Synapse RBAC ロール
この記事では、組み込みの Synapse RBAC (ロールベースのアクセス制御) ロール、それらに付与されているアクセス許可、それらを使用できるスコープについて説明します。
Synapse ロール メンバーシップの確認と割り当ての詳細については、「Synapse RBAC ロールの割り当てを確認する方法」と、Synapse RBAC ロールの割り当て方法に関するページを参照してください。
プレビュー以降の変更点
プレビュー期間中に提供された Synapse RBAC ロールに精通しているユーザーの場合は、次の変更が適用されます。
- ワークスペース管理者は Synapse 管理者という名前に変更されました。
- Apache Spark 管理者は Synapse Apache Spark 管理者という名前に変更され、公開されているすべてのコード成果物 (SQL スクリプトを含む) を表示するためのアクセス許可が与えられます。 このロールでは、Synapse 資格情報ユーザー ロールに必要なワークスペース MSI を使用するためのアクセス許可が与えられなくなりました。 このアクセス許可は、パイプラインを実行するために必要です。
- SQL 管理者は、Synapse SQL 管理者という名前に変更され、公開されているすべてのコード成果物 (Spark のノートブックやジョブを含む) を表示するためのアクセス許可が与えられます。 このロールでは、Synapse 資格情報ユーザー ロールに必要なワークスペース MSI を使用するためのアクセス許可が与えられなくなりました。 このアクセス許可は、パイプラインを実行するために必要です。
- 特定の分析ランタイムではなく、開発と運用のペルソナのサポートに焦点を絞った、新しいきめ細かな Synapse RBAC ロールが導入されました。
- いくつかのロールのための、新しいより低いレベルのスコープが導入されました。 これらのスコープを使用すると、ロールを特定のリソースまたはオブジェクトに制限できます。
組み込みの Synapse RBAC ロールとスコープ
次の表では、組み込みロールと、それらを使用できるスコープについて説明します。
Note
任意のスコープの任意の Synapse RBAC ロールを持つユーザーには、ワークスペース スコープの Synapse ユーザー ロールが自動的に割り当てられます。
重要
Synapse RBAC ロールでは、Azure Synapse ワークスペースで SQL プール、Apache Spark プール、および統合ランタイムを作成または管理するためのアクセス許可は付与されません。 これらのアクションには、リソース グループの Azure 所有者ロールまたは Azure 共同作成者ロールが必要です。
| Role | アクセス許可 | スコープ |
|---|---|---|
| Synapse 管理者 | SQL プール、Data Explorer プール、Apache Spark プール、統合ランタイムへの Synapse のフル アクセス。 公開されているすべてのコード成果物への作成、読み取り、更新、削除のアクセスが含まれます。 ワークスペース システム ID の資格情報に対するコンピューティング オペレーター、リンクされた Data Manager、資格情報ユーザーのアクセス許可が含まれます。 Synapse RBAC ロールの割り当てが含まれます。 Synapse 管理者だけでなく、Azure 所有者も Synapse RBAC ロールを割り当てることができます。 コンピューティング リソースを作成、削除、管理するには、Azure のアクセス許可が必要です。 成果物の読み取りと書き込みができる Spark アクティビティに対するすべてのアクションを実行できる Spark プールのログを表示できる 保存されたノートブックとパイプライン出力を表示できる リンクされたサービスまたは資格情報によって格納されたシークレットを使用できる現在のスコープの Synapse RBAC ロールを割り当てたり、取り消したりできる | ワークスペース Spark プール 統合ランタイム リンクされたサービス資格情報 |
| Synapse Apache Spark 管理者 | Apache Spark プールへの Synapse のフル アクセス。 公開されている Spark ジョブ定義、ノートブック、その出力、およびライブラリ、リンクされたサービス、資格情報への作成、読み取り、更新、削除のアクセス。 その他の公開されているすべてのコード成果物への読み取りアクセスが含まれます。 資格情報を使用したり、パイプラインを実行したりするためのアクセス許可は含まれません。 アクセス権の付与は含まれません。 Spark 成果物に対するすべてのアクションを実行できるSpark 成果物に対するすべてのアクションを実行できる | ワークスペースSpark プール |
| Synapse SQL 管理者 | サーバーレス SQL プールへの Synapse のフル アクセス。 公開されている SQL スクリプト、資格情報、リンクされたサービスへの作成、読み取り、更新、削除のアクセス。 その他の公開されているすべてのコード成果物への読み取りアクセスが含まれます。 資格情報を使用したり、パイプラインを実行したりするためのアクセス許可は含まれません。 アクセス権の付与は含まれません。 SQL スクリプトに対するすべてのアクションを実行できる SQL の db_datareader、db_datawriter、connect、grant アクセス許可を使用して SQL サーバーレス エンドポイントに接続できる |
ワークスペース |
| Synapse 共同作成者 | Apache Spark プールと統合ランタイムへの Synapse のフル アクセス。 公開されているすべてのコード成果物とその出力 (資格情報やリンクされたサービスを含む) への作成、読み取り、更新、削除のアクセスが含まれます。 コンピューティング オペレーターのアクセス許可が含まれます。 資格情報を使用したり、パイプラインを実行したりするためのアクセス許可は含まれません。 アクセス権の付与は含まれません。 成果物の読み取りと書き込みができる保存されたノートブックとパイプライン出力を表示できるSpark アクティビティに対するすべてのアクションを実行できるSpark プールのログを表示できる | ワークスペース Spark プール 統合ランタイム |
| Synapse 成果物発行元 | 公開されているコード成果物とその出力への作成、読み取り、更新、削除のアクセス。 コードまたはパイプラインを実行したり、アクセス権を付与したりするためのアクセス許可は含まれません。 公開されている成果物を読み取ったり、成果物を公開したりできる保存されたノートブック、Spark ジョブ、パイプライン出力を表示できる | ワークスペース |
| Synapse 成果物ユーザー | 公開されているコード成果物とその出力への読み取りアクセス。 新しい成果物を作成できますが、追加のアクセス許可なしに変更を公開したり、コードを実行したりすることはできません。 | ワークスペース |
| Synapse コンピューティング オペレーター | Spark ジョブおよびノートブックを送信したり、ログを表示したりします。 任意のユーザーから送信された Spark ジョブの取り消しが含まれます。 パイプラインを実行し、パイプライン実行および出力を表示するには、ワークスペース システム ID に対する資格情報使用の追加のアクセス許可が必要です。 ジョブ (他のユーザーから送信されたジョブを含む) を送信したり、取り消したりできるSpark プールのログを表示できる | ワークスペースSpark プール統合ランタイム |
| Synapse 監視オペレーター | 発行されたコード成果物を読み取ります。これには、パイプライン実行のログや出力、完了したノートブックなどが含まれます。 Apache Spark プール、Data Explorer プール、統合ランタイムの一覧表示およびその詳細の表示を行う機能が含まれます。 パイプライン、Spark ノートブック、Spark ジョブを実行またはキャンセルするための追加のアクセス許可が必要です。 | ワークスペース |
| Synapse 資格情報ユーザー | パイプライン実行などのアクティビティでの資格情報やリンクされたサービス内での、シークレットのランタイムと構成時の使用。 パイプラインを実行するには、ワークスペース システム ID にスコープ指定されたこのロールが必要です。 資格情報にスコープ指定されているため、資格情報によって保護されているリンクされたサービス経由でデータにアクセスできる (コンピューティング使用のアクセス許可も必要になる場合があります) ワークスペース システム ID の資格情報によって保護されているパイプラインを実行できる | ワークスペース リンクされたサービス資格情報 |
| Synapse のリンクされた Data Manager | マネージド プライベート エンドポイント、リンクされたサービス、資格情報の作成と管理。 資格情報によって保護されているリンクされたサービスを使用するマネージド プライベート エンドポイントを作成できる | ワークスペース |
| Synapse ユーザー | SQL プール、Apache Spark プール、統合ランタイム、公開されているリンクされたサービスと資格情報の詳細を一覧表示および表示します。 その他の公開されているコード成果物は含まれません。 新しい成果物を作成できますが、追加のアクセス許可なしに実行したり公開したりすることはできません。 Spark プール、統合ランタイムを一覧表示したり、読み取ったりできる | ワークスペース、Spark プールリンクされたサービス 資格情報 |
Synapse RBAC ロールとそれによって許可されるアクション
Note
- 下の表に一覧表示されているすべてのアクションの前に "Microsoft.Synapse/..." が付加されます。
- 成果物の読み取り、書き込み、削除のアクションはすべて、ライブ サービスで公開されている成果物に関するものです。 これらのアクセス許可は、接続されている Git リポジトリ内の成果物へのアクセスには影響を与えません。
次の表は、組み込みロールと、それぞれによってサポートされるアクションおよびアクセス許可の一覧を示しています。
| Role | アクション |
|---|---|
| Synapse 管理者 | workspaces/readworkspaces/roleAssignments/write, deleteworkspaces/managedPrivateEndpoint/write, deleteworkspaces/bigDataPools/useCompute/actionworkspaces/bigDataPools/viewLogs/actionworkspaces/integrationRuntimes/useCompute/actionworkspaces/integrationRuntimes/viewLogs/actionworkspaces/artifacts/readworkspaces/notebooks/write, deleteworkspaces/sparkJobDefinitions/write, deleteworkspaces/sqlScripts/write, deleteworkspaces/kqlScripts/write, deleteworkspaces/dataFlows/write, deleteworkspaces/pipelines/write, deleteworkspaces/triggers/write, deleteworkspaces/datasets/write, deleteworkspaces/libraries/write, deleteworkspaces/linkedServices/write, deleteworkspaces/credentials/write, deleteworkspaces/notebooks/viewOutputs/actionworkspaces/pipelines/viewOutputs/actionworkspaces/linkedServices/useSecret/actionworkspaces/credentials/useSecret/actionworkspaces/linkConnections/readworkspaces/linkConnections/writeworkspaces/linkConnections/deleteworkspaces/linkConnections/useCompute/action |
| Synapse Apache Spark 管理者 | workspaces/readworkspaces/bigDataPools/useCompute/actionworkspaces/bigDataPools/viewLogs/actionworkspaces/notebooks/viewOutputs/actionworkspaces/artifacts/readworkspaces/notebooks/write、deleteworkspaces/sparkJobDefinitions/write、deleteworkspaces/libraries/write、deleteworkspaces/linkedServices/write、deleteworkspaces/credentials/write、delete |
| Synapse SQL 管理者 | workspaces/readworkspaces/artifacts/readworkspaces/sqlScripts/write、deleteworkspaces/linkedServices/write、deleteworkspaces/credentials/write、delete |
| Synapse 共同作成者 | workspaces/readworkspaces/bigDataPools/useCompute/actionworkspaces/bigDataPools/viewLogs/actionworkspaces/integrationRuntimes/useCompute/actionworkspaces/integrationRuntimes/viewLogs/actionworkspaces/artifacts/readworkspaces/notebooks/write, deleteworkspaces/sparkJobDefinitions/write, deleteworkspaces/sqlScripts/write, deleteworkspaces/kqlScripts/write, deleteworkspaces/dataFlows/write, deleteworkspaces/pipelines/write, deleteworkspaces/triggers/write, deleteworkspaces/datasets/write, deleteworkspaces/libraries/write, deleteworkspaces/linkedServices/write, deleteworkspaces/credentials/write, deleteworkspaces/notebooks/viewOutputs/actionworkspaces/pipelines/viewOutputs/actionworkspaces/linkConnections/readworkspaces/linkConnections/writeworkspaces/linkConnections/deleteworkspaces/linkConnections/useCompute/action |
| Synapse 成果物発行元 | workspaces/readworkspaces/artifacts/readworkspaces/notebooks/write、deleteworkspaces/sparkJobDefinitions/write、deleteworkspaces/sqlScripts/write、deleteworkspaces/kqlScripts/write、deleteworkspaces/dataFlows/write、deleteworkspaces/pipelines/write、deleteworkspaces/triggers/write、deleteworkspaces/datasets/write、deleteworkspaces/libraries/write、deleteworkspaces/linkedServices/write、deleteworkspaces/credentials/write、deleteworkspaces/notebooks/viewOutputs/actionworkspaces/pipelines/viewOutputs/action |
| Synapse 成果物ユーザー | workspaces/readworkspaces/artifacts/readworkspaces/notebooks/viewOutputs/actionworkspaces/pipelines/viewOutputs/action |
| Synapse コンピューティング オペレーター | workspaces/readworkspaces/bigDataPools/useCompute/actionworkspaces/bigDataPools/viewLogs/actionworkspaces/integrationRuntimes/useCompute/actionworkspaces/integrationRuntimes/viewLogs/actionworkspaces/linkConnections/readworkspaces/linkConnections/useCompute/action |
| Synapse 監視オペレーター | workspaces/readworkspaces/artifacts/readworkspaces/notebooks/viewOutputs/actionworkspaces/pipelines/viewOutputs/actionworkspaces/integrationRuntimes/viewLogs/actionworkspaces/bigDataPools/viewLogs/action |
| Synapse 資格情報ユーザー | workspaces/readworkspaces/linkedServices/useSecret/actionworkspaces/credentials/useSecret/action |
| Synapse のリンクされた Data Manager | workspaces/readworkspaces/managedPrivateEndpoint/write、deleteworkspaces/linkedServices/write、deleteworkspaces/credentials/write、delete |
| Synapse ユーザー | workspaces/read |
Synapse RBAC アクションとそれを許可するロール
次の表は、Synapse アクションとこのアクションを許可する組み込みロールの一覧を示しています。
| アクション | Role |
|---|---|
| workspaces/read | Synapse 管理者Synapse Apache Spark 管理者Synapse SQL 管理者Synapse 共同作成者Synapse 成果物発行元Synapse 成果物ユーザーSynapse コンピューティング オペレーターSynapse 監視オペレーターSynapse 資格情報ユーザーSynapse のリンクされた Data ManagerSynapse ユーザー |
| workspaces/roleAssignments/write、delete | Synapse 管理者 |
| workspaces/managedPrivateEndpoint/write、delete | Synapse 管理者Synapse のリンクされた Data Manager |
| workspaces/bigDataPools/useCompute/action | Synapse 管理者Synapse Apache Spark 管理者Synapse 共同作成者Synapse コンピューティング オペレーターSynapse 監視オペレーター |
| workspaces/bigDataPools/viewLogs/action | Synapse 管理者Synapse Apache Spark 管理者Synapse 共同作成者Synapse コンピューティング オペレーター |
| workspaces/integrationRuntimes/useCompute/action | Synapse 管理者Synapse 共同作成者Synapse コンピューティング オペレーターSynapse 監視オペレーター |
| workspaces/integrationRuntimes/viewLogs/action | Synapse 管理者Synapse 共同作成者Synapse コンピューティング オペレーターSynapse 監視オペレーター |
| workspaces/linkConnections/read | Synapse 管理者Synapse 共同作成者Synapse コンピューティング オペレーター |
| workspaces/linkConnections/useCompute/action | Synapse 管理者Synapse 共同作成者Synapse コンピューティング オペレーター |
| workspaces/artifacts/read | Synapse 管理者Synapse Apache Spark 管理者Synapse SQL 管理者Synapse 共同作成者Synapse 成果物発行元Synapse 成果物ユーザー |
| workspaces/notebooks/write、delete | Synapse 管理者Synapse Apache Spark 管理者Synapse 共同作成者Synapse 成果物発行元 |
| workspaces/sparkJobDefinitions/write、delete | Synapse 管理者Synapse Apache Spark 管理者Synapse 共同作成者Synapse 成果物発行元 |
| workspaces/sqlScripts/write、delete | Synapse 管理者Synapse SQL 管理者Synapse 共同作成者Synapse 成果物発行元 |
| workspaces/kqlScripts/write、delete | Synapse 管理者Synapse 共同作成者Synapse 成果物発行元 |
| workspaces/dataFlows/write、delete | Synapse 管理者Synapse 共同作成者Synapse 成果物発行元 |
| workspaces/pipelines/write、delete | Synapse 管理者Synapse 共同作成者Synapse 成果物発行元 |
| workspaces/linkConnections/write, delete | Synapse 管理者Synapse 共同作成者 |
| workspaces/triggers/write、delete | Synapse 管理者Synapse 共同作成者Synapse 成果物発行元 |
| workspaces/datasets/write、delete | Synapse 管理者Synapse 共同作成者Synapse 成果物発行元 |
| workspaces/libraries/write、delete | Synapse 管理者Synapse Apache Spark 管理者Synapse 共同作成者Synapse 成果物発行元 |
| workspaces/linkedServices/write、delete | Synapse 管理者Synapse Apache Spark 管理者Synapse SQL 管理者Synapse 共同作成者Synapse 成果物発行元Synapse のリンクされた Data Manager |
| workspaces/credentials/write、delete | Synapse 管理者Synapse Apache Spark 管理者Synapse SQL 管理者Synapse 共同作成者Synapse 成果物発行元Synapse のリンクされた Data Manager |
| workspaces/notebooks/viewOutputs/action | Synapse 管理者Synapse Apache Spark 管理者Synapse 共同作成者Synapse 成果物発行元Synapse 成果物ユーザー |
| workspaces/pipelines/viewOutputs/action | Synapse 管理者Synapse 共同作成者Synapse 成果物発行元Synapse 成果物ユーザー |
| workspaces/linkedServices/useSecret/action | Synapse 管理者Synapse 資格情報ユーザー |
| workspaces/credentials/useSecret/action | Synapse 管理者Synapse 資格情報ユーザー |
Synapse RBAC スコープとそれによってサポートされるロール
次の表は、Synapse RBAC スコープと各スコープで割り当てることができるロールの一覧を示しています。
Note
オブジェクトを作成または削除するには、より高いレベルのスコープのアクセス許可が必要です。
| Scope | ロール |
|---|---|
| ワークスペース | Synapse 管理者Synapse Apache Spark 管理者Synapse SQL 管理者Synapse 共同作成者Synapse 成果物発行元Synapse 成果物ユーザーSynapse コンピューティング オペレーターSynapse 監視オペレーターSynapse 資格情報ユーザーSynapse のリンクされた Data ManagerSynapse ユーザー |
| Apache Spark プール | Synapse 管理者 Synapse 共同作成者 Synapse コンピューティング オペレーター |
| 統合ランタイム | Synapse 管理者 Synapse 共同作成者 Synapse コンピューティング オペレーター |
| リンクされたサービス | Synapse 管理者 Synapse 資格情報ユーザー |
| 資格情報 | Synapse 管理者 Synapse 資格情報ユーザー |
Note
成果物のロールとアクションはすべて、ワークスペース レベルでスコープ指定されます。
次のステップ
- ワークスペースの Synapse RBAC ロールの割り当てを確認する方法について学習します。
- Synapse RBAC ロールの割り当て方法について学習します