Roles de Synapse RBAC

En este artículo se describen los roles (control de acceso basado en roles) de Synapse RBAC integrados, los permisos que conceden y los ámbitos en los que se pueden usar.

Para más información sobre cómo revisar y asignar pertenencias a roles de Synapse, consulte los artículos Cómo revisar asignaciones de roles de Synapse RBAC y Cómo asignar roles de Synapse RBAC.

¿Qué ha cambiado desde la versión preliminar?

Para los usuarios que estén familiarizados con los roles de Synapse RBAC proporcionados durante la versión preliminar, se aplican los siguientes cambios:

  • Se cambió el nombre del administrador del área de trabajo a Administrador de Synapse
  • Se cambió el nombre del administrador de Apache Spark a Administrador de Synapse Apache Spark y ahora tiene permiso para ver todos los artefactos de código publicados, incluidos los scripts de SQL. Este rol ya no concede permiso para usar el MSI del área de trabajo, que requiere el rol de usuario de credenciales de Synapse. Este permiso es necesario para ejecutar canalizaciones.
  • Se cambió el nombre del administrador de SQL a Administrador de Synapse SQL y ahora tiene permiso para ver todos los artefactos de código publicados, incluidos los cuadernos y trabajos de Spark. Este rol ya no concede permiso para usar el MSI del área de trabajo, que requiere el rol de usuario de credenciales de Synapse. Este permiso es necesario para ejecutar canalizaciones.
  • Se han incorporado nuevos roles de Synapse RBAC más precisos que se centran en la compatibilidad de los roles de desarrollo y de operaciones en lugar de los entornos de ejecución de análisis específicos.
  • Se han incorporado nuevos ámbitos de nivel inferior para varios roles. Estos ámbitos permiten que los roles se limiten a recursos u objetos específicos.

Roles y ámbitos integrados de Synapse RBAC

En la tabla siguiente se describen los roles integrados y los ámbitos en los que se pueden usar.

Nota

Los usuarios con cualquier rol de Synapse RBAC en cualquier ámbito adquieren automáticamente el rol de usuario de Synapse en el ámbito del área de trabajo.

Importante

Los roles de Synapse RBAC no conceden permisos para crear o administrar grupos de SQL, grupos de Apache Spark y entornos de ejecución de integración en áreas de trabajo de Azure Synapse. Los roles de propietario o colaborador de Azure en el grupo de recursos son necesarios para estas acciones.

Role Permisos Ámbitos
Administrador de Synapse Acceso total a grupos de SQL, grupos de Data Explorer, grupos de Apache Spark y entornos de ejecución de integración. Incluye acceso de creación, lectura, actualización y eliminación a todos los artefactos de código publicados. Incluye el operador de proceso, el administrador de datos vinculados y los permisos de usuario de credenciales en la credencial de identidad del sistema del área de trabajo. Incluye la asignación de roles de Synapse RBAC. Además del administrador de SYNAPSE, los propietarios de Azure también pueden asignar roles RBAC de Synapse. Los permisos de Azure son necesarios para crear, eliminar y administrar recursos de proceso.


Puede leer y escribir artefactos
Puede realizar todas las acciones en las actividades de Spark.
Puede ver los registros de los grupos de Spark
Puede ver la salida de la canalización y el cuaderno guardado
Puede usar los secretos almacenados por los servicios vinculados o las credenciales
Puede asignar y revocar roles de Synapse RBAC en el ámbito actual
Área de trabajo
Grupo de Spark
Entorno de ejecución de integración
Servicio vinculado
Credencial
Administrador de Synapse Apache Spark
Acceso total a grupos de Apache Spark en Synapse. Acceso de creación, lectura, actualización y eliminación a las definiciones de trabajos de Spark publicadas, los cuadernos y sus salidas, y a las bibliotecas, los servicios vinculados y las credenciales.  Incluye acceso de lectura a todos los demás artefactos de código publicados. No incluye permisos para usar las credenciales y ejecutar canalizaciones. No incluye el acceso de concesión.


Puede realizar todas las acciones en los artefactos de Spark
Puede realizar todas las acciones en las actividades de Spark
Área de trabajo
Grupo de Spark
Administrador de Synapse SQL Acceso total a grupos de SQL sin servidor en Synapse. Acceso de creación, lectura, actualización y eliminación a los scripts de SQL publicados, las credenciales y los servicios vinculados.  Incluye acceso de lectura a todos los demás artefactos de código publicados.  No incluye permisos para usar las credenciales y ejecutar canalizaciones. No incluye el acceso de concesión.


Puede realizar todas las acciones en scripts de SQL
Puede conectarse a puntos de conexión de SQL sin servidor con permisos db_datareader, db_datawriter, connect y grant de SQL
Área de trabajo
Colaborador de Synapse Acceso total a grupos de Apache Spark y entornos de ejecución de integración en Synapse. Incluye acceso de creación, lectura, actualización y eliminación a todos los artefactos de código publicados y sus salidas, incluidas las credenciales y los servicios vinculados.  Incluye permisos de operador de proceso. No incluye permisos para usar las credenciales y ejecutar canalizaciones. No incluye el acceso de concesión.


Puede leer y escribir artefactos
Puede ver la salida de la canalización y el cuaderno guardado
Puede realizar todas las acciones en las actividades de Spark
Puede ver los registros de los grupos de Spark
Área de trabajo
Grupo de Spark
Tiempo de ejecución de integración
Editor de artefactos de Synapse Acceso de creación, lectura, actualización y eliminación a los artefactos de código publicados y sus salidas. No incluye permisos para ejecutar código o canalizaciones ni para conceder acceso.


Puede leer artefactos publicados y publicar artefactos
Puede ver los cuadernos guardados, los trabajos de Spark y la salida de las canalizaciones
Área de trabajo
Usuario de artefactos de Synapse Acceso de lectura a los artefactos de código publicados y sus salidas. Puede crear nuevos artefactos, pero no puede publicar cambios ni ejecutar código sin permisos adicionales. Área de trabajo
Operador de proceso de Synapse Envíe trabajos y cuadernos de Spark y vea los registros.  Incluye la cancelación de trabajos de Spark enviados por cualquier usuario. Requiere permisos de credenciales de uso adicionales en la identidad del sistema del área de trabajo para ejecutar canalizaciones, ver ejecuciones y salidas de canalización.


Puede enviar y cancelar trabajos, incluidos los trabajos enviados por otros
Puede ver los registros de los grupos de Spark
Área de trabajo
Grupo de Spark
Entorno de ejecución de integración
Operador de supervisión de Synapse Lea los artefactos de código publicados, incluidos los registros y salidas de las ejecuciones de canalización y los cuadernos completados. Permite enumerar y ver los detalles de los grupos de SQL sin servidor, así como los de los grupos de Apache Spark y Data Explorer y los entornos de ejecución de integración. Ejecutar o cancelar canalizaciones, cuadernos de Spark y trabajos de Spark requiere permisos adicionales. Área de trabajo
Usuario de credenciales Synapse Uso de secretos en el entorno de ejecución y al momento de la configuración en las credenciales y los servicios vinculados en actividades como la ejecución de canalizaciones. Para ejecutar canalizaciones, se requiere este rol, con el ámbito de la identidad del sistema del área de trabajo.

En el ámbito de una credencial, permite el acceso a los datos a través de un servicio vinculado protegido por la credencial (puede que requiera el permiso de uso de proceso)
Permite la ejecución de canalizaciones protegidas por la credencial de identidad del sistema del área de trabajo
Área de trabajo
Servicio vinculado
Credencial
Administrador de datos vinculado a Synapse Creación y administración de puntos de conexión privados administrados, servicios vinculados y credenciales. Puede crear puntos de conexión privados administrados que usan servicios vinculados protegidos por credenciales Área de trabajo
Usuario de Synapse Enumerar y ver los detalles de los grupos de SQL, los grupos de Apache Spark, los entornos de ejecución de integración y las credenciales y los servicios vinculados publicados. No incluye otros artefactos de código publicados.  Puede crear nuevos artefactos, pero no puede publicar ni ejecutar sin permisos adicionales.


Área de trabajo, grupo de Spark
Servicio vinculado
Credencial

Roles de Synapse RBAC y las acciones que permiten

Nota

  • Todas las acciones que figuran en las tablas siguientes tienen el prefijo "Microsoft.Synapse/..."
  • Todas las acciones de lectura, escritura y eliminación de artefactos se realizan con respecto a los artefactos publicados en el servicio activo. Estos permisos no afectan el acceso a los artefactos en un repositorio de Git conectado.

En la tabla siguiente se enumeran los roles integrados, así como las acciones y permisos que admite cada uno de ellos.

Role Acciones
Administrador de Synapse workspaces/read
workspaces/roleAssignments/write, delete
workspaces/managedPrivateEndpoint/write, delete
workspaces/bigDataPools/useCompute/action
workspaces/bigDataPools/viewLogs/action
workspaces/integrationRuntimes/useCompute/action
workspaces/integrationRuntimes/viewLogs/action
workspaces/artifacts/read
workspaces/notebooks/write, delete
workspaces/sparkJobDefinitions/write, delete
workspaces/sqlScripts/write, delete
workspaces/kqlScripts/write, delete
workspaces/dataFlows/write, delete
workspaces/pipelines/write, delete
workspaces/triggers/write, delete
workspaces/datasets/write, delete
workspaces/libraries/write, delete
workspaces/linkedServices/write, delete
workspaces/credentials/write, delete
workspaces/notebooks/viewOutputs/action
workspaces/pipelines/viewOutputs/action
workspaces/linkedServices/useSecret/action
workspaces/credentials/useSecret/action
workspaces/linkConnections/read
workspaces/linkConnections/write
workspaces/linkConnections/delete
workspaces/linkConnections/useCompute/action
Administrador de Synapse Apache Spark workspaces/read
workspaces/bigDataPools/useCompute/action
workspaces/bigDataPools/viewLogs/action
workspaces/notebooks/viewOutputs/action
workspaces/artifacts/read
workspaces/notebooks/write, delete
workspaces/sparkJobDefinitions/write, delete
workspaces/libraries/write, delete
workspaces/linkedServices/write, delete
workspaces/credentials/write, delete
Administrador de Synapse SQL workspaces/read
workspaces/artifacts/read
workspaces/sqlScripts/write, delete
workspaces/linkedServices/write, delete
workspaces/credentials/write, delete
Colaborador de Synapse workspaces/read
workspaces/bigDataPools/useCompute/action
workspaces/bigDataPools/viewLogs/action
workspaces/integrationRuntimes/useCompute/action
workspaces/integrationRuntimes/viewLogs/action
workspaces/artifacts/read
workspaces/notebooks/write, delete
workspaces/sparkJobDefinitions/write, delete
workspaces/sqlScripts/write, delete
workspaces/kqlScripts/write, delete
workspaces/dataFlows/write, delete
workspaces/pipelines/write, delete
workspaces/triggers/write, delete
workspaces/datasets/write, delete
workspaces/libraries/write, delete
workspaces/linkedServices/write, delete
workspaces/credentials/write, delete
workspaces/notebooks/viewOutputs/action
workspaces/pipelines/viewOutputs/action
workspaces/linkConnections/read
workspaces/linkConnections/write
workspaces/linkConnections/delete
workspaces/linkConnections/useCompute/action
Editor de artefactos de Synapse workspaces/read
workspaces/artifacts/read
workspaces/notebooks/write, delete
workspaces/sparkJobDefinitions/write, delete
workspaces/sqlScripts/write, delete
workspaces/kqlScripts/write, delete
workspaces/dataFlows/write, delete
workspaces/pipelines/write, delete
workspaces/triggers/write, delete
workspaces/datasets/write, delete
workspaces/libraries/write, delete
workspaces/linkedServices/write, delete
workspaces/credentials/write, delete
workspaces/notebooks/viewOutputs/action
workspaces/pipelines/viewOutputs/action
Editor de artefactos de Synapse workspaces/read
workspaces/artifacts/read
workspaces/notebooks/viewOutputs/action
workspaces/pipelines/viewOutputs/action
Operador de proceso de Synapse workspaces/read
workspaces/bigDataPools/useCompute/action
workspaces/bigDataPools/viewLogs/action
workspaces/integrationRuntimes/useCompute/action
workspaces/integrationRuntimes/viewLogs/action
workspaces/linkConnections/read
workspaces/linkConnections/useCompute/action
Operador de supervisión de Synapse workspaces/read
workspaces/artifacts/read
workspaces/notebooks/viewOutputs/action
workspaces/pipelines/viewOutputs/action
workspaces/integrationRuntimes/viewLogs/action
workspaces/bigDataPools/viewLogs/action
Usuario de credenciales Synapse workspaces/read
workspaces/linkedServices/useSecret/action
workspaces/credentials/useSecret/action
Administrador de datos vinculado a Synapse workspaces/read
workspaces/managedPrivateEndpoint/write, delete
workspaces/linkedServices/write, delete
workspaces/credentials/write, delete
Usuario de Synapse workspaces/read

Acciones de Synapse RBAC y los roles que las permiten

En la tabla siguiente se enumeran las acciones de Synapse y los roles integrados que permiten realizar estas acciones:

Acción Role
workspaces/read Administrador de Synapse
Administrador de Synapse Apache Spark
Administrador de Synapse SQL
Colaborador de Synapse
Editor de artefactos de Synapse
Usuario de artefactos de Synapse
Operador de procesos de Synapse
Operador de supervisión de Synapse
Usuario de credenciales de Synapse
Administrador de datos vinculado a Synapse
Usuario de Synapse
workspaces/roleAssignments/write, delete Administrador de Synapse
workspaces/managedPrivateEndpoint/write, delete Administrador de Synapse
Administrador de datos vinculado a Synapse
workspaces/bigDataPools/useCompute/action Administrador de Synapse
Administrador de Synapse Apache Spark
Colaborador de Synapse
Operador de procesos de Synapse
Operador de supervisión de Synapse
workspaces/bigDataPools/viewLogs/action Administrador de Synapse
Administrador de Synapse Apache Spark
Colaborador de Synapse
Operador de proceso de Synapse
workspaces/integrationRuntimes/useCompute/action Administrador de Synapse
Colaborador de Synapse
Operador de procesos de Synapse
Operador de supervisión de Synapse
workspaces/integrationRuntimes/viewLogs/action Administrador de Synapse
Colaborador de Synapse
Operador de procesos de Synapse
Operador de supervisión de Synapse
workspaces/linkConnections/read Administrador de Synapse
Colaborador de Synapse
Operador de proceso de Synapse
workspaces/linkConnections/useCompute/action Administrador de Synapse
Colaborador de Synapse
Operador de proceso de Synapse
workspaces/artifacts/read Administrador de Synapse
Administrador de Synapse Apache Spark
Administrador de Synapse SQL
Colaborador de Synapse
Editor de artefactos de Synapse
Usuario de artefactos de Synapse
workspaces/notebooks/write, delete Administrador de Synapse
Administrador de Synapse Apache Spark
Colaborador de Synapse
Editor de artefactos de Synapse
workspaces/sparkJobDefinitions/write, delete Administrador de Synapse
Administrador de Synapse Apache Spark
Colaborador de Synapse
Editor de artefactos de Synapse
workspaces/sqlScripts/write, delete Administrador de Synapse
Administrador de Synapse SQL
Colaborador de Synapse
Editor de artefactos de Synapse
workspaces/kqlScripts/write, delete Administrador de Synapse
Colaborador de Synapse
Editor de artefactos de Synapse
workspaces/dataFlows/write, delete Administrador de Synapse
Colaborador de Synapse
Editor de artefactos de Synapse
workspaces/pipelines/write, delete Administrador de Synapse
Colaborador de Synapse
Editor de artefactos de Synapse
workspaces/linkConnections/write, delete Administrador de Synapse
Colaborador de Synapse
workspaces/triggers/write, delete Administrador de Synapse
Colaborador de Synapse
Editor de artefactos de Synapse
workspaces/datasets/write, delete Administrador de Synapse
Colaborador de Synapse
Editor de artefactos de Synapse
workspaces/libraries/write, delete Administrador de Synapse
Administrador de Synapse Apache Spark
Colaborador de Synapse
Editor de artefactos de Synapse
workspaces/linkedServices/write, delete Administrador de Synapse
Administrador de Synapse Apache Spark
Administrador de Synapse SQL
Colaborador de Synapse
Editor de artefactos de Synapse
Administrador de datos vinculado a Synapse
workspaces/credentials/write, delete Administrador de Synapse
Administrador de Synapse Apache Spark
Administrador de Synapse SQL
Colaborador de Synapse
Editor de artefactos de Synapse
Administrador de datos vinculado a Synapse
workspaces/notebooks/viewOutputs/action Administrador de Synapse
Administrador de Synapse Apache Spark
Colaborador de Synapse
Editor de artefactos de Synapse
Usuario de artefactos de Synapse
workspaces/pipelines/viewOutputs/action Administrador de Synapse
Colaborador de Synapse
Editor de artefactos de Synapse
Usuario de artefactos de Synapse
workspaces/linkedServices/useSecret/action Administrador de Synapse
Usuario de credenciales de Synapse
workspaces/credentials/useSecret/action Administrador de Synapse
Usuario de credenciales de Synapse

Ámbitos de Synapse RBAC y los roles compatibles

En la tabla siguiente se enumeran los ámbitos de Synapse RBAC y los roles que se pueden asignar en cada ámbito.

Nota

Para crear o eliminar un objeto, debe tener permisos en un ámbito de nivel superior.

Ámbito Roles
Área de trabajo Administrador de Synapse
Administrador de Synapse Apache Spark
Administrador de Synapse SQL
Colaborador de Synapse
Editor de artefactos de Synapse
Usuario de artefactos de Synapse
Operador de procesos de Synapse
Operador de supervisión de Synapse
Usuario de credenciales de Synapse
Administrador de datos vinculado a Synapse
Usuario de Synapse
Grupo de Apache Spark Administrador de Synapse
Colaborador de Synapse
Operador de proceso de Synapse
Tiempo de ejecución de integración Administrador de Synapse
Colaborador de Synapse
Operador de proceso de Synapse
Servicio vinculado Administrador de Synapse
Usuario de credenciales de Synapse
Credential: Administrador de Synapse
Usuario de credenciales de Synapse

Nota

El ámbito de todos los roles y acciones de artefactos se encuentra en el nivel de área de trabajo.

Pasos siguientes