Condividi tramite


Riconoscere i ruoli necessari per eseguire attività comuni in Azure Synapse

Questo articolo spiega quali ruoli Controllo degli accessi in base al ruolo (RBAC) di Synapse o di Azure, sono necessari per svolgere il proprio lavoro in Synapse Studio. Per gestire l'appartenenza ai ruoli, vedere Gestire le assegnazioni di ruolo Controllo degli accessi in base al ruolo di Synapse.

Riepilogo del flusso di lavoro e del controllo di accesso di Synapse Studio

Accedere a Synapse Studio

È possibile aprire Synapse Studio, visualizzare i dettagli dell'area di lavoro ed elencare qualsiasi risorsa di Azure, ad esempio pool SQL, pool di Spark o runtime di integrazione. Si potrà vedere se è stato assegnato un ruolo Controllo degli accessi in base al ruolo di Synapse, oppure, se si ha il ruolo Proprietario, Collaboratore o Lettore di Azure nell'area di lavoro.

Gestione delle risorse

È possibile creare pool SQL, pool di Esplora dati e pool di Apache Spark se si è Proprietario o Collaboratore di Azure nel gruppo di risorse. È possibile creare un runtime di integrazione se si è Proprietario o Collaboratore di Azure nell'area di lavoro. Se si usano i modelli di ARM per la distribuzione automatizzata, è necessario essere un Collaboratore di Azure nel gruppo di risorse.

È possibile sospendere o dimensionare un pool SQL dedicato, configurare un pool Spark o un runtime di integrazione se si è Proprietario o Collaboratore di Azure nell'area di lavoro o nella risorsa.

Visualizzare e modificare gli artefatti di codice

Con l'accesso a Synapse Studio, è possibile creare nuovi artefatti di codice, ad esempio script SQL, script KQL, notebook, processi Spark, servizi collegati, pipeline, flussi di dati, trigger e credenziali. Tali artefatti possono essere pubblicati o salvati con autorizzazioni aggiuntive.

Se si è un utente artefatti di Synapse, autore di artefatti di Synapse, Collaboratore o Amministratore di Synapse, è possibile elencare, aprire e modificare artefatti di codice già pubblicati, incluse le pipeline pianificate.

Eseguire il codice

È possibile eseguire script SQL nei pool SQL se si hanno le autorizzazioni SQL necessarie definite nei pool SQL. È possibile eseguire script KQL nei pool di Esplora dati se si hanno le autorizzazioni necessarie.

È possibile eseguire notebook e processi Spark se si hanno le autorizzazioni di Operatore di calcolo di Synapse nell'area di lavoro o in pool specifici di Apache Spark.

Con le autorizzazioni di Operatore di calcolo per l'area di lavoro o runtime di integrazione specifici e le autorizzazioni per credenziali appropriate, è possibile eseguire le pipeline.

Monitorare e gestire l'esecuzione

È possibile esaminare lo stato dei notebook e dei processi in esecuzione nei pool di Apache Spark se si è un utente di Synapse.

È possibile esaminare i log e annullare i processi e le pipeline in esecuzione se si è Operatore di calcolo di Synapse nell'area di lavoro o per una pipeline o un pool di Spark specifici.

Eseguire il debug delle pipeline

È possibile esaminare e apportare modifiche nelle pipeline in qualità di utente di Synapse, tuttavia, se si desidera eseguirne il debug, è necessario essere anche utente credenziali di Synapse.

Pubblicare e salvare il codice

È possibile pubblicare artefatti di codice nuovi o aggiornati nel servizio se si è autore di artefatti di Synapse, Collaboratore o Amministratore di Synapse.

È possibile eseguire il commit degli artefatti di codice in un ramo di lavoro di un repository Git, se l'area di lavoro è abilitata per Git e si dispone delle autorizzazioni Git. Con Git abilitato, la pubblicazione è consentita soltanto dal ramo di collaborazione.

Se si chiude Synapse Studio senza pubblicare o eseguire il commit delle modifiche per gli artefatti di codice, tali modifiche andranno perse.

Attività e ruoli richiesti

Nella tabella seguente sono elencate le attività comuni e, per ogni attività, il controllo degli accessi in base al ruolo di Synapse o i ruoli Controllo degli accessi in base al ruolo di Azure necessari.

Nota

L'amministratore di Synapse non è elencato per ogni attività, a meno che non sia l'unico ruolo che fornisca l'autorizzazione necessaria. Un Amministratore di Synapse può eseguire tutte le attività abilitate da altri ruoli Controllo degli accessi in base al ruolo di Synapse.

Nota

Anche gli utenti guest di un altro tenant possono esaminare, aggiungere o modificare le assegnazioni di ruolo dopo avere ricevuto l'assegnazione del ruolo di Amministratore di Synapse.

Viene visualizzato il ruolo RBAC di Synapse minimo richiesto.

Tutti i ruoli Controllo degli accessi in base al ruolo di Synapse in qualsiasi ambito, forniscono le autorizzazioni Utente di Synapse nell'area di lavoro.

Tutte le autorizzazioni/azioni Controllo degli accessi in base al ruolo di Synapse visualizzate nella tabella hanno il prefisso Microsoft/Synapse/workspaces/....

Attività (Si vuole...) Ruolo (Si deve essere...) Autorizzazione/azione Controllo degli accessi in base al ruolo di Synapse
Aprire Synapse Studio in un'area di lavoro Utente di Synapse oppure lettura
Proprietario, Collaboratore o Lettore di Azure nell'area di lavoro Nessuno
Elencare i pool SQL, i pool di Esplora dati o i pool di Apache Spark, oppure il runtime di integrazione, quindi accedere ai relativi dettagli di configurazione Utente di Synapse oppure lettura
Proprietario, Collaboratore o Lettore di Azure nell'area di lavoro Nessuno
Elencare i servizi collegati, le credenziali o gli endpoint privati gestiti Utente di Synapse lettura
POOL SQL
Creare un pool SQL dedicato o un pool SQL serverless Proprietario o Collaboratore di Azure nel gruppo di risorse Nessuno
Gestire (sospendere, dimensionare o eliminare) un pool SQL dedicato Proprietario o Collaboratore di Azure nel pool SQL o nell'area di lavoro Nessuno
Creare uno script SQL
Utente di Synapse o
Proprietario o Collaboratore di Azure nell'area di lavoro.

Sono necessarie autorizzazioni SQL aggiuntive per eseguire, pubblicare o eseguire il commit delle modifiche di uno script SQL.
Elencare e aprire qualsiasi script SQL pubblicato Utente o Autore di artefatti di Synapse o Collaboratore di Synapse artifacts/read
Eseguire uno script SQL in un pool SQL serverless Autorizzazioni SQL nel pool (concesse automaticamente a un Amministratore di Synapse) Nessuno
Eseguire uno script SQL in un pool SQL dedicato Autorizzazioni SQL nel pool (concesse automaticamente a un Amministratore di Synapse) Nessuno
Pubblicare uno script SQL nuovo, aggiornato o eliminato Autore di artefatti di Synapse o Collaboratore di Synapse sqlScripts/write, delete
Eseguire il commit delle modifiche apportate a uno script SQL nel repository Git Richiede autorizzazioni Git nel repository
Assegnare l'Amministratore di Active Directory nell'area di lavoro (tramite le proprietà dell'area di lavoro nel portale di Azure) Proprietario o Collaboratore di Azure nell'area di lavoro
POOL DI ESPLORA DATI
Creare un pool di Esplora dati Proprietario o Collaboratore di Azure nel gruppo di risorse Nessuno
Gestire (sospendere, dimensionare o eliminare) un pool di Esplora dati Proprietario o Collaboratore di Azure nel pool o nell'area di lavoro di Esplora dati Nessuno
Creare uno script KQL
Utente di Synapse.

Sono necessarie autorizzazioni aggiuntive di Esplora dati per eseguire, pubblicare o eseguire il commit delle modifiche di uno script.
Elencare e aprire qualsiasi script KQL pubblicato Utente o Autore di artefatti di Synapse o Collaboratore di Synapse artifacts/read
Eseguire uno script KQL in un pool di Esplora dati Autorizzazioni di Esplora dati nel pool (concesse automaticamente a un Amministratore di Synapse) Nessuno
Pubblicare uno script KQL nuovo, aggiornarlo o eliminarlo Autore di artefatti di Synapse o Collaboratore di Synapse kqlScripts/write, delete
Eseguire il commit delle modifiche a uno script KQL nel repository Git Richiede autorizzazioni Git nel repository
POOL DI APACHE SPARK
Creare un pool di Apache Spark Proprietario o Collaboratore di Azure nel gruppo di risorse
Monitorare le applicazioni Apache Spark Utente di Synapse lettura
Visualizzare i log di esecuzione completata del notebook e del processo Operatore monitoraggio Synapse
Annullare l'esecuzione di qualsiasi notebook o processo Spark in un pool di Apache Spark Operatore di calcolo di Synapse nel pool di Apache Spark. bigDataPools/useCompute
Creare la definizione di un notebook o di un processo Per un utente di Synapse o un
Proprietario, Collaboratore o Lettore di Azure nell'area di lavoro

È necessario disporre di autorizzazioni aggiuntive per l'esecuzione, la pubblicazione o il commit delle modifiche
lettura




Elencare e aprire una definizione di un notebook o processo pubblicata, inclusa la revisione degli output salvati Utente di artefatti di Synapse od Operatore monitoraggio di Synapse nell'area di lavoro artifacts/read
Eseguire un notebook e rivederne l'output, o inviare un processo Spark Amministratore di Apache Spark di Synapse oppure Operatore di calcolo di Synapse nel pool di Apache Spark selezionato bigDataPools/useCompute
Pubblicare o eliminare la definizione di un notebook o di un processo (incluso l'output) nel servizio Autore di artefatti nell'area di lavoro o Amministratore di Apache Spark di Synapse notebooks/write, delete
Eseguire il commit delle modifiche apportate a una definizione del notebook o del processo nel repository Git Autorizzazioni Git Nessuno
PIPELINE, RUNTIME DI INTEGRAZIONE, FLUSSI DI DATI, SET DI DATI E TRIGGER
Creare, aggiornare o eliminare un runtime di integrazione Proprietario o Collaboratore di Azure nell'area di lavoro
Monitorare il runtime di integrazione Operatore monitoraggio Synapse read, integrationRuntimes/viewLogs
Esaminare le esecuzioni della pipeline Operatore monitoraggio Synapse read, pipelines/viewOutputs
Creare una pipeline Utente di Synapse

Sono richieste autorizzazioni aggiuntive per eseguire il debug, aggiungere trigger, pubblicare o eseguire il commit delle modifiche
lettura
Creare un flusso di dati o un set di dati Utente di Synapse

Sono richieste autorizzazioni aggiuntive per pubblicare o eseguire il commit delle modifiche
lettura
Elencare e aprire una pipeline pubblicata Utente di artefatti di Synapse od Operatore monitoraggio di Synapse artifacts/read
Anteprima dati del set di dati Utente di Synapse e utente credenziali di Synapse in WorkspaceSystemIdentity
Eseguire il debug di una pipeline usando il runtime di integrazione predefinito Utente di Synapse e Utente credenziali di Synapse nella credenziale WorkspaceSystemIdentity read,
credentials/useSecret
Creare un trigger, inclusa l'opzione Attiva adesso (è richiesta l'autorizzazione per eseguire la pipeline) Utente di Synapse e utente credenziali di Synapse in WorkspaceSystemIdentity read, credentials/useSecret/action
Execute/run a pipeline Utente di Synapse e utente credenziali di Synapse in WorkspaceSystemIdentity read, credentials/useSecret/action
Copiare dati con lo strumento Copia dati Utente di Synapse e Utente credenziali di Synapse in Workspace System Identity read, credentials/useSecret/action
Inserire dati (usando una pianificazione) Autore di Synapse e Utente credenziali di Synapse in Workspace System Identity read, credentials/useSecret/action
Pubblicare una pipeline nuova, aggiornata o eliminata, un flusso di dati o un trigger nel servizio Autore artefatti di Synapse nell'area di lavoro pipelines/write, delete
dataflows/write, delete
triggers/write, delete
Eseguire il commit delle modifiche apportate a pipeline, flussi di dati, set di dati o trigger nel repository Git Autorizzazioni Git Nessuno
SERVIZI COLLEGATI
Creare un servizio collegato (include l'assegnazione di credenziali) Utente di Synapse

Sono necessarie autorizzazioni aggiuntive per utilizzare un servizio collegato con credenziali, oppure per pubblicare o eseguire il commit delle modifiche
lettura
Elencare e aprire un servizio collegato pubblicato Utente artefatti di Synapse linkedServices/write, delete
Testare la connessione in un servizio collegato protetto da credenziali Utente di Synapse e Utente credenziali di Synapse credentials/useSecret/action
Pubblicare un servizio collegato Autore di artefatti di Synapse o Data Manager collegato a Synapse linkedServices/write, delete
Eseguire il commit delle definizioni del servizio collegato nel repository Git Autorizzazioni Git Nessuno
GESTIONE DEGLI ACCESSI
Rivedere le assegnazioni di ruolo Controllo degli accessi in base al ruolo di Synapse in qualsiasi ambito Utente di Synapse lettura
Assegnare e rimuovere le assegnazioni di ruolo Controllo degli accessi in base al ruolo di Synapse per utenti, gruppi ed entità servizio Amministratore di Synapse nell'area di lavoro o in un ambito specifico dell'elemento dell'area di lavoro roleAssignments/write, delete

Passaggi successivi