Rôles RBAC Synapse
L’article décrit les rôles RBAC (contrôle d’accès en fonction du rôle) Synapse intégrés, les autorisations qu’ils accordent, ainsi que les étendues au niveau desquelles ils peuvent être utilisés.
Pour plus d’informations sur l’examen et l’attribution des appartenances aux rôles Synapse, consultez Guide pratique pour passer en revue les attributions de rôles RBAC Synapse et Guide pratique pour attribuer des rôles RBAC Synapse.
Rôles RBAC Synapse intégrés et étendues
Le tableau suivant décrit les rôles intégrés et les étendues à partir desquelles ils peuvent être utilisés.
Notes
Les utilisateurs disposant d’un rôle RBAC Synapse dans n’importe quelle étendue disposent automatiquement du rôle d’Utilisateur Synapse dans l’étendue de l’espace de travail.
Important
Les rôles RBAC Synapse n’accordent pas d’autorisations pour créer ou gérer des pools SQL, des pools Apache Spark et des runtimes d’intégration dans les espaces de travail Azure Synapse. Les rôles de propriétaire Azure ou de contributeur Azure sur le groupe de ressources sont requis pour ces actions.
Role | Autorisations | Étendues |
---|---|---|
Administrateur Synapse | Accès complet de Synapse aux pools SQL serverless et dédiés, aux pools Data Explorer, aux pools Apache Spark et aux runtimes d’intégration. Comprend un accès en création, lecture, mise à jour et suppression portant sur tous les artefacts de code publiés. Comprend les autorisations d’opérateur de calcul, de gestionnaire des données liées et d’utilisateur d’informations d’identification sur les informations d’identification système de l’espace de travail. Comprend l’attribution de rôles RBAC Synapse. En plus de l’administrateur Synapse, les propriétaires Azure peuvent également attribuer des rôles Synapse RBAC. Des autorisations Azure sont requises pour créer, supprimer et gérer des ressources de calcul. Les rôles RBAC Synapse peuvent être attribués même lorsque l’abonnement associé est désactivé.Peut lire et écrire des artefacts Peut effectuer toutes les actions sur les activités Spark. Peut afficher les journaux des pools Spark Peut afficher le notebook enregistré et la sortie du pipeline Peut utiliser les secrets stockés par les services liés ou les informations d’identificationPeut attribuer et révoquer des rôles RBAC Synapse au niveau de l’étendue actuelle | Espace de travail pool Spark Runtime d'intégration Service liéInformations d’identification |
Administrateur Synapse Apache Spark | Accès Synapse complet aux pools Apache Spark. Accès en création, lecture, mise à jour et suppression aux définitions de travail Spark publiées, aux notebooks et à leurs sorties, ainsi qu’aux bibliothèques, services liés et informations d’identification. Comprend un accès en lecture à tous les autres artefacts de code publiés. Ne permet pas d’utiliser des informations d’identification et d’exécuter des pipelines. Ne comprend pas l’octroi d’accès. Peut effectuer toutes les actions sur les artefacts SparkPeut effectuer toutes les actions sur les activités Spark | Espace de travailPool Spark |
Administrateur Synapse SQL | Accès Synapse complet aux pools SQL serverless. Accès en création, lecture, mise à jour et suppression aux scripts SQL publiés, informations d’identification et services liés. Comprend un accès en lecture à tous les autres artefacts de code publiés. Ne permet pas d’utiliser des informations d’identification et d’exécuter des pipelines. Ne comprend pas l’octroi d’accès. Permet d’effectuer toutes les actions sur les scripts SQL Peut se connecter à des points de terminaison SQL serverless avec les autorisations SQL db_datareader , db_datawriter , connect et grant |
Espace de travail |
Contributeur Synapse | Accès Synapse complet aux pools Apache Spark et runtimes d’intégration. Comprend un accès en création, lecture, mise à jour et suppression à tous les artefacts de code publiés et leurs sorties, y compris les pipelines planifés, les informations d’identification et les services liés. Comprend les autorisations d’opérateur de calcul. Ne permet pas d’utiliser des informations d’identification et d’exécuter des pipelines. Ne comprend pas l’octroi d’accès. Peut lire et écrire des artefactsPeut afficher le notebook enregistré et la sortie du pipelinePeut effectuer toutes les actions sur les activités SparkPeut afficher les journaux des pools Spark | Espace de travail pool Spark Runtime d’intégration |
Éditeur d'artefact Synapse | Accès en création, lecture, mise à jour et suppression portant sur les artefacts de code publiés et leurs sorties, y-compris les pipelines planifiés. Ne comprend pas l’autorisation d’exécuter du code ou des pipelines, ou d’accorder l’accès. Peut lire les artefacts publiés et publier des artefactsPeut afficher le notebook enregistré, le travail Spark et la sortie du pipeline | Espace de travail |
Utilisateur d'artefact Synapse | Accès en lecture portant sur les artefacts de code publiés et leurs sorties. Peut créer des artefacts, mais ne peut pas publier de modifications, ni exécuter du code sans autorisations supplémentaires. | Espace de travail |
Opérateur de capacité de calcul Synapse | Soumettre des travaux et des notebooks Spark et afficher les journaux. Comprend l’annulation des travaux Spark soumis par n’importe quel utilisateur. Nécessite des autorisations supplémentaires d’utilisation des informations d’identification sur l’identité du système de l’espace de travail pour exécuter des pipelines, afficher des exécutions de pipeline et des sorties. Peut soumettre et annuler des travaux, y compris des travaux soumis par d’autresPeut afficher les journaux des pools Spark | Espace de travailPool SparkRuntime d’intégration |
Opérateur de surveillance Synapse | Lire les artefacts de code publiés, y compris les journaux et les sorties des exécutions de pipeline et des notebooks terminés. Inclut la possibilité de lister et d’afficher des détails sur les pools Apache Spark, les pools Data Explorer et les runtimes d’intégration. Nécessite des autorisations supplémentaires pour exécuter/annuler des pipelines, des blocs-notes Spark et des travaux Spark. | Espace de travail |
Utilisateur d’informations d’identification Synapse | Exécution et configuration, utilisation des secrets dans les informations d’identification et des services liés dans des activités telles que les exécutions de pipeline. Pour exécuter des pipelines, ce rôle est requis, étendu à l’identité du système de l’espace de travail. Étendu à des informations d’identification, permet l’accès aux données via un service lié protégé par des informations d’identification (nécessite également une autorisation d’utilisation du calcul) Permet l’exécution de pipelines protégés par les informations d’identification de l’identité du système de l’espace de travail | Espace de travail Service liéInformations d’identification |
Gestionnaire des données liées Synapse | Création et gestion des points de terminaison privés managés, des services liés et des informations d’identification. Peut créer des points de terminaison privés managés utilisant des services liés protégés par des informations d’identification | Espace de travail |
Utilisateur Synapse | Répertorier et afficher les détails des pools SQL, des pools Apache Spark, des runtimes d’intégration, des services liés et informations d’identification publiés. Ne comprend pas d’autres artefacts de code publiés. Peut créer des artefacts, mais ne peut pas exécuter ou publier sans autorisations supplémentaires. Peut répertorier et lire les pools Spark, les runtimes d’intégration. | Espace de travail, pool SparkService lié Informations d’identification |
Rôles RBAC Synapse et actions qu’ils permettent
Notes
- Toutes les actions répertoriées dans les tableaux ci-dessous sont préfixées, « Microsoft.Synapse/... »
- Toutes les actions de lecture, d’écriture et de suppression d’artefacts portent sur les artefacts publiés dans le service en ligne. Ces autorisations n’affectent pas l’accès aux artefacts d’un référentiel Git connecté.
Le tableau suivant répertorie les rôles intégrés et les actions/autorisations prises en charge par chacun.
Rôle | Actions |
---|---|
Administrateur Synapse | workspaces/readworkspaces/roleAssignments/write, deleteworkspaces/managedPrivateEndpoint/write, deleteworkspaces/bigDataPools/useCompute/actionworkspaces/bigDataPools/viewLogs/actionworkspaces/integrationRuntimes/useCompute/actionworkspaces/integrationRuntimes/viewLogs/actionworkspaces/artifacts/readworkspaces/notebooks/write, deleteworkspaces/sparkJobDefinitions/write, deleteworkspaces/sqlScripts/write, deleteworkspaces/kqlScripts/write, deleteworkspaces/dataFlows/write, deleteworkspaces/pipelines/write, deleteworkspaces/triggers/write, deleteworkspaces/datasets/write, deleteworkspaces/libraries/write, deleteworkspaces/linkedServices/write, deleteworkspaces/credentials/write, deleteworkspaces/notebooks/viewOutputs/actionworkspaces/pipelines/viewOutputs/actionworkspaces/linkedServices/useSecret/actionworkspaces/credentials/useSecret/actionworkspaces/linkConnections/readworkspaces/linkConnections/writeworkspaces/linkConnections/deleteworkspaces/linkConnections/useCompute/action |
Administrateur Synapse Apache Spark | workspaces/readworkspaces/bigDataPools/useCompute/actionworkspaces/bigDataPools/viewLogs/actionworkspaces/notebooks/viewOutputs/actionworkspaces/artifacts/readworkspaces/notebooks/write, deleteworkspaces/sparkJobDefinitions/write, deleteworkspaces/libraries/write, deleteworkspaces/linkedServices/write, deleteworkspaces/credentials/write, delete |
Administrateur Synapse SQL | workspaces/readworkspaces/artifacts/readworkspaces/sqlScripts/write, deleteworkspaces/linkedServices/write, deleteworkspaces/credentials/write, delete |
Contributeur Synapse | workspaces/readworkspaces/bigDataPools/useCompute/actionworkspaces/bigDataPools/viewLogs/actionworkspaces/integrationRuntimes/useCompute/actionworkspaces/integrationRuntimes/viewLogs/actionworkspaces/artifacts/readworkspaces/notebooks/write, deleteworkspaces/sparkJobDefinitions/write, deleteworkspaces/sqlScripts/write, deleteworkspaces/kqlScripts/write, deleteworkspaces/dataFlows/write, deleteworkspaces/pipelines/write, deleteworkspaces/triggers/write, deleteworkspaces/datasets/write, deleteworkspaces/libraries/write, deleteworkspaces/linkedServices/write, deleteworkspaces/credentials/write, deleteworkspaces/notebooks/viewOutputs/actionworkspaces/pipelines/viewOutputs/actionworkspaces/linkConnections/readworkspaces/linkConnections/writeworkspaces/linkConnections/deleteworkspaces/linkConnections/useCompute/action |
Éditeur d'artefact Synapse | workspaces/readworkspaces/artifacts/readworkspaces/notebooks/write, deleteworkspaces/sparkJobDefinitions/write, deleteworkspaces/sqlScripts/write, deleteworkspaces/kqlScripts/write, deleteworkspaces/dataFlows/write, deleteworkspaces/pipelines/write, deleteworkspaces/triggers/write, deleteworkspaces/datasets/write, deleteworkspaces/libraries/write, deleteworkspaces/linkedServices/write, deleteworkspaces/credentials/write, deleteworkspaces/notebooks/viewOutputs/actionworkspaces/pipelines/viewOutputs/action |
Utilisateur d'artefact Synapse | workspaces/readworkspaces/artifacts/readworkspaces/notebooks/viewOutputs/actionworkspaces/pipelines/viewOutputs/action |
Opérateur de capacité de calcul Synapse | workspaces/readworkspaces/bigDataPools/useCompute/actionworkspaces/bigDataPools/viewLogs/actionworkspaces/integrationRuntimes/useCompute/actionworkspaces/integrationRuntimes/viewLogs/actionworkspaces/linkConnections/readworkspaces/linkConnections/useCompute/action |
Opérateur de surveillance Synapse | workspaces/readworkspaces/artifacts/readworkspaces/notebooks/viewOutputs/actionworkspaces/pipelines/viewOutputs/actionworkspaces/integrationRuntimes/viewLogs/actionworkspaces/bigDataPools/viewLogs/action |
Utilisateur d’informations d’identification Synapse | workspaces/readworkspaces/linkedServices/useSecret/actionworkspaces/credentials/useSecret/action |
Gestionnaire des données liées Synapse | workspaces/readworkspaces/managedPrivateEndpoint/write, deleteworkspaces/linkedServices/write, deleteworkspaces/credentials/write, delete |
Utilisateur Synapse | workspaces/read |
Actions RBAC Synapse et rôles qui les permettent
Le tableau suivant répertorie les actions Synapse et les rôles intégrés qui permettent ces actions :
Action | Role |
---|---|
workspaces/read | Synapse AdministratorSynapse Apache Spark AdministratorSynapse SQL AdministratorSynapse ContributorSynapse Artifact PublisherSynapse Artifact UserSynapse Compute Operator Synapse Monitoring Operator Synapse Credential UserSynapse Linked Data ManagerSynapse User |
workspaces/roleAssignments/write, delete | Administrateur Synapse |
workspaces/managedPrivateEndpoint/write, delete | Administrateur SynapseGestionnaire des données liées Synapse |
workspaces/bigDataPools/useCompute/action | Synapse AdministratorSynapse Apache Spark AdministratorSynapse ContributorSynapse Compute Operator Synapse Monitoring Operator |
workspaces/bigDataPools/viewLogs/action | Administrateur SynapseAdministrateur Synapse Apache SparkContributeur SynapseOpérateur de capacité de calcul Synapse |
workspaces/integrationRuntimes/useCompute/action | Synapse AdministratorSynapse ContributorSynapse Compute OperatorSynapse Monitoring Operator |
workspaces/integrationRuntimes/viewLogs/action | Synapse AdministratorSynapse ContributorSynapse Compute OperatorSynapse Monitoring Operator |
workspaces/linkConnections/read | Administrateur SynapseContributeur SynapseOpérateur de capacité de calcul Synapse |
workspaces/linkConnections/useCompute/action | Administrateur SynapseContributeur SynapseOpérateur de capacité de calcul Synapse |
workspaces/artifacts/read | Administrateur SynapseAdministrateur Synapse Apache SparkAdministrateur Synapse SQLContributeur SynapseÉditeur d’artefact SynapseUtilisateur d’artefact Synapse |
workspaces/notebooks/write, delete | Administrateur SynapseAdministrateur Synapse Apache SparkContributeur SynapseÉditeur d’artefact Synapse |
workspaces/sparkJobDefinitions/write, delete | Administrateur SynapseAdministrateur Synapse Apache SparkContributeur SynapseÉditeur d’artefact Synapse |
workspaces/sqlScripts/write, delete | Administrateur SynapseAdministrateur Synapse SQLContributeur SynapseÉditeur d’artefact Synapse |
workspaces/kqlScripts/write, delete | Administrateur SynapseContributeur SynapseÉditeur d’artefact Synapse |
workspaces/dataFlows/write, delete | Administrateur SynapseContributeur SynapseÉditeur d’artefact Synapse |
workspaces/pipelines/write, delete | Administrateur SynapseContributeur SynapseÉditeur d’artefact Synapse |
workspaces/linkConnections/write, delete | Contributeur Synapse AdministratorSynapse |
workspaces/triggers/write, delete | Administrateur SynapseContributeur SynapseÉditeur d’artefact Synapse |
workspaces/datasets/write, delete | Administrateur SynapseContributeur SynapseÉditeur d’artefact Synapse |
workspaces/libraries/write, delete | Administrateur SynapseAdministrateur Synapse Apache SparkContributeur SynapseÉditeur d’artefact Synapse |
workspaces/linkedServices/write, delete | Administrateur SynapseAdministrateur Synapse Apache SparkAdministrateur Synapse SQLContributeur SynapseÉditeur d’artefact SynapseGestionnaire des données liées Synapse |
workspaces/credentials/write, delete | Administrateur SynapseAdministrateur Synapse Apache SparkAdministrateur Synapse SQLContributeur SynapseÉditeur d’artefact SynapseGestionnaire des données liées Synapse |
workspaces/notebooks/viewOutputs/action | Administrateur SynapseAdministrateur Synapse Apache SparkContributeur SynapseÉditeur d’artefact SynapseUtilisateur d’artefact Synapse |
workspaces/pipelines/viewOutputs/action | Administrateur SynapseContributeur SynapseÉditeur d’artefact SynapseUtilisateur d’artefact Synapse |
workspaces/linkedServices/useSecret/action | Administrateur SynapseUtilisateur d’informations d’identification Synapse |
workspaces/credentials/useSecret/action | Administrateur SynapseUtilisateur d’informations d’identification Synapse |
Étendues RBAC Synapse et rôles correspondants pris en charge
Le tableau ci-dessous répertorie les étendues RBAC Synapse et les rôles qui pouvant être attribués à chaque étendue.
Notes
Pour créer ou supprimer un objet, vous devez disposer d’autorisations dans une étendue de niveau supérieur.
Étendue | Rôles |
---|---|
Espace de travail | Synapse AdministratorSynapse Apache Spark AdministratorSynapse SQL AdministratorSynapse ContributorSynapse Artifact PublisherSynapse Artifact UserSynapse Compute Operator Synapse Monitoring Operator Synapse Credential UserSynapse Linked Data ManagerSynapse User |
Pool Apache Spark | Administrateur Synapse Contributeur Synapse Opérateur de capacité de calcul Synapse |
Runtime d’intégration | Administrateur Synapse Contributeur Synapse Opérateur de capacité de calcul Synapse |
Service lié | Administrateur Synapse Utilisateur d’informations d’identification Synapse |
Informations d'identification | Administrateur Synapse Utilisateur d’informations d’identification Synapse |
Notes
Tous les rôles et actions d’artefact sont étendus au niveau de l’espace de travail.
Étapes suivantes
- Découvrir comment passer en revue les attributions de rôles RBAC Synapse pour un espace de travail
- Découvrir comment attribuer des rôles RBAC Synapse
Commentaires
https://aka.ms/ContentUserFeedback.
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultezEnvoyer et afficher des commentaires pour