Delen via


Rollen en machtigingen voor Azure Data Factory

VAN TOEPASSING OP: Azure Data Factory Azure Synapse Analytics

Tip

Probeer Data Factory uit in Microsoft Fabric, een alles-in-één analyseoplossing voor ondernemingen. Microsoft Fabric omvat alles, van gegevensverplaatsing tot gegevenswetenschap, realtime analyses, business intelligence en rapportage. Meer informatie over het gratis starten van een nieuwe proefversie .

In dit artikel worden de rollen beschreven die nodig zijn voor het maken en beheren van Azure Data Factory-resources en de machtigingen die door deze rollen zijn verleend.

Rollen en vereisten

Als u Data Factory-exemplaren wilt maken, moet het gebruikersaccount waarmee u zich aanmeldt bij Azure lid zijn van de rol Inzender , de rol eigenaar of een beheerder van het Azure-abonnement. Als u de machtigingen wilt weergeven die u in het abonnement hebt, selecteert u in Azure Portal uw gebruikersnaam in de rechterbovenhoek en selecteert u Vervolgens Mijn machtigingen. Als u toegang tot meerdere abonnementen hebt, moet u het juiste abonnement selecteren.

Als u onderliggende resources wilt maken en beheren voor Data Factory, waaronder gegevenssets, gekoppelde services, pijplijnen, triggers en integratieruntimes, zijn de volgende vereisten van toepassing:

  • Als u onderliggende resources in Azure Portal wilt maken en beheren, moet u behoren tot de rol Data Factory-inzender op het niveau van de resourcegroep of hoger.

    Notitie

    Als u de rol Inzender al hebt toegewezen op het niveau van de resourcegroep of hoger, hebt u de rol Data Factory-inzender niet nodig. De rol Inzender is een supersetrol met alle machtigingen die zijn verleend aan de rol Data Factory-inzender.

  • Voor het maken en beheren van onderliggende resources met PowerShell of de SDK is de rol Inzender op minimaal het resourceniveau voldoende.

Zie het artikel Rollen toevoegen voor voorbeelden van instructies voor het toevoegen van een gebruiker aan een rol.

Machtigingen instellen

Nadat u een Data Factory hebt gemaakt, kunt u andere gebruikers laten werken met de data factory. Als u deze toegang wilt verlenen aan andere gebruikers, moet u ze toevoegen aan de ingebouwde rol Data Factory-inzender in de resourcegroep die de Data Factory bevat.

Bereik van de rol Data Factory-inzender

Als gebruikers lid zijn van de rol Data Factory-inzender , kunnen ze het volgende doen:

  • Gegevensfactory's en onderliggende resources maken, bewerken en verwijderen, waaronder gegevenssets, gekoppelde services, pijplijnen, triggers en integratieruntimes.
  • Resource Manager-sjablonen implementeren. Resource Manager-implementatie is de implementatiemethode die wordt gebruikt door Data Factory in Azure Portal.
  • App Insights-waarschuwingen voor een data factory beheren.
  • Maak ondersteuningstickets.

Zie de rol Data Factory-inzender voor meer informatie over deze rol.

Resource Manager-sjabloonimplementatie

Met de rol Data Factory-inzender kunnen gebruikers resourcebeheersjablonen implementeren op het niveau van de resourcegroep of hoger. Hierdoor kunnen leden van de rol Resource Manager-sjablonen gebruiken om zowel gegevensfactory's als hun onderliggende resources te implementeren, waaronder gegevenssets, gekoppelde services, pijplijnen, triggers en integratieruntimes. Als u lid bent van deze rol, kan de gebruiker geen andere resources maken.

Machtigingen voor Azure-opslagplaatsen en GitHub zijn onafhankelijk van Data Factory-machtigingen. Als gevolg hiervan kan een gebruiker met opslagplaatsmachtigingen die alleen lid is van de rol Lezer onderliggende resources van Data Factory bewerken en wijzigingen doorvoeren in de opslagplaats, maar deze wijzigingen niet publiceren.

Belangrijk

Resource Manager-sjabloonimplementatie met de rol Data Factory-inzender verhoogt uw machtigingen niet. Als u bijvoorbeeld een sjabloon implementeert waarmee een virtuele Azure-machine wordt gemaakt en u niet bent gemachtigd om virtuele machines te maken, mislukt de implementatie met een autorisatiefout.

In de publicatiecontext is Microsoft.DataFactory/factory's/schrijfmachtiging van toepassing op de volgende modi.

  • Deze machtiging is alleen vereist in de livemodus wanneer de klant de globale parameters wijzigt.
  • Deze machtiging is altijd vereist in de Git-modus, omdat telkens nadat de klant heeft gepubliceerd, het factory-object met de laatste doorvoer-id moet worden bijgewerkt.

Aangepaste scenario's en aangepaste rollen

Soms moet u verschillende toegangsniveaus verlenen voor verschillende data factory-gebruikers. Voorbeeld:

  • Mogelijk hebt u een groep nodig waarbij gebruikers alleen machtigingen hebben voor een specifieke data factory.
  • Of u hebt mogelijk een groep nodig waar gebruikers alleen een data factory (of factory's) kunnen bewaken, maar deze niet kunnen wijzigen.

U kunt deze aangepaste scenario's bereiken door aangepaste rollen te maken en gebruikers toe te wijzen aan die rollen. Zie Aangepaste rollen in Azure voor meer informatie over aangepaste rollen.

Hier volgen enkele voorbeelden die laten zien wat u kunt bereiken met aangepaste rollen:

  • Laat een gebruiker een data factory in een resourcegroep maken, bewerken of verwijderen vanuit Azure Portal.

    Wijs de ingebouwde rol van Data Factory-inzender toe op het niveau van de resourcegroep voor de gebruiker. Als u toegang wilt verlenen tot een data factory in een abonnement, wijst u de rol toe op abonnementsniveau.

  • Laat een gebruiker een gegevensfactory bekijken (lezen) en bewaken, maar niet bewerken of wijzigen.

    Wijs de ingebouwde lezerrol toe aan de data factory-resource voor de gebruiker.

  • Laat een gebruiker één data factory bewerken in Azure Portal.

    Voor dit scenario zijn twee roltoewijzingen vereist.

    1. Wijs de ingebouwde rol inzender toe op data factory-niveau.
    2. Maak een aangepaste rol met de machtiging Microsoft.Resources/deployments/. Wijs deze aangepaste rol toe aan de gebruiker op resourcegroepniveau.
  • Een gebruiker in staat stellen om verbinding in een gekoppelde service te testen of een voorbeeld van gegevens in een gegevensset te bekijken

    Maak een aangepaste rol met machtigingen voor de volgende acties: Microsoft.DataFactory/factory's/getFeatureValue/read en Microsoft.DataFactory/factorys/getDataPlaneAccess/action. Wijs deze aangepaste rol toe aan de data factory-resource voor de gebruiker.

  • Laat een gebruiker een data factory bijwerken vanuit PowerShell of de SDK, maar niet in Azure Portal.

    Wijs de ingebouwde rol inzender toe aan de data factory-resource voor de gebruiker. Met deze rol kan de gebruiker de resources in Azure Portal zien, maar de gebruiker heeft geen toegang tot de knoppen Publiceren en Alles publiceren.