Peran RBAC Synapse
Artikel tersebut menjelaskan peran Synapse RBAC (kontrol akses berbasis peran) bawaan, izin yang diberikan, dan cakupan penggunaannya.
Untuk informasi selengkapnya tentang meninjau dan menetapkan keanggotaan peran Synapse, lihat cara meninjau penetapan peran RBAC Synapse dan cara menetapkan peran RBAC Synapse.
Peran dan cakupan RBAC Synapse bawaan
Tabel berikut ini menjelaskan peran bawaan dan cakupan tempat tabel tersebut dapat digunakan.
Catatan
Pengguna dengan peran RBAC Synapse apa pun di lingkup apa pun secara otomatis memiliki peran Pengguna Synapse di lingkup ruang kerja.
Penting
Peran RBAC Synapse tidak memberikan izin untuk membuat atau mengelola kumpulan SQL, kumpulan Apache Spark, dan runtime Integrasi di ruang kerja Azure Synapse. Peran Azure Owner atau Azure Contributor pada grup sumber daya diperlukan untuk tindakan ini.
Peran | Izin | Cakupan |
---|---|---|
Administrator Sinaps | Akses Synapse penuh ke kumpulan SQL tanpa server dan khusus, kumpulan Data Explorer, kumpulan Apache Spark, dan Runtime integrasi. Termasuk membuat, membaca, memperbarui, dan menghapus akses ke semua artefak kode yang diterbitkan. Termasuk Computer Operator, Linked Data Manager, dan izin Credential User pada informasi masuk identitas sistem ruang kerja. Termasuk menetapkan peran Synapse RBAC. Selain Synapse Administrator, Azure Owners juga dapat menetapkan peran Synapse RBAC. Izin akses Azure diperlukan untuk membuat, menghapus, dan mengelola sumber daya komputasi. Peran RBAC Synapse dapat ditetapkan bahkan ketika langganan terkait dinonaktifkan. Dapat membaca dan menulis artefak Dapat melakukan semua tindakan pada aktivitas Spark. Dapat melihat log kumpulan Spark Dapat melihat notebook dan output alur yang disimpan Dapat menggunakan rahasia yang disimpan oleh layanan atau info masuk tertaut Dapat menetapkan dan mencabut peran RBAC Synapse pada cakupan saat ini |
Ruang kerja kumpulan Spark Runtime integrasi Layanan tertaut Info masuk |
Synapse Apache Spark Administrator |
Akses Synapse penuh ke Apache Spark Pools. Membuat, membaca, memperbarui, dan menghapus akses ke definisi pekerjaan, notebook dan output Spark yang diterbitkan, serta ke pustaka, layanan tertaut, dan kredensial. Termasuk akses baca ke semua artefak kode lain yang diterbitkan. Tidak termasuk izin untuk menggunakan kredensial dan mengeksekusi alur. Tidak termasuk pemberian akses. Dapat melakukan semua tindakan pada artefak Spark Dapat melakukan semua tindakan pada aktivitas Spark |
Ruang kerja Kumpulan Spark |
Admin Synapse SQL | Akses Synapse penuh ke kumpulan SQL tanpa server. Buat, baca, perbarui, dan hapus akses ke skrip, kredensial, dan layanan tertaut SQL yang dipublikasikan. Termasuk akses baca ke semua artefak kode lain yang diterbitkan. Tidak termasuk izin untuk menggunakan kredensial dan mengeksekusi alur. Tidak termasuk pemberian akses. Dapat melakukan semua tindakan pada skrip SQL Dapat tersambung ke titik akhir tanpa server SQL dengan SQL db_datareader , db_datawriter , connect , dan grant izin |
Ruang kerja |
Synapse Contributor | Akses Synapse penuh ke kumpulan Apache Spark dan runtime Integrasi. Termasuk membuat, membaca, memperbarui, dan menghapus akses ke semua artefak kode yang diterbitkan dan outputnya, termasuk alur terjadwal, kredensial, dan layanan tertaut. Disertai izin akses operator komputasi. Tidak termasuk izin untuk menggunakan kredensial dan mengeksekusi alur. Tidak termasuk pemberian akses. Dapat membaca dan menulis artefak Dapat melihat notebook yang tersimpan dan output alur Dapat melakukan semua tindakan pada aktivitas Spark Dapat melihat log kumpulan Spark |
Ruang kerja kumpulan Spark Runtime integrasi |
Synapse Artifact Publisher | Membuat, membaca, memperbarui, dan menghapus akses ke artefak kode yang diterbitkan dan outputnya, termasuk alur terjadwal. Tidak termasuk izin untuk menjalankan kode atau alur, atau untuk memberikan akses. Dapat membaca artefak yang diterbitkan dan menerbitkan artefak Dapat menampilkan notebook yang tersimpan, pekerjaan Spark, dan output alur |
Ruang kerja |
Synapse Artifact User | Membaca akses ke artefak kode yang dipublikasikan dan outputnya. Dapat membuat artefak baru tetapi tidak dapat menerbitkan perubahan atau menjalankan kode tanpa izin tambahan. | Ruang kerja |
Synapse Compute Operator | Mengirim pekerjaan Spark dan notebook serta menampilkan log. Termasuk membatalkan pekerjaan Spark yang dikirimkan oleh pengguna mana pun. Memerlukan izin info masuk penggunaan tambahan pada identitas sistem ruang kerja untuk menjalankan alur, melihat alur dan output. Dapat mengirimkan dan membatalkan pekerjaan, termasuk pekerjaan yang dikirimkan oleh orang lain Dapat melihat log kumpulan Spark |
Ruang kerja Kumpulan Spark Runtime integrasi |
Operator Pemantauan Synapse | Baca artefak kode yang diterbitkan, termasuk log dan output untuk eksekusi alur dan notebook yang telah selesai. Mencakup kemampuan untuk mencantumkan dan melihat detail kumpulan Apache Spark, kumpulan Data Explorer, dan Runtime integrasi. Memerlukan izin tambahan untuk menjalankan/membatalkan alur, notebook Spark, dan pekerjaan Spark. | Ruang kerja |
Synapse Credential User | Penggunaan rahasia runtime dan waktu konfigurasi di dalam kredensial dan layanan yang tertaut dalam aktivitas seperti eksekusi alur. Untuk menjalankan alur, peran ini diperlukan, dicakupkan ke identitas sistem ruang kerja. Tercakup dalam informasi masuk, mengizinkan akses ke data melalui layanan tertaut yang dilindungi oleh informasi masuk (mungkin juga memerlukan izin penggunaan komputasi) Memungkinkan eksekusi alur yang dilindungi oleh informasi masuk identitas sistem ruang kerja |
Ruang Kerja Layanan Tertaut Info Masuk |
Synapse Linked Data Manager | Pembuatan dan pengelolaan endpoint privat yang terkelola, layanan tertaut, dan kredensial. Dapat membuat endpoint privat terkelola yang menggunakan layanan tertaut dilindungi oleh kredensial | Ruang kerja |
Pengguna Synapse | Mencantumkan dan melihat detail kumpulan SQL, kumpulan Apache Spark, runtime Integrasi, serta layanan dan kredensial tertaut yang dipublikasikan. Tidak termasuk artefak kode yang diterbitkan lainnya. Dapat membuat artefak baru tetapi tidak bisa menjalankan atau menerbitkan tanpa izin tambahan. Dapat mencantumkan dan membaca kumpulan Spark, runtime Integrasi. |
Ruang kerja, kumpulan Spark Layanan tertaut Info masuk |
Peran RBAC Synapse dan tindakan yang mereka izinkan
Catatan
- Semua tindakan yang tercantum dalam tabel di bawah ini diawali, "Microsoft.Synapse/..."
- Semua tindakan baca, tulis, dan hapus artefak berhubungan dengan artefak-artefak yang dipublikasikan dalam layanan langsung. Izin-izin tersebut tidak mempengaruhi akses ke artefak dalam repositori Git yang terhubung.
Tabel berikut ini mencantumkan peran bawaan dan tindakan/izin yang didukung masing-masing.
Peran | Tindakan |
---|---|
Administrator Sinaps | workspaces/read workspaces/roleAssignments/write, delete workspaces/managedPrivateEndpoint/write, delete workspaces/bigDataPools/useCompute/action workspaces/bigDataPools/viewLogs/action workspaces/integrationRuntimes/useCompute/action workspaces/integrationRuntimes/viewLogs/action workspaces/artifacts/read workspaces/notebooks/write, delete workspaces/sparkJobDefinitions/write, delete workspaces/sqlScripts/write, delete workspaces/kqlScripts/write, delete workspaces/dataFlows/write, delete workspaces/pipelines/write, delete workspaces/triggers/write, delete workspaces/datasets/write, delete workspaces/libraries/write, delete workspaces/linkedServices/write, delete workspaces/credentials/write, delete workspaces/notebooks/viewOutputs/action workspaces/pipelines/viewOutputs/action workspaces/linkedServices/useSecret/action workspaces/credentials/useSecret/action workspaces/linkConnections/read workspaces/linkConnections/write workspaces/linkConnections/delete workspaces/linkConnections/useCompute/action |
Synapse Apache Spark Administrator | workspaces/read workspaces/bigDataPools/useCompute/action workspaces/bigDataPools/viewLogs/action workspaces/notebooks/viewOutputs/action workspaces/artifacts/read workspaces/notebooks/write, delete workspaces/sparkJobDefinitions/write, delete workspaces/libraries/write, delete workspaces/linkedServices/write, delete workspaces/credentials/write, delete |
Admin Synapse SQL | workspaces/read workspaces/artifacts/read workspaces/sqlScripts/write, delete workspaces/linkedServices/write, delete workspaces/credentials/write, delete |
Synapse Contributor | workspaces/read workspaces/bigDataPools/useCompute/action workspaces/bigDataPools/viewLogs/action workspaces/integrationRuntimes/useCompute/action workspaces/integrationRuntimes/viewLogs/action workspaces/artifacts/read workspaces/notebooks/write, delete workspaces/sparkJobDefinitions/write, delete workspaces/sqlScripts/write, delete workspaces/kqlScripts/write, delete workspaces/dataFlows/write, delete workspaces/pipelines/write, delete workspaces/triggers/write, delete workspaces/datasets/write, delete workspaces/libraries/write, delete workspaces/linkedServices/write, delete workspaces/credentials/write, delete workspaces/notebooks/viewOutputs/action workspaces/pipelines/viewOutputs/action workspaces/linkConnections/read workspaces/linkConnections/write workspaces/linkConnections/delete workspaces/linkConnections/useCompute/action |
Synapse Artifact Publisher | workspaces/read workspaces/artifacts/read workspaces/notebooks/write, delete workspaces/sparkJobDefinitions/write, delete workspaces/sqlScripts/write, delete workspaces/kqlScripts/write, delete workspaces/dataFlows/write, delete workspaces/pipelines/write, delete workspaces/triggers/write, delete workspaces/datasets/write, delete workspaces/libraries/write, delete workspaces/linkedServices/write, delete workspaces/credentials/write, delete workspaces/notebooks/viewOutputs/action workspaces/pipelines/viewOutputs/action |
Synapse Artifact User | workspaces/read workspaces/artifacts/read workspaces/notebooks/viewOutputs/action workspaces/pipelines/viewOutputs/action |
Synapse Compute Operator | workspaces/read workspaces/bigDataPools/useCompute/action workspaces/bigDataPools/viewLogs/action workspaces/integrationRuntimes/useCompute/action workspaces/integrationRuntimes/viewLogs/action workspaces/linkConnections/read workspaces/linkConnections/useCompute/action |
Operator Pemantauan Synapse | workspaces/read workspaces/artifacts/read workspaces/notebooks/viewOutputs/action workspaces/pipelines/viewOutputs/action workspaces/integrationRuntimes/viewLogs/action workspaces/bigDataPools/viewLogs/action |
Synapse Credential User | workspaces/read workspaces/linkedServices/useSecret/action workspaces/credentials/useSecret/action |
Synapse Linked Data Manager | workspaces/read workspaces/managedPrivateEndpoint/write, delete workspaces/linkedServices/write, delete workspaces/credentials/write, delete |
Pengguna Synapse | workspaces/read |
Tindakan RBAC Synapse dan peran yang mengizinkan mereka
Tabel berikut ini mencantumkan tindakan Synapse dan peran bawaan yang mengizinkan tindakan ini:
Perbuatan | Peran |
---|---|
workspaces/read | Administrator Synapse Administrator Synapse Apache Spark Administrator Synapse SQL Kontributor Synapse Penerbit Artefak Synapse Pengguna Artefak Synapse Operator Komputasi Synapse Operator Pemantauan Synapse Pengguna Info Masuk Synapse Manajer Data Tertaut Synapse Pengguna Synapse |
workspaces/roleAssignments/write, delete | Administrator Sinaps |
workspaces/managedPrivateEndpoint/write, delete | Administrator Synapse Manajer Data Tertaut Synapse |
workspaces/bigDataPools/useCompute/action | Synapse Administrator Synapse Apache Spark Administrator Synapse Contributor Synapse Compute Operator Synapse Monitoring Operator |
workspaces/bigDataPools/viewLogs/action | Administrator Synapse Administrator Synapse Apache Spark Kontributor Synapse Operator Komputasi Synapse |
workspaces/integrationRuntimes/useCompute/action | Administrator Synapse Kontributor Synapse Operator Komputasi Synapse Operator Pemantauan Synapse |
workspaces/integrationRuntimes/viewLogs/action | Administrator Synapse Kontributor Synapse Operator Komputasi Synapse Operator Pemantauan Synapse |
workspaces/linkConnections/read | Administrator Synapse Kontributor Synapse Operator Komputasi Synapse |
workspaces/linkConnections/useCompute/action | Administrator Synapse Kontributor Synapse Operator Komputasi Synapse |
workspaces/artifacts/read | Administrator Synapse Administrator Synapse Apache Spark Administrator Synapse SQL Kontributor Synapse Penerbit Artefak Synapse Pengguna Artefak Synapse |
workspaces/notebooks/write, delete | Administrator Synapse Administrator Synapse Apache Spark Kontributor Synapse Penerbit Artefak Synapse |
workspaces/sparkJobDefinitions/write, delete | Administrator Synapse Administrator Synapse Apache Spark Kontributor Synapse Penerbit Artefak Synapse |
workspaces/sqlScripts/write, delete | Administrator Synapse Administrator Synapse SQL Kontributor Synapse Penerbit Artefak Synapse |
workspaces/kqlScripts/write, delete | Administrator Synapse Kontributor Synapse Penerbit Artefak Synapse |
workspaces/dataFlows/write, delete | Administrator Synapse Kontributor Synapse Penerbit Artefak Synapse |
workspaces/pipelines/write, delete | Administrator Synapse Kontributor Synapse Penerbit Artefak Synapse |
workspaces/linkConnections/write, delete | Kontributor Synapse Administrator Synapse |
workspaces/triggers/write, delete | Administrator Synapse Kontributor Synapse Penerbit Artefak Synapse |
workspaces/datasets/write, delete | Administrator Synapse Kontributor Synapse Penerbit Artefak Synapse |
workspaces/libraries/write, delete | Administrator Synapse Administrator Synapse Apache Spark Kontributor Synapse Penerbit Artefak Synapse |
workspaces/linkedServices/write, delete | Administrator Synapse Administrator Synapse Apache Spark Administrator Synapse SQL Kontributor Synapse Penerbit Artefak Synapse Manajer Data Tertaut Synapse |
workspaces/credentials/write, delete | Administrator Synapse Administrator Synapse Apache Spark Administrator Synapse SQL Kontributor Synapse Penerbit Artefak Synapse Manajer Data Tertaut Synapse |
workspaces/notebooks/viewOutputs/action | Administrator Synapse Administrator Synapse Apache Spark Kontributor Synapse Penerbit Artefak Synapse Pengguna Artefak Synapse |
workspaces/pipelines/viewOutputs/action | Administrator Synapse Kontributor Synapse Penerbit Artefak Synapse Pengguna Artefak Synapse |
workspaces/linkedServices/useSecret/action | Administrator Synapse Pengguna Info Masuk Synapse |
workspaces/credentials/useSecret/action | Administrator Synapse Pengguna Info Masuk Synapse |
Lingkup RBAC Synapse dan perannya yang didukung
Tabel di bawah ini mencantumkan cakupan RBAC Synapse dan peran yang dapat ditetapkan di setiap lingkup.
Catatan
Untuk membuat atau menghapus objek, Anda harus memiliki izin pada lingkup tingkat yang lebih tinggi.
Cakupan | Peran |
---|---|
Ruang kerja | Administrator Synapse Administrator Synapse Apache Spark Administrator Synapse SQL Kontributor Synapse Penerbit Artefak Synapse Pengguna Artefak Synapse Operator Komputasi Synapse Operator Pemantauan Synapse Pengguna Info Masuk Synapse Manajer Data Tertaut Synapse Pengguna Synapse |
Kumpulan Apache Spark | Administrator Synapse Kontributor Synapse Operator Komputasi Synapse |
Runtime integrasi | Administrator Synapse Kontributor Synapse Operator Komputasi Synapse |
Layanan tertaut | Administrator Synapse Pengguna Info Masuk Synapse |
Kredensial | Administrator Synapse Pengguna Info Masuk Synapse |
Catatan
Semua peran dan tindakan artefak tercakup di tingkat ruang kerja.
Langkah berikutnya
- Pelajari cara meninjau penetapan peran RBAC Synapse untuk ruang kerja.
- Pelajari cara menetapkan peran RBAC Synapse