veröffentlichen, Aktualisieren oder Löschen eines neuen KQL-Skripts | Herausgeber von Synapse-Artefakten oder Mitwirkender von Synapse | kqlScripts/write, delete |
| Committen von Änderungen an einem KQL-Skript im Git-Repository | Erfordert Git-Berechtigungen für das Repository | |
| APACHE SPARK-POOLS | ||
| Erstellen eines Apache Spark-Pools | Azure-Besitzer oder -Mitwirkender der Ressourcengruppe | |
| Überwachen von Apache Spark-Anwendungen | Synapse-Benutzer | Lesen |
| Anzeigen der Protokolle für abgeschlossene Notebook- und Auftragsausführungen | Synapse-Überwachungsoperator | |
| Abbrechen der Ausführung von Notebooks oder Spark-Aufträgen in einem Apache Spark-Pool | Operator von Synapse-Computeressourcen für den Apache Spark-Pool | bigDataPools/useCompute |
| Erstellen einer Notebook- oder Auftragsdefinition | Synapse-Benutzer oder Azure-Besitzer, Mitwirkender oder Leser im Arbeitsbereich Zur Ausführung, Veröffentlichung oder zum Commit von Änderungen sind zusätzliche Berechtigungen erforderlich |
read |
| Auflisten und Öffnen einer veröffentlichten Notebook- oder Auftragsdefinition, einschließlich der Überprüfung gespeicherter Ausgaben | Benutzer eines Synapse-Artefakts oder Synapse-Monitoring-Operator auf dem Arbeitsbereich | artifacts/read |
| Ausführen eines Notebooks und Überprüfen seiner Ausgabe oder Übermitteln eines Spark-Auftrags | Synapse Apache Spark Administrator oder Synapse Compute Operator auf dem ausgewählten Apache Spark-Pool | bigDataPools/useCompute |
| Veröffentlichen oder Löschen einer Notebook- oder Auftragsdefinition (einschließlich Ausgabe) für den Dienst | Herausgeber von Artefakten auf dem Arbeitsbereich oder Synapse Apache Spark Administrator | notebooks/write, delete |
| Committen von Änderungen an einer Notebook- oder Auftragsdefinition im Git-Repository | Git-Berechtigungen | Keine |
| PIPELINES, INTEGRATION RUNTIMES, DATENFLÜSSE, DATASETS UND TRIGGER | ||
| Erstellen, Aktualisieren oder Löschen einer Integration Runtime | Azure-Besitzer oder Mitwirkender im Arbeitsbereich | |
| Überwachen des Integration Runtime-Status | Synapse-Überwachungsoperator | read, integrationRuntimes/viewLogs |
| Überprüfen von Pipelineausführungen | Synapse-Überwachungsoperator | read, pipelines/viewOutputs |
| Erstellen einer Pipeline | Synapse-Benutzer Zum Debuggen, Hinzufügen von Auslösern, Veröffentlichen oder Übertragen von Änderungen sind zusätzliche Synapse-Berechtigungen erforderlich |
Lesen |
| Erstellen von Datenflüssen oder Datasets | Synapse-Benutzer Zum Veröffentlichen oder Committen von Änderungen sind zusätzliche Synapse-Berechtigungen erforderlich |
Lesen |
| Auflisten und Öffnen veröffentlichter Pipelines | Benutzer von Synapse-Artefakten oder Synapse-Monitoring-Operator | artifacts/read |
| Anzeigen einer Datenvorschau für Datasets | Synapse-Benutzer und Synapse-Anmeldeinformationen-Benutzer für WorkspaceSystemIdentity | |
| Debuggen von Pipelines mit der Standard-Integration Runtime | Synapse-Benutzer und Synapse-Anmeldeinformationen-Benutzer auf der WorkspaceSystemIdentity-Anmeldeinformation | read, credentials/useSecret |
| Erstellen von Triggern, einschließlich sofortiger Auslösung (erfordert die Berechtigung zum Ausführen der Pipeline) | Synapse-Benutzer und Synapse-Anmeldeinformationen-Benutzer für WorkspaceSystemIdentity | read, credentials/useSecret/action |
| Ausführen von Pipelines | Synapse-Benutzer und Synapse-Anmeldeinformationen-Benutzer für WorkspaceSystemIdentity | read, credentials/useSecret/action |
| Kopieren von Daten mithilfe des Tools zum Kopieren von Daten | Synapse-Benutzer und Synapse-Anmeldeinformationen-Benutzer auf der Arbeitsbereichs-Systemidentität | read, credentials/useSecret/action |
| Erfassen von Daten (mit einem Zeitplan) | Synapse-Autor und Synapse-Anmeldeinformationen-Benutzer auf der Arbeitsbereichs-Systemidentität | read, credentials/useSecret/action |
| Veröffentlichen neuer, aktualisierter oder gelöschter Pipelines, Datenflüsse oder Trigger für den Dienst | Herausgeber von Synapse-Artefakten für den Arbeitsbereich | pipelines/write, delete dataflows/write, delete triggers/write, delete |
| Committen von Änderungen an Pipelines, Datenflüssen, Datasets oder Triggern im Git-Repository | Git-Berechtigungen | none |
| VERKNÜPFTE DIENSTE | ||
| Erstellen verknüpfter Dienste (einschließlich Zuweisung von Anmeldeinformationen) | Synapse-Benutzer Zum Verwenden eines verknüpften Diensts mit Anmeldeinformationen oder zum Veröffentlichen oder Committen von Änderungen sind zusätzliche Berechtigungen erforderlich |
Lesen |
| Auflisten und Öffnen veröffentlichter verknüpfter Dienste | Benutzer von Synapse-Artefakten | linkedServices/write, delete |
| Testen der Verbindung für einen verknüpften Dienst, der durch Anmeldeinformationen geschützt ist | Synapse-Benutzer und Synapse-Anmeldeinformationsbenutzer | credentials/useSecret/action |
| Veröffentlichen verknüpfter Dienste | Herausgeber von Synapse-Artefakten oder Synapse Linked Data Manager | linkedServices/write, delete |
| Committen von Definitionen verknüpfter Dienste im Git-Repository | Git-Berechtigungen | none |
| ZUGRIFFSVERWALTUNG | ||
| Überprüfen der Synapse RBAC-Rollenzuweisungen in einem beliebigen Bereich | Synapse-Benutzer | Lesen |
| Zuweisen und Entfernen von Synapse RBAC-Rollenzuweisungen für Benutzer, Gruppen und Dienstprinzipale | Synapse-Administrator für den Arbeitsbereich oder einen bestimmten Bereich für Arbeitsbereichselemente | roleAssignments/write, delete |