Synapse RBAC-Rollen
Der Artikel beschreibt die integrierten Synapse RBAC-Rollen (Role-Based Access Control, rollenbasierte Zugriffssteuerung), die Berechtigungen, die sie gewähren, sowie die Bereiche, in denen sie verwendet werden können.
Weitere Informationen zum Überprüfen und Zuweisen von Synapse-Rollenmitgliedschaften finden Sie unter Überprüfen von Synapse RBAC-Rollenzuweisungen und Zuweisen von Synapse RBAC-Rollen.
Integrierte Synapse RBAC-Rollen und -Bereiche
In der folgenden Tabelle werden die integrierten Rollen und die Bereiche beschrieben, in denen sie verwendet werden können.
Hinweis
Benutzer mit einer beliebigen Synapse RBAC-Rolle in einem beliebigen Bereich verfügen im Arbeitsbereich automatisch über die Synapse-Benutzerrolle.
Wichtig
Synapse-RBAC-Rollen erteilen keine Berechtigungen zum Erstellen oder Verwalten von SQL-Pools, Apache Spark-Pools und Integration Runtimes in Azure Synapse-Arbeitsbereichen. Für diese Aktionen sind die Rollen „Azure-Besitzer“ oder „Azure-Mitwirkender“ für die Ressourcengruppe erforderlich.
| Role | Berechtigungen | Bereiche |
|---|---|---|
| Synapse-Administrator | Vollständiger Synapse-Zugriff auf serverlose und dedizierte SQL-, Data Explorer- und Apache Spark-Pools sowie Integration Runtimes. Umfasst den Erstellungs-, Lese-, Aktualisierungs- und Löschzugriff auf alle veröffentlichten Codeartefakte. Enthält die Berechtigungen Operator von Computeressourcen, Manager für verknüpfte Daten und Anmeldeinformationsbenutzer für die Systemidentitäts-Anmeldeinformationen des Arbeitsbereichs. Umfasst das Zuweisen von Synapse RBAC-Rollen. Zusätzlich zum Synapse-Administrator können auch Azure-Besitzer Synapse-RBAC-Rollen zuweisen. Azure-Berechtigungen sind erforderlich, um Computeressourcen zu erstellen, zu löschen und zu verwalten. Synapse RBAC-Rollen können auch dann zugewiesen werden, wenn das zugeordnete Abonnement deaktiviert ist. Kann Artefakte lesen und schreiben Kann alle Aktionen für Spark-Aktivitäten ausführen. Kann Spark-Poolprotokolle anzeigen Kann gespeicherte Notebook- und Pipelineausgaben anzeigen Kann die von verknüpften Diensten oder Anmeldeinformationen gespeicherten Geheimnisse verwenden Kann im aktuellen Bereich die Synapse RBAC-Rollen zuweisen und widerrufen |
Arbeitsbereich Spark-Pool Integration Runtime Verknüpfter Dienst Anmeldeinformation |
| Synapse Apache Spark-Administrator |
Vollständiger Synapse-Zugriff auf Apache Spark-Pools. Erstellungs-, Lese-, Aktualisierungs- und Löschzugriff auf veröffentlichte Spark-Auftragsdefinitionen, Notebooks und deren Ausgaben sowie Bibliotheken, verknüpfte Dienste und Anmeldeinformationen. Schließt Lesezugriff auf alle anderen veröffentlichten Codeartefakte ein. Umfasst nicht die Berechtigung zum Verwenden von Anmeldeinformationen und zum Ausführen von Pipelines. Umfasst nicht das Gewähren von Zugriff. Kann alle Aktionen für Spark-Artefakte ausführen Kann alle Aktionen für Spark-Aktivitäten ausführen |
Arbeitsbereich Spark-Pool |
| Synapse SQL-Administrator | Vollständiger Synapse-Zugriff auf serverlose SQL-Pools. Erstellungs-, Lese-, Aktualisierungs- und Löschzugriff auf veröffentlichte SQL-Skripts, Anmeldeinformationen und verknüpfte Dienste. Schließt Lesezugriff auf alle anderen veröffentlichten Codeartefakte ein. Umfasst nicht die Berechtigung zum Verwenden von Anmeldeinformationen und zum Ausführen von Pipelines. Umfasst nicht das Gewähren von Zugriff. Kann alle Aktionen für SQL Skripts ausführen Kann mit den SQL-Berechtigungen db_datareader, db_datawriter, connect und grant Verbindungen zu serverlosen SQL-Endpunkten herstellen |
Arbeitsbereich |
| Synapse-Mitwirkender | Vollständiger Synapse-Zugriff auf Apache Spark-Pools und Integration Runtimes. Umfasst den Zugriff auf das Erstellen, Lesen, Aktualisieren und Löschen aller veröffentlichten Code-Artefakte und ihrer Ergebnisse, einschließlich geplanter Pipelines, Anmeldeinformationen und verknüpfter Dienste. Schließt Berechtigungen eines Operators von Computeressourcen ein. Umfasst nicht die Berechtigung zum Verwenden von Anmeldeinformationen und zum Ausführen von Pipelines. Umfasst nicht das Gewähren von Zugriff. Kann Artefakte lesen und schreiben Kann gespeicherte Notebook- und Pipelineausgaben anzeigen Kann alle Aktionen für Spark-Aktivitäten ausführen Kann Spark-Poolprotokolle anzeigen |
Arbeitsbereich Spark-Pool Integrationslaufzeit |
| Herausgeber von Synapse-Artefakten | Erstelle, lese, aktualisiere und lösche den Zugriff auf veröffentlichte Code-Artefakte und ihre Ergebnisse, einschließlich geplanter Pipelines. Umfasst nicht die Berechtigung zum Ausführen von Code oder Pipelines oder zum Gewähren von Zugriff. Kann veröffentlichte Artefakte lesen und Artefakte veröffentlichen Kann gespeicherte Notebook-, Spark-Auftrags- und Pipelineausgaben anzeigen |
Arbeitsbereich |
| Benutzer von Synapse-Artefakten | Lesezugriff auf veröffentlichte Codeartefakte und ihre Ausgaben. Kann neue Artefakte erstellen, aber nicht Änderungen veröffentlichen oder ohne zusätzliche Berechtigungen Code ausführen. | Arbeitsbereich |
| Operator von Synapse-Computeressourcen | Übermitteln von Spark-Aufträgen und Notebooks und Anzeigen von Protokollen. Umfasst das Abbrechen von Spark-Aufträgen, die von einem beliebigen Benutzer gesendet wurden. Erfordert zusätzliche Berechtigungen zur Verwendung von Anmeldeinformationen für die Systemidentität des Arbeitsbereichs zum Ausführen von Pipelines und für Ausgaben. Kann Aufträge einschließlich von anderen übermittelter Aufträge übermitteln und abbrechen Kann Spark-Poolprotokolle anzeigen |
Arbeitsbereich Spark-Pool Integration Runtime |
| Synapse-Überwachungsoperator | Lesen veröffentlichter Codeartefakte, einschließlich Protokolle und Ausgaben für Pipelineausführungen und abgeschlossene Notebooks. Bietet die Möglichkeit, Details zu Apache Spark-Pools, Daten-Explorer-Pools und Integration Runtimes aufzulisten und anzuzeigen. Erfordert zusätzliche Berechtigungen zum Ausführen/Abbrechen von Pipelines, Spark-Notebooks und Spark-Aufträgen. | Arbeitsbereich |
| Synapse-Anmeldeinformationsbenutzer | Verwendung von Geheimnissen innerhalb von Anmeldeinformationen und verknüpften Diensten in Aktivitäten wie Pipelineausführungen zur Runtime und Konfigurationszeit. Diese Rolle ist für das Ausführen von Pipelines erforderlich und muss auf die Systemidentität des Arbeitsbereichs beschränkt sein. Beschränkt auf eine Anmeldeinformation, ermöglicht den Zugriff auf Daten über einen verknüpften Dienst, der durch die Anmeldeinformation geschützt ist (erfordert möglicherweise auch eine Computeverwendungsberechtigung) Ermöglicht die Ausführung von Pipelines, die durch die Anmeldeinformation der Systemidentität des Arbeitsbereichs geschützt sind |
Arbeitsbereich Verknüpfter Dienst Anmeldeinformation |
| Synapse-Manager für verknüpfte Daten | Erstellung und Verwaltung von verwalteten privaten Endpunkten, verknüpften Diensten und Anmeldeinformationen. Kann verwaltete private Endpunkte erstellen, die durch Anmeldeinformationen geschützte verknüpfte Dienste verwenden. | Arbeitsbereich |
| Synapse-Benutzer | Auflisten und Anzeigen von Details zu SQL-Pools, Apache Spark- Pools, Integration Runtimes und veröffentlichten verknüpften Diensten und Anmeldeinformationen. Enthält keine anderen veröffentlichten Codeartefakte. Kann neue Artefakte erstellen, aber nicht ohne zusätzliche Berechtigungen ausführen oder veröffentlichen. Kann Spark-Pools und Integration Runtimes auflisten und lesen. |
Arbeitsbereich, Spark-Pool Verknüpfter Dienst Anmeldeinformation |
Synapse RBAC-Rollen und die von ihnen erlaubten Aktionen
Hinweis
- Alle in den folgenden Tabellen aufgeführten Aktionen weisen das Präfix „Microsoft.Synapse/...“ auf.
- Alle Aktionen zum Lesen-, Schreiben und Löschen von Artefakten beziehen sich auf veröffentlichte Artefakte im Livedienst. Diese Berechtigungen wirken sich nicht auf den Zugriff auf Artefakte in einem verbundenen Git-Repository aus.
In der folgenden Tabelle sind die integrierten Rollen und die von ihnen jeweils unterstützten Aktionen/Berechtigungen aufgeführt.
| Rolle | Aktionen |
|---|---|
| Synapse-Administrator | workspaces/read workspaces/roleAssignments/write, delete workspaces/managedPrivateEndpoint/write, delete workspaces/bigDataPools/useCompute/action workspaces/bigDataPools/viewLogs/action workspaces/integrationRuntimes/useCompute/action workspaces/integrationRuntimes/viewLogs/action workspaces/artifacts/read workspaces/notebooks/write, delete workspaces/sparkJobDefinitions/write, delete workspaces/sqlScripts/write, delete workspaces/kqlScripts/write, delete workspaces/dataFlows/write, delete workspaces/pipelines/write, delete workspaces/triggers/write, delete workspaces/datasets/write, delete workspaces/libraries/write, delete workspaces/linkedServices/write, delete workspaces/credentials/write, delete workspaces/notebooks/viewOutputs/action workspaces/pipelines/viewOutputs/action workspaces/linkedServices/useSecret/action workspaces/credentials/useSecret/action workspaces/linkConnections/read workspaces/linkConnections/write workspaces/linkConnections/delete workspaces/linkConnections/useCompute/action |
| Synapse Apache Spark-Administrator | workspaces/read workspaces/bigDataPools/useCompute/action workspaces/bigDataPools/viewLogs/action workspaces/notebooks/viewOutputs/action workspaces/artifacts/read workspaces/notebooks/write, delete workspaces/sparkJobDefinitions/write, delete workspaces/libraries/write, delete workspaces/linkedServices/write, delete workspaces/credentials/write, delete |
| Synapse SQL-Administrator | workspaces/read workspaces/artifacts/read workspaces/sqlScripts/write, delete workspaces/linkedServices/write, delete workspaces/credentials/write, delete |
| Synapse-Mitwirkender | workspaces/read workspaces/bigDataPools/useCompute/action workspaces/bigDataPools/viewLogs/action workspaces/integrationRuntimes/useCompute/action workspaces/integrationRuntimes/viewLogs/action workspaces/artifacts/read workspaces/notebooks/write, delete workspaces/sparkJobDefinitions/write, delete workspaces/sqlScripts/write, delete workspaces/kqlScripts/write, delete workspaces/dataFlows/write, delete workspaces/pipelines/write, delete workspaces/triggers/write, delete workspaces/datasets/write, delete workspaces/libraries/write, delete workspaces/linkedServices/write, delete workspaces/credentials/write, delete workspaces/notebooks/viewOutputs/action workspaces/pipelines/viewOutputs/action workspaces/linkConnections/read workspaces/linkConnections/write workspaces/linkConnections/delete workspaces/linkConnections/useCompute/action |
| Herausgeber von Synapse-Artefakten | workspaces/read workspaces/artifacts/read workspaces/notebooks/write, delete workspaces/sparkJobDefinitions/write, delete workspaces/sqlScripts/write, delete workspaces/kqlScripts/write, delete workspaces/dataFlows/write, delete workspaces/pipelines/write, delete workspaces/triggers/write, delete workspaces/datasets/write, delete workspaces/libraries/write, delete workspaces/linkedServices/write, delete workspaces/credentials/write, delete workspaces/notebooks/viewOutputs/action workspaces/pipelines/viewOutputs/action |
| Benutzer von Synapse-Artefakten | workspaces/read workspaces/artifacts/read workspaces/notebooks/viewOutputs/action workspaces/pipelines/viewOutputs/action |
| Operator von Synapse-Computeressourcen | workspaces/read workspaces/bigDataPools/useCompute/action workspaces/bigDataPools/viewLogs/action workspaces/integrationRuntimes/useCompute/action workspaces/integrationRuntimes/viewLogs/action workspaces/linkConnections/read workspaces/linkConnections/useCompute/action |
| Synapse-Überwachungsoperator | workspaces/read workspaces/artifacts/read workspaces/notebooks/viewOutputs/action workspaces/pipelines/viewOutputs/action workspaces/integrationRuntimes/viewLogs/action workspaces/bigDataPools/viewLogs/action |
| Synapse-Anmeldeinformationsbenutzer | workspaces/read workspaces/linkedServices/useSecret/action workspaces/credentials/useSecret/action |
| Synapse-Manager für verknüpfte Daten | workspaces/read workspaces/managedPrivateEndpoint/write, delete workspaces/linkedServices/write, delete workspaces/credentials/write, delete |
| Synapse-Benutzer | workspaces/read |
Synapse RBAC-Aktionen und die Rollen, die diese zulassen
In der folgenden Tabelle werden die Synapse-Aktionen aufgelistet und die integrierten Rollen, die diese Aktionen zulassen:
| Aktion | Role |
|---|---|
| workspaces/read | Synapse-Administrator Synapse Apache Spark-Administrator Synapse SQL-Administrator Synapse-Mitwirkender Herausgeber von Synapse-Artefakten Benutzer von Synapse-Artefakten Operator von Synapse-Computeressourcen Synapse-Überwachungsoperator Synapse-Anmeldeinformationsbenutzer Synapse-Manager für verknüpfte Daten Synapse-Benutzer |
| workspaces/roleAssignments/write, delete | Synapse-Administrator |
| workspaces/managedPrivateEndpoint/write, delete | Synapse-Administrator Synapse-Manager für verknüpfte Daten |
| workspaces/bigDataPools/useCompute/action | Synapse-Administrator Synapse Apache Spark-Administrator Synapse-Mitwirkender Operator von Synapse-Computeressourcen Synapse-Überwachungsoperator |
| workspaces/bigDataPools/viewLogs/action | Synapse-Administrator Synapse Apache Spark-Administrator Synapse-Mitwirkender Operator von Synapse-Computeressourcen |
| workspaces/integrationRuntimes/useCompute/action | Synapse-Administrator Synapse-Mitwirkender Operator von Synapse-Computeressourcen Synapse-Überwachungsoperator |
| workspaces/integrationRuntimes/viewLogs/action | Synapse-Administrator Synapse-Mitwirkender Operator von Synapse-Computeressourcen Synapse-Überwachungsoperator |
| workspaces/linkConnections/read | Synapse-Administrator Synapse-Mitwirkender Operator von Synapse-Computeressourcen |
| workspaces/linkConnections/useCompute/action | Synapse-Administrator Synapse-Mitwirkender Operator von Synapse-Computeressourcen |
| workspaces/artifacts/read | Synapse-Administrator Synapse Apache Spark-Administrator Synapse SQL-Administrator Synapse-Mitwirkender Herausgeber von Synapse-Artefakten Benutzer von Synapse-Artefakten |
| workspaces/notebooks/write, delete | Synapse-Administrator Synapse Apache Spark-Administrator Synapse-Mitwirkender Herausgeber von Synapse-Artefakten |
| workspaces/sparkJobDefinitions/write, delete | Synapse-Administrator Synapse Apache Spark-Administrator Synapse-Mitwirkender Herausgeber von Synapse-Artefakten |
| workspaces/sqlScripts/write, delete | Synapse-Administrator Synapse SQL-Administrator Synapse-Mitwirkender Herausgeber von Synapse-Artefakten |
| workspaces/kqlScripts/write, delete | Synapse-Administrator Synapse-Mitwirkender Herausgeber von Synapse-Artefakten |
| workspaces/dataFlows/write, delete | Synapse-Administrator Synapse-Mitwirkender Herausgeber von Synapse-Artefakten |
| workspaces/pipelines/write, delete | Synapse-Administrator Synapse-Mitwirkender Herausgeber von Synapse-Artefakten |
| workspaces/linkConnections/write, delete | Synapse-Administrator Synapse-Mitwirkender |
| workspaces/triggers/write, delete | Synapse-Administrator Synapse-Mitwirkender Herausgeber von Synapse-Artefakten |
| workspaces/datasets/write, delete | Synapse-Administrator Synapse-Mitwirkender Herausgeber von Synapse-Artefakten |
| workspaces/libraries/write, delete | Synapse-Administrator Synapse Apache Spark-Administrator Synapse-Mitwirkender Herausgeber von Synapse-Artefakten |
| workspaces/linkedServices/write, delete | Synapse-Administrator Synapse Apache Spark-Administrator Synapse SQL-Administrator Synapse-Mitwirkender Herausgeber von Synapse-Artefakten Synapse-Manager für verknüpfte Daten |
| workspaces/credentials/write, delete | Synapse-Administrator Synapse Apache Spark-Administrator Synapse SQL-Administrator Synapse-Mitwirkender Herausgeber von Synapse-Artefakten Synapse-Manager für verknüpfte Daten |
| workspaces/notebooks/viewOutputs/action | Synapse-Administrator Synapse Apache Spark-Administrator Synapse-Mitwirkender Herausgeber von Synapse-Artefakten Benutzer von Synapse-Artefakten |
| workspaces/pipelines/viewOutputs/action | Synapse-Administrator Synapse-Mitwirkender Herausgeber von Synapse-Artefakten Benutzer von Synapse-Artefakten |
| workspaces/linkedServices/useSecret/action | Synapse-Administrator Synapse-Anmeldeinformationsbenutzer |
| workspaces/credentials/useSecret/action | Synapse-Administrator Synapse-Anmeldeinformationsbenutzer |
Synapse RBAC-Bereiche und deren unterstützte Rollen
In der folgenden Tabelle sind die Synapse RBAC-Bereiche und die Rollen aufgeführt, die in jedem Bereich zugewiesen werden können.
Hinweis
Um ein Objekt zu erstellen oder zu löschen, müssen Sie über Berechtigungen auf höherer Ebene verfügen.
| Bereich | Rollen |
|---|---|
| Arbeitsbereich | Synapse-Administrator Synapse Apache Spark-Administrator Synapse SQL-Administrator Synapse-Mitwirkender Herausgeber von Synapse-Artefakten Benutzer von Synapse-Artefakten Operator von Synapse-Computeressourcen Synapse-Überwachungsoperator Synapse-Anmeldeinformationsbenutzer Synapse-Manager für verknüpfte Daten Synapse-Benutzer |
| Apache Spark-Pool | Synapse-Administrator Synapse-Mitwirkender Operator von Synapse-Computeressourcen |
| Integrationslaufzeit | Synapse-Administrator Synapse-Mitwirkender Operator von Synapse-Computeressourcen |
| Verknüpfter Dienst | Synapse-Administrator Synapse-Anmeldeinformationsbenutzer |
| Anmeldeinformationen | Synapse-Administrator Synapse-Anmeldeinformationsbenutzer |
Hinweis
Alle Artefaktrollen und -aktionen werden auf Arbeitsbereichsebene festgelegt.
Nächste Schritte
- Erfahren Sie mehr über das Überprüfen von Synapse RBAC-Rollenzuweisungen für einen Arbeitsbereich.
- Erfahren Sie, wer Synapse RBAC-Rollen zuweisen darf.