Rôles et autorisations pour Azure Data Factory
S’APPLIQUE À : Azure Data Factory Azure Synapse Analytics
Conseil
Essayez Data Factory dans Microsoft Fabric, une solution d’analyse tout-en-un pour les entreprises. Microsoft Fabric couvre tous les aspects, du déplacement des données à la science des données, en passant par l’analyse en temps réel, l’aide à la décision et la création de rapports. Découvrez comment démarrer un nouvel essai gratuitement !
Cet article décrit les rôles requis pour créer et gérer des ressources Azure Data Factory ainsi que les autorisations accordées par ces rôles.
Rôles et conditions requises
Pour créer des instances Data Factory, le compte d’utilisateur que vous utilisez pour vous connecter à Azure doit être membre des rôles Contributeur ou Propriétaire, ou administrateur de l’abonnement Azure. Pour visualiser les autorisations dont vous disposez dans l’abonnement, sélectionnez votre nom d’utilisateur dans l’angle supérieur droit du portail Azure, puis choisissez Mes autorisations. Si vous avez accès à plusieurs abonnements, sélectionnez l’abonnement approprié.
Les exigences applicables à la création et à la gestion des ressources enfants pour Data Factory (jeux de données, services liés, pipelines, déclencheurs et runtimes d’intégration) sont les suivantes :
Pour créer et gérer des ressources enfants dans le portail Azure, vous devez appartenir au rôle Contributeur de Data Factory au niveau du groupe de ressources ou à un niveau supérieur.
Notes
Si le rôle Contributeur vous a déjà été attribué au niveau Groupe de ressources ou à un niveau supérieur, vous n’avez pas besoin du rôle Contributeur Data Factory. Le rôle Contributeur constitue un sur-ensemble de rôles qui comprend toutes les autorisations accordées au rôle Contributeur Data Factory.
Pour créer et gérer des ressources enfants à l’aide de PowerShell ou du Kit de développement logiciel (SDK), le rôle Contributeur au niveau du groupe de ressources ou à un niveau supérieur est suffisant.
Pour découvrir des exemples d’instructions concernant l’ajout d’un utilisateur à un rôle, consultez l’article décrivant comment ajouter des rôles.
Définir des autorisations
Après avoir créé une fabrique de données, vous allez sans doute vouloir permettre à d’autres utilisateurs de l’utiliser. Pour accorder cet accès à d’autres utilisateurs, vous devez les ajouter au rôle Contributeur de Data Factory, lequel est intégré au groupe de ressources qui contient la fabrique de données.
Portée du rôle Contributeur de Data Factory
L’appartenance au rôle Contributeur de Data Factory permet aux utilisateurs d’effectuer les opérations suivantes :
- Créer, modifier et supprimer des fabriques de données et des ressources enfants, y compris des jeux de données, des services liés, des pipelines, des déclencheurs et des runtimes d’intégration.
- Déployer des modèles Resource Manager. Le déploiement Resource Manager est la méthode de déploiement utilisée par Data Factory dans le portail Microsoft Azure.
- Gérer les alertes App Insights pour une fabrique de données.
- Créer des tickets de support.
Pour plus d’informations sur ce rôle, voir Rôle Contributeur de Data Factory.
Déploiement de modèle Resource Manager
Le rôle Contributeur de Data Factory, au niveau du groupe de ressources ou au-delà, permet aux utilisateurs de déployer des modèles Resource Manager. Par conséquent, les membres de ce rôle peuvent utiliser des modèles Resource Manager pour déployer des fabriques de données et leurs ressources enfants, y compris des jeux de données, des services liés, des pipelines, des déclencheurs et des runtimes d’intégration. L’appartenance à ce rôle ne permet pas à l’utilisateur de créer d’autres ressources.
Les autorisations pour les référentiels Azure et GitHub sont indépendantes des autorisations Data Factory. Par conséquent, un utilisateur disposant des autorisations de référentiel et uniquement membre du rôle Lecteur peut modifier les ressources enfant Data Factory et apporter des modifications au référentiel, mais il ne peut pas publier ces modifications.
Important
Le déploiement du modèle Resource Manager avec le rôle Contributeur de Data Factory ne permet pas d’accroître vos autorisations. Par exemple, si vous déployez un modèle qui crée une machine virtuelle Azure et si vous n’êtes pas autorisé à créer des machines virtuelles, le déploiement échoue et renvoie une erreur d’autorisation.
Dans un contexte de publication, l’autorisation Microsoft.DataFactory/factories/write s’applique aux modes suivants.
- Cette autorisation n’est requise en Mode réel que lorsque le client modifie les paramètres globaux.
- Cette autorisation est toujours requise en Mode Git, car, après chaque publication du client, l’objet de fabrique présentant l’ID de la dernière validation doit être mis à jour.
Scénarios et rôles personnalisés
Parfois, il peut se révéler utile d’accorder différents niveaux d’accès selon les utilisateurs de la fabrique de données. Par exemple :
- Vous avez peut-être besoin d’un groupe dans lequel les utilisateurs disposent uniquement d’autorisations sur une fabrique de données spécifique.
- Ou bien, vous avez peut-être besoin d’un groupe dans lequel les utilisateurs peuvent uniquement surveiller une ou plusieurs fabriques de données, mais pas les modifier.
Pour ces scénarios personnalisés, vous devez créer des rôles personnalisés et les assigner aux utilisateurs. Pour plus d’informations sur les rôles personnalisés, voir Rôles personnalisés dans Azure.
Voici quelques exemples qui illustrent l’intérêt d’utiliser des rôles personnalisés :
Vous permettez à un utilisateur de créer, modifier ou supprimer une fabrique de données dans un groupe de ressources à partir du portail Microsoft Azure.
Vous attribuez le rôle intégré Contributeur de Data Factory à l’utilisateur au niveau du groupe de ressources. Si vous souhaitez autoriser l’accès à une fabrique de données dans un abonnement, attribuez le rôle au niveau de l’abonnement.
Vous laissez un utilisateur afficher (lire) et surveiller une fabrique de données, mais vous ne l’autorisez pas à l’éditer ou à la modifier.
Vous attribuez le rôle lecteur à l’utilisateur dans la ressource de fabrique de données.
Vous permettez à un utilisateur de modifier une seule fabrique de données dans le portail Microsoft Azure.
Ce scénario nécessite deux attributions de rôles.
- Vous attribuez le rôle Contributeur au niveau de la fabrique de données.
- Vous créez un rôle personnalisé avec l’autorisation Microsoft.Resources/deployments/. Vous attribuez ce rôle personnalisé à l’utilisateur au niveau du groupe de ressources.
Vous permettez à un utilisateur de tester la connexion dans un service lié ou d’afficher un aperçu des données dans un jeu de données
Créez un rôle personnalisé avec des autorisations pour les actions suivantes : Microsoft.DataFactory/factories/getFeatureValue/read et Microsoft.DataFactory/factories/getDataPlaneAccess/action. Attribuez ce rôle personnalisé à l’utilisateur dans la ressource de fabrique de données.
Vous permettez à un utilisateur de mettre à jour une fabrique de données à partir de PowerShell ou du SDK, mais pas dans le portail Microsoft Azure.
Vous attribuez le rôle Contributeur à l’utilisateur pour la ressource de fabrique de données. Ce rôle permet à l’utilisateur de voir les ressources dans le portail Azure, mais pas d’accéder aux boutons Publier et Publier tout.
Contenu connexe
En savoir plus sur les rôles dans Azure : Comprendre les définitions de rôles
En savoir plus sur le rôle Contributeur de Data Factory : Rôle Contributeur de Data Factory.