Ruoli controllo degli accessi in base al ruolo di Synapse
L'articolo descrive i ruoli predefiniti del controllo degli accessi in base al ruolo (controllo degli accessi in base al ruolo) di Synapse, le autorizzazioni concesse e gli ambiti in cui possono essere usati.
Per altre informazioni sulla revisione e l'assegnazione delle appartenenze ai ruoli di Synapse, vedere Come esaminare le assegnazioni di ruolo controllo degli accessi in base al ruolo di Synapse e come assegnare i ruoli controllo degli accessi in base al ruolo di Synapse.
Ruoli e ambiti predefiniti del controllo degli accessi in base al ruolo di Synapse
Nella tabella seguente vengono descritti i ruoli predefiniti e gli ambiti in cui possono essere usati.
Nota
Gli utenti con qualsiasi ruolo controllo degli accessi in base al ruolo di Synapse in qualsiasi ambito hanno automaticamente il ruolo Utente di Synapse nell'ambito dell'area di lavoro.
Importante
I ruoli controllo degli accessi in base al ruolo di Synapse non concedono le autorizzazioni per creare o gestire pool SQL, pool di Apache Spark e runtime di integrazione nelle aree di lavoro di Azure Synapse. Per queste azioni sono necessari i ruoli Proprietario di Azure o Collaboratore di Azure nel gruppo di risorse.
Ruolo | Autorizzazioni | Ambiti |
---|---|---|
Amministratore di Synapse | Accesso completo a Synapse a pool SQL serverless e dedicati, pool di Esplora dati, pool di Apache Spark e runtime di integrazione. Include l'accesso di creazione, lettura, aggiornamento ed eliminazione a tutti gli artefatti di codice pubblicati. Include le autorizzazioni Operatore di calcolo, Gestione dati collegati e Utente credenziali per le credenziali dell'identità del sistema dell'area di lavoro. Include l'assegnazione dei ruoli controllo degli accessi in base al ruolo di Synapse. Oltre a Synapse Amministrazione istrator, i proprietari di Azure possono anche assegnare ruoli controllo degli accessi in base al ruolo di Synapse. Le autorizzazioni di Azure sono necessarie per creare, eliminare e gestire le risorse di calcolo. I ruoli controllo degli accessi in base al ruolo di Synapse possono essere assegnati anche quando la sottoscrizione associata è disabilitata. Può leggere e scrivere artefatti Può eseguire tutte le azioni sulle attività spark. Può visualizzare i log del pool di Spark Può visualizzare l'output del notebook e della pipeline salvato Può usare i segreti archiviati dai servizi collegati o le credenziali Possono assegnare e revocare i ruoli controllo degli accessi in base al ruolo di Synapse nell'ambito corrente |
Pool di Spark dell'area di lavoro Credenziali del servizio collegato del runtime di integrazione |
Synapse Apache Spark Amministrazione istrator |
Accesso completo a Synapse ai pool di Apache Spark. Creare, leggere, aggiornare ed eliminare l'accesso alle definizioni di processi Spark pubblicate, ai notebook e ai relativi output e alle librerie, ai servizi collegati e alle credenziali. Include l'accesso in lettura a tutti gli altri artefatti di codice pubblicati. Non include l'autorizzazione per usare le credenziali ed eseguire le pipeline. Non include la concessione dell'accesso. Può eseguire tutte le azioni sugli artefatti spark Può eseguire tutte le azioni sulle attività spark |
Pool di Spark dell'area di lavoro |
Synapse SQL Administrator | Accesso completo a Synapse ai pool SQL serverless. Creare, leggere, aggiornare ed eliminare l'accesso a script SQL pubblicati, credenziali e servizi collegati. Include l'accesso in lettura a tutti gli altri artefatti di codice pubblicati. Non include l'autorizzazione per usare le credenziali ed eseguire le pipeline. Non include la concessione dell'accesso. Può eseguire tutte le azioni sugli script SQL È possibile connettersi agli endpoint sql serverless con le autorizzazioni SQL db_datareader , db_datawriter , connect e grant |
Area di lavoro |
Collaboratore a Synapse | Accesso completo a Synapse ai pool di Apache Spark e ai runtime di integrazione. Include l'accesso di creazione, lettura, aggiornamento ed eliminazione a tutti gli artefatti di codice pubblicati e ai relativi output, incluse pipeline pianificate, credenziali e servizi collegati. Include le autorizzazioni dell'operatore di calcolo. Non include l'autorizzazione per usare le credenziali ed eseguire le pipeline. Non include la concessione dell'accesso. Può leggere e scrivere artefatti Può visualizzare i notebook salvati e l'output della pipeline Può eseguire tutte le azioni nelle attività Spark Può visualizzare i log del pool di Spark |
Pool di Spark dell'area di lavoro Runtime di integrazione |
Synapse Artifact Publisher | Creare, leggere, aggiornare ed eliminare l'accesso agli artefatti di codice pubblicati e ai relativi output, incluse le pipeline pianificate. Non include l'autorizzazione per eseguire codice o pipeline o per concedere l'accesso. Può leggere gli artefatti pubblicati e pubblicare artefatti Può visualizzare i notebook salvati, il processo Spark e l'output della pipeline |
Area di lavoro |
Utente di Synapse Artifact | Accesso in lettura agli artefatti di codice pubblicati e ai relativi output. Può creare nuovi artefatti, ma non può pubblicare modifiche o eseguire codice senza autorizzazioni aggiuntive. | Area di lavoro |
Operatore di calcolo synapse | Inviare processi e notebook Spark e visualizzare i log. Include l'annullamento dei processi Spark inviati da qualsiasi utente. Richiede autorizzazioni aggiuntive per le credenziali per l'identità del sistema dell'area di lavoro per eseguire pipeline, visualizzare le esecuzioni e gli output della pipeline. Può inviare e annullare processi, inclusi i processi inviati da altri utenti , può visualizzare i log del pool di Spark |
Runtime di integrazione del pool spark dell'area di lavoro |
Operatore di monitoraggio di Synapse | Leggere gli artefatti di codice pubblicati, inclusi i log e gli output per le esecuzioni della pipeline e i notebook completati. Include la possibilità di elencare e visualizzare i dettagli dei pool di Apache Spark, dei pool di Esplora dati e dei runtime di integrazione. Sono necessarie autorizzazioni aggiuntive per eseguire/annullare pipeline, notebook Spark e processi Spark. | Area di lavoro |
Utente delle credenziali di Synapse | Runtime e uso in fase di configurazione dei segreti all'interno di credenziali e servizi collegati in attività come le esecuzioni della pipeline. Per eseguire le pipeline, questo ruolo è obbligatorio, con ambito l'identità del sistema dell'area di lavoro. Con ambito a una credenziale, consente l'accesso ai dati tramite un servizio collegato protetto dalle credenziali (può anche richiedere l'autorizzazione di utilizzo di calcolo) Consente l'esecuzione di pipeline protette dalle credenziali dell'identità del sistema dell'area di lavoro |
Credenziali del servizio collegato dell'area di lavoro |
Gestione dati Collegamento a Synapse ed | Creazione e gestione di endpoint privati gestiti, servizi collegati e credenziali. Può creare endpoint privati gestiti che usano servizi collegati protetti da credenziali | Area di lavoro |
Utente synapse | Elencare e visualizzare i dettagli dei pool SQL, dei pool di Apache Spark, dei runtime di integrazione e dei servizi collegati pubblicati e delle credenziali. Non include altri artefatti di codice pubblicati. Può creare nuovi artefatti, ma non può essere eseguito o pubblicato senza autorizzazioni aggiuntive. Può elencare e leggere pool di Spark, runtime di integrazione. |
Area di lavoro, credenziali del servizio collegato del pool Spark |
Ruoli controllo degli accessi in base al ruolo di Synapse e le azioni consentite
Nota
- Tutte le azioni elencate nelle tabelle seguenti sono precedute dal prefisso "Microsoft.Synapse/..."
- Tutte le azioni di lettura, scrittura ed eliminazione degli artefatti riguardano gli artefatti pubblicati nel servizio attivo. Queste autorizzazioni non influiscono sull'accesso agli artefatti in un repository Git connesso.
Nella tabella seguente sono elencati i ruoli predefiniti e le azioni/autorizzazioni supportate da ogni supporto.
Ruolo | Azioni |
---|---|
Amministratore di Synapse | workspaces/read workspaces/roleAssignments/write, eliminare aree di lavoro/managedPrivateEndpoint/write, eliminare aree di lavoro/bigDataPools/useCompute/action workspaces/bigDataPools/viewLogs/action workspaces/integrationRuntimes/useCompute/action workspaces/integrationRuntimes/viewLogs/action workspaces/artifacts/read workspaces/notebooks/write, delete workspaces/sparkJobDefinitions/write, delete workspaces/sqlScripts/ scrittura, eliminazione di aree di lavoro/kqlScripts/scrittura, eliminazione di aree di lavoro/dataFlows/scrittura, eliminazione di aree di lavoro/pipelines/scrittura, eliminazione di aree di lavoro/trigger/scrittura, eliminazione di aree di lavoro/set di dati/scrittura, eliminazione di aree di lavoro/librerie/scrittura, eliminazione di aree di lavoro/linkedServices/write, eliminazione di aree di lavoro/notebook/viewOutputs/action workspaces/pipelines/viewOutputs/action workspaces/ linkedServices/useSecret/action workspaces/credentials/useSecret/action workspaces/link Connessione ions/read workspaces/link Connessione ions/write workspaces/link Connessione ions/delete workspaces/link Connessione ions/useCompute/action |
Amministratore di Apache Spark per Synapse | workspaces/read workspaces/bigDataPools/useCompute/action workspaces/bigDataPools/viewLogs/action workspaces/notebooks/viewOutputs/action workspaces/artifacts/read workspaces/notebooks/write, delete workspaces/sparkJobDefinitions/write, delete workspaces/libraries/write, delete workspaces/linkedServices/write, delete workspaces/credentials/write, delete, delete |
Synapse SQL Administrator | workspaces/read workspaces/artifacts/read workspaces/sqlScripts/write, delete workspaces/linkedServices/write, delete workspaces/credentials/write, delete |
Collaboratore a Synapse | workspaces/read workspaces/bigDataPools/useCompute/action workspaces/bigDataPools/viewLogs/action workspaces/integrationRuntimes/useCompute/action workspaces/integrationRuntimes/viewLogs/action workspaces/artifacts/read workspaces/notebooks/write, delete workspaces/sparkJobDefinitions/write, delete workspaces/sqlScripts/write, delete workspaces/kqlScripts/write, delete workspaces/dataFlows/write, delete, delete workspaces/pipelines/write, delete workspaces/triggers/write, delete workspaces/datasets/write, delete workspaces/libraries/write, delete workspaces/linkedServices/write, delete workspaces/credentials/write, delete workspaces/notebooks/viewOutputs/action workspaces/pipelines/viewOutputs/action workspaces/link Connessione ions/read workspaces/linkConnessione ions/write workspaces/link Connessione ions/delete workspaces/link Connessione ions/useCompute/action |
Synapse Artifact Publisher | workspaces/read workspaces/artifacts/read workspaces/notebooks/write, delete workspaces/sparkJobDefinitions/write, delete workspaces/sqlScripts/write, delete workspaces/kqlScripts/write, delete workspaces/dataFlows/write, delete workspaces/pipelines/write, delete workspaces/triggers/write, delete workspaces/datasets/write, delete workspaces/libraries/write, delete workspaces/linkedServices/write, delete workspaces/credentials/write, delete workspaces/notebooks/viewOutputs/action workspaces/pipelines/viewOutputs/action |
Utente di Synapse Artifact | workspaces/read workspaces/artifacts/read workspaces/notebooks/viewOutputs/action workspaces/pipelines/viewOutputs/action |
Operatore di calcolo synapse | workspaces/read workspaces/bigDataPools/useCompute/action workspaces/bigDataPools/viewLogs/action workspaces/integrationRuntimes/useCompute/action workspaces/integrationRuntimes/viewLogs/action workspaces/link Connessione ions/read workspaces/link Connessione ions/useCompute/action |
Operatore di monitoraggio di Synapse | workspaces/read workspaces/artifacts/read workspaces/notebooks/viewOutputs/action workspaces/pipelines/viewOutputs/action workspaces/integrationRuntimes/viewLogs/action workspaces/bigDataPools/viewLogs/action |
Utente delle credenziali di Synapse | workspaces/read workspaces/linkedServices/useSecret/action workspaces/credentials/useSecret/action |
Gestione dati Collegamento a Synapse ed | workspaces/read workspaces/managedPrivateEndpoint/write, delete workspaces/linkedServices/write, delete workspaces/credentials/write, delete |
Utente synapse | aree di lavoro/lettura |
Azioni controllo degli accessi in base al ruolo di Synapse e ruoli che le consentono
La tabella seguente elenca le azioni di Synapse e i ruoli predefiniti che consentono queste azioni:
Azione | Ruolo |
---|---|
aree di lavoro/lettura | Synapse Amministrazione istrator Synapse Apache Spark Amministrazione istrator Synapse SQL Amministrazione istrator Synapse Artifact Publisher Synapse Artifact User Synapse Compute Operator Synapse Monitoring Operator Synapse Credential User SynapseGestione dati Collegamento a Synapse edUtente synapse |
workspaces/roleAssignments/write, delete | Amministratore di Synapse |
workspaces/managedPrivateEndpoint/write, delete | Synapse Amministrazione istrator Collegamento a Synapse ed Data Manager |
workspaces/bigDataPools/useCompute/action | Synapse Amministrazione istrator Synapse Apache Spark Amministrazione istrator Synapse Contributor Synapse Compute Operator Synapse Monitoring Operator Synapse |
workspaces/bigDataPools/viewLogs/action | Synapse Amministrazione istrator Synapse Apache Spark Amministrazione istrator Synapse Contributor Synapse Compute Operator |
workspaces/integrationRuntimes/useCompute/action | Operatore Synapse Amministrazione istrator Synapse Contributor Synapse Compute Operator Synapse Monitoring |
workspaces/integrationRuntimes/viewLogs/action | Operatore Synapse Amministrazione istrator Synapse Contributor Synapse Compute Operator Synapse Monitoring |
workspaces/link Connessione ions/read | Synapse Amministrazione istrator Synapse Collaboratore Synapse Compute Operator |
workspaces/link Connessione ions/useCompute/action | Synapse Amministrazione istrator Synapse Collaboratore Synapse Compute Operator |
workspaces/artifacts/read | Synapse Amministrazione istrator Synapse Apache Spark Amministrazione istrator Synapse SQL Amministrazione istrator Synapse Contributor Synapse Artifact Publisher Synapse Artifact User Synapse Artifact |
workspaces/notebooks/write, delete | Synapse Amministrazione istrator Synapse Apache Spark Amministrazione istrator Synapse Artifact Publisher |
workspaces/sparkJobDefinitions/write, delete | Synapse Amministrazione istrator Synapse Apache Spark Amministrazione istrator Synapse Artifact Publisher |
workspaces/sqlScripts/write, delete | Synapse Amministrazione istrator Synapse SQL Amministrazione istrator Synapse Artifact Publisher |
workspaces/kqlScripts/write, delete | Synapse Amministrazione istrator Synapse Artifact Publisher |
workspaces/dataFlows/write, delete | Synapse Amministrazione istrator Synapse Artifact Publisher |
workspaces/pipelines/write, delete | Synapse Amministrazione istrator Synapse Artifact Publisher |
workspaces/link Connessione ions/write, delete | Collaboratore synapse Amministrazione istrator Synapse |
workspaces/triggers/write, delete | Synapse Amministrazione istrator Synapse Artifact Publisher |
workspaces/datasets/write, delete | Synapse Amministrazione istrator Synapse Artifact Publisher |
workspaces/libraries/write, delete | Synapse Amministrazione istrator Synapse Apache Spark Amministrazione istrator Synapse Artifact Publisher |
workspaces/linkedServices/write, delete | Synapse Amministrazione istrator Synapse Apache Spark Amministrazione istrator Synapse SQL Amministrazione istrator Synapse Artifact Publisher Collegamento a Synapse ed Data Manager |
workspaces/credentials/write, delete | Synapse Amministrazione istrator Synapse Apache Spark Amministrazione istrator Synapse SQL Amministrazione istrator Synapse Artifact Publisher Collegamento a Synapse ed Data Manager |
workspaces/notebooks/viewOutputs/action | Utente synapse Amministrazione istrator Synapse Apache Spark Amministrazione istrator Synapse Artifact Synapse Artifact |
workspaces/pipelines/viewOutputs/action | Utente synapse Amministrazione istrator Synapse Contributor Synapse Artifact Publisher Synapse Artifact |
workspaces/linkedServices/useSecret/action | Utente di Synapse Amministrazione istrator Synapse Credential |
workspaces/credentials/useSecret/action | Utente di Synapse Amministrazione istrator Synapse Credential |
Ambiti controllo degli accessi in base al ruolo di Synapse e ruoli supportati
La tabella seguente elenca gli ambiti del controllo degli accessi in base al ruolo di Synapse e i ruoli che possono essere assegnati a ogni ambito.
Nota
Per creare o eliminare un oggetto è necessario disporre delle autorizzazioni a un ambito di livello superiore.
Ambito | Ruoli |
---|---|
Area di lavoro | Synapse Amministrazione istrator Synapse Apache Spark Amministrazione istrator Synapse SQL Amministrazione istrator Synapse Artifact Publisher Synapse Artifact User Synapse Compute Operator Synapse Monitoring Operator Synapse Credential User SynapseGestione dati Collegamento a Synapse edUtente synapse |
Pool di Apache Spark | Synapse Amministrazione istrator Synapse Contributor Synapse Compute Operator |
Runtime di integrazione | Synapse Amministrazione istrator Synapse Contributor Synapse Compute Operator |
Servizio collegato | Utente delle credenziali synapse Amministrazione istrator Synapse |
Credenziali | Utente delle credenziali synapse Amministrazione istrator Synapse |
Nota
Tutti i ruoli e le azioni degli artefatti sono definiti a livello di area di lavoro.
Passaggi successivi
- Informazioni su come esaminare le assegnazioni di ruolo controllo degli accessi in base al ruolo di Synapse per un'area di lavoro.
- Informazioni su come assegnare ruoli controllo degli accessi in base al ruolo di Synapse