Synapse RBAC-rollen
In het artikel worden de ingebouwde Synapse RBAC-rollen (op rollen gebaseerd toegangsbeheer) beschreven, de machtigingen die ze verlenen en de bereiken waarop ze kunnen worden gebruikt.
Bekijk voor meer informatie over het controleren en toewijzen van Synapse-rollidmaatschappen hoe u Synapse RBAC-roltoewijzingen beoordeelt en hoe u Synapse RBAC-rollen toewijst.
Ingebouwde Synapse RBAC-rollen en -bereiken
In de volgende tabel worden de ingebouwde rollen en de bereiken beschreven waarop ze kunnen worden gebruikt.
Notitie
Gebruikers met een Synapse RBAC-rol in elk bereik hebben automatisch de synapse-gebruikersrol in het werkruimtebereik.
Belangrijk
Synapse RBAC-rollen verlenen geen machtigingen voor het maken of beheren van SQL-pools, Apache Spark-pools en Integratieruntimes in Azure Synapse-werkruimten. Rollen van Azure-eigenaar of Azure-inzender voor de resourcegroep zijn vereist voor deze acties.
Rol | Machtigingen | Bereiken |
---|---|---|
Synapse-beheerder | Volledige Synapse-toegang tot serverloze en toegewezen SQL-pools, Data Explorer-pools, Apache Spark-pools en Integration Runtimes. Omvat het maken, lezen, bijwerken en verwijderen van toegang tot alle gepubliceerde codeartefacten. Bevat de machtigingen Compute Operator, Linked Data Manager en Credential User voor de identiteitsreferentie van het werkruimtesysteem. Omvat het toewijzen van Synapse RBAC-rollen. Naast Synapse-beheerder kunnen Azure-eigenaren ook Synapse RBAC-rollen toewijzen. Azure-machtigingen zijn vereist voor het maken, verwijderen en beheren van rekenresources. Synapse RBAC-rollen kunnen zelfs worden toegewezen wanneer het bijbehorende abonnement is uitgeschakeld. Kan artefacten lezen en schrijven Kan alle acties uitvoeren op Spark-activiteiten. Kan spark-poollogboeken weergeven Kan opgeslagen notebook- en pijplijnuitvoer bekijken, kan de geheimen gebruiken die zijn opgeslagen door gekoppelde services of referenties Kunnen Synapse RBAC-rollen toewijzen en intrekken op het huidige bereik |
Spark-pool voor werkruimte Referentie voor gekoppelde integratieruntime-service |
Synapse Apache Spark-beheerder |
Volledige Synapse-toegang tot Apache Spark-pools. Toegang tot gepubliceerde Spark-taakdefinities, notebooks en hun uitvoer en bibliotheken, gekoppelde services en referenties maken, lezen, bijwerken en verwijderen. Bevat leestoegang tot alle andere gepubliceerde codeartefacten. Bevat geen machtiging voor het gebruik van referenties en het uitvoeren van pijplijnen. Het verlenen van toegang is niet inbegrepen. Kan alle acties uitvoeren op Spark-artefacten Kan alle acties uitvoeren voor Spark-activiteiten |
Spark-pool voor werkruimte |
Synapse SQL-beheerder | Volledige Synapse-toegang tot serverloze SQL-pools. Toegang tot gepubliceerde SQL-scripts, referenties en gekoppelde services maken, lezen, bijwerken en verwijderen. Bevat leestoegang tot alle andere gepubliceerde codeartefacten. Bevat geen machtiging voor het gebruik van referenties en het uitvoeren van pijplijnen. Het verlenen van toegang is niet inbegrepen. Kan alle acties uitvoeren op SQL-scripts Kan verbinding maken met serverloze SQL-eindpunten met SQL db_datareader , db_datawriter en grant connect machtigingen |
Werkplek |
Synapse-inzender | Volledige Synapse-toegang tot Apache Spark-pools en Integration Runtimes. Omvat het maken, lezen, bijwerken en verwijderen van toegang tot alle gepubliceerde codeartefacten en de bijbehorende uitvoer, inclusief geplande pijplijnen, referenties en gekoppelde services. Inclusief machtigingen voor rekenoperators. Bevat geen machtiging voor het gebruik van referenties en het uitvoeren van pijplijnen. Het verlenen van toegang is niet inbegrepen. Kan artefacten lezen en schrijven Kan opgeslagen notebook- en pijplijnuitvoer bekijken Kan alle acties uitvoeren op Spark-activiteiten Kan spark-poollogboeken bekijken |
Spark-pool voor werkruimte Integration Runtime |
Synapse Artifact Publisher | Toegang tot gepubliceerde codeartefacten en hun uitvoer maken, lezen, bijwerken en verwijderen, inclusief geplande pijplijnen. Bevat geen machtiging voor het uitvoeren van code of pijplijnen of om toegang te verlenen. Kan gepubliceerde artefacten lezen en artefacten publiceren, kan opgeslagen notebook, Spark-taak en pijplijnuitvoer bekijken |
Werkplek |
Synapse Artifact-gebruiker | Lees de toegang tot gepubliceerde codeartefacten en de bijbehorende uitvoer. Kan nieuwe artefacten maken, maar kan geen wijzigingen publiceren of code uitvoeren zonder meer machtigingen. | Werkplek |
Synapse Compute-operator | Spark-taken en -notebooks verzenden en logboeken weergeven. Omvat het annuleren van Spark-taken die door elke gebruiker zijn ingediend. Vereist andere referentiesmachtigingen voor de identiteit van het werkruimtesysteem om pijplijnen uit te voeren, pijplijnuitvoeringen en uitvoer weer te geven. Kan taken verzenden en annuleren, inclusief taken die door anderen zijn ingediend, kunnen Spark-poollogboeken bekijken |
Integratieruntime voor Spark-pool voor werkruimte |
Synapse Monitoring Operator | Lees gepubliceerde codeartefacten, inclusief logboeken en uitvoer voor pijplijnuitvoeringen en voltooide notebooks. Bevat de mogelijkheid om details van Apache Spark-pools, Data Explorer-pools en Integration Runtimes weer te geven en weer te geven. Hiervoor zijn andere machtigingen vereist voor het uitvoeren/annuleren van pijplijnen, Spark-notebooks en Spark-taken. | Werkplek |
Synapse Credential User | Runtime- en configuratietijdgebruik van geheimen binnen referenties en gekoppelde services in activiteiten zoals pijplijnuitvoeringen. Voor het uitvoeren van pijplijnen is deze rol vereist, die is afgestemd op de identiteit van het werkruimtesysteem. Beperkt tot een referentie, staat toegang toe tot gegevens via een gekoppelde service die wordt beveiligd met de referentie (mogelijk is ook een machtiging voor rekengebruik vereist) Hiermee kan de uitvoering van pijplijnen worden uitgevoerd die zijn beveiligd met de identiteitsreferentie van het werkruimtesysteem |
Referenties voor gekoppelde werkruimteservice |
Synapse Linked Data Manager | Het maken en beheren van beheerde privé-eindpunten, gekoppelde services en referenties. Kan beheerde privé-eindpunten maken die gebruikmaken van gekoppelde services die worden beveiligd met referenties | Werkplek |
Synapse-gebruiker | Geef details van SQL-pools, Apache Spark-pools, Integratieruntimes en gepubliceerde gekoppelde services en referenties weer. Bevat geen andere gepubliceerde codeartefacten. Kan nieuwe artefacten maken, maar kan niet worden uitgevoerd of gepubliceerd zonder meer machtigingen. Kan Spark-pools, Integration Runtimes weergeven en lezen. |
Referentie voor gekoppelde service voor Spark-pool |
Synapse RBAC-rollen en de acties die ze toestaan
Notitie
- Alle acties die in de onderstaande tabellen worden vermeld, worden voorafgegaan door 'Microsoft.Synapse/...'
- Alle acties voor lezen, schrijven en verwijderen van artefacten zijn met betrekking tot gepubliceerde artefacten in de liveservice. Deze machtigingen hebben geen invloed op de toegang tot artefacten in een verbonden Git-opslagplaats.
De volgende tabel bevat de ingebouwde rollen en de acties/machtigingen die door elke rol worden ondersteund.
Role | Acties |
---|---|
Synapse-beheerder | werkruimten/werkruimten lezen /roleAssignments/write, werkruimten/managedPrivateEndpoint/write verwijderen, werkruimten/bigDataPool/useCompute/action workspaces/bigDataPool/viewLogs/action workspaces/scopePool/useCompute/action workspaces/scopePool/viewLogs/action workspaces/integrationRuntime/useCompute/action workspaces/integrationRuntime/viewLogs/action workspaces/artifacts/read workspaces/notebooks/write workspaces/sparkJobDefinitions/write, delete workspaces/scopeJobDefinitions/write, delete workspaces/sqlScripts/write, delete workspaces/dataFlows/write, delete workspaces/dataMappers/write, delete workspaces/pipelines/write, delete workspaces/triggers/write, delete workspaces/datasets/write, delete workspaces/linkedServices/write, delete workspaces/credentials/write, delete workspaces/notebooks/ werkruimten verwijderen/cancelPipelineRun/action workspaces/notebooksViewOutputs/action workspaces/pipelinesViewOutputs/action workspaces/linkedServicesUseSecret/action workspaces/credentialsUseSecret/action workspaces/libraries/write, werkruimten/kQLScripts/write verwijderen, werkruimten/sparkConfigurations/write verwijderen, werkruimten/synapseLinkConnections/read, write, delete workspaces/synapseLinkConnections/ useCompute/action |
Synapse Apache Spark-beheerder | werkruimten/read orkspaces/bigDataPoolUseCompute/action orkspaces/bigDataPoolViewLogs/action orkspaces/artifacts/read orkspaces/notebooks/write, orkspaces/sparkJobDefinitions/write, delete orkspaces/linkedServices/write, delete orkspaces/credentials/write, delete orkspaces/libraries/write, delete orkspaces/notebooksViewOutputs/action |
Synapse SQL-beheerder | werkruimten/werkruimten lezen /artefacten/werkruimten lezen /werkruimten lezen/sqlScripts/schrijven, werkruimten/linkedServices/schrijven verwijderen , werkruimten/referenties/schrijven verwijderen , verwijderen |
Synapse Scope Administrator | werkruimten/werkruimten lezen /scopePoolUseCompute/action workspaces/scopePoolViewLogs/action workspaces/linkedServices/write, delete workspaces/credentials/write, delete workspaces/scopeJobDefinitions/write, delete |
Synapse Private Endpoint Manager | werkruimten/werkruimten lezen /managedPrivateEndpoint/write, werkruimten/linkedServices/write verwijderen , werkruimten/referenties/schrijven verwijderen , verwijderen |
Synapse-inzender | werkruimten/werkruimten lezen /bigDataPool/useCompute/action workspaces/bigDataPool/viewLogs/action workspaces/scopePool/useCompute/action workspaces/scopePool/viewLogs/action workspaces/integrationRuntime/useCompute/action workspaces/integrationRuntime/viewLogs/action workspaces/artifacts/read workspaces/notebooks/write, werkruimten/sparkJobDefinitions/write verwijderen , werkruimten/sqlScripts/write verwijderen, verwijderen werkruimten/gegevensstromen/schrijven, werkruimten/ dataMappers/write verwijderen, werkruimten/pijplijnen/schrijven verwijderen , werkruimten/triggers/schrijven verwijderen , werkruimten/gegevenssets/schrijven, werkruimten verwijderen /linkedServices/schrijven, werkruimten/referenties/schrijven verwijderen, werkruimten verwijderen/werkruimten verwijderen /cancelPipelineRun/actiewerkruimten /notebooksViewOutputs/action werkruimten/pipelinesViewOutputs/action workspaces/action workspaces/libraries/write, delete werkruimten/kQLScripts/write, werkruimten /sparkConfigurations/write, werkruimten /synapseLinkConnections/read,write, delete workspaces/synapseLinkConnections/useComputeAction |
Synapse Artifact Publisher | werkruimten/werkruimten lezen /artefacten/werkruimten lezen /notebooks/schrijven, werkruimten/sparkJobDefinitions/write verwijderen, werkruimten/scopeJobDefinitions/write verwijderen , werkruimten/sqlScripts/write verwijderen, werkruimten/gegevensstromen/schrijven, werkruimten verwijderen /dataMappers/write, werkruimten verwijderen /pijplijnen/schrijven, werkruimten verwijderen /triggers/schrijven, werkruimten verwijderen /gegevenssets/schrijven, werkruimten verwijderen /linkedServices/schrijven, werkruimten/referenties/schrijven, werkruimten/notebooksViewOutputs/action workspaces/pipelinesViewOutputs/action workspaces/libraries/write, delete workspaces/kQLScripts/write, delete workspaces/sparkConfigurations/write, delete |
Synapse Artifact-gebruiker | werkruimten/werkruimten lezen /artefacten/werkruimten lezen /notebooks/viewOutputs/action workspaces/pipelines/viewOutputs/action |
Synapse Compute-operator | werkruimten/werkruimten lezen /bigDataPools/useCompute/action workspaces/bigDataPools/viewLogs/action workspaces/scopePool/useCompute/action workspaces/scopePool /viewLogs/action workspaces/linkConnections/read workspaces/linkCompute/ useCompute/action workspaces |
Synapse Monitoring Operator | werkruimten/werkruimten lezen /artefacten/werkruimten lezen /notebooks/viewOutputs/action workspaces/pipelines/viewOutputs/action workspaces/integrationRuntimes/viewLogs/action workspaces/bigDataPools/viewLogs/action |
Synapse Credential User | werkruimten/werkruimten lezen /linkedServices/useSecret/action workspaces/credentials/useSecret/action |
Synapse Linked Data Manager | werkruimten/werkruimten lezen /managedPrivateEndpoint/write, werkruimten/linkedServices/write verwijderen , werkruimten/referenties/schrijven verwijderen , verwijderen |
Synapse-gebruiker | werkruimten/lezen |
Synapse RBAC-acties en de rollen die deze toestaan
De volgende tabel bevat Synapse-acties en de ingebouwde rollen die deze acties toestaan:
Actie | Role |
---|---|
werkruimten/lezen | Synapse-beheerder Synapse Apache Spark-beheerder Synapse SQL-beheerder Synapse-inzender Synapse Artifact Publisher Synapse Artifact User Synapse Compute Operator Synapse Monitoring Operator Synapse Credential User Synapse Linked Data Manager Synapse User |
werkruimten/roleAssignments/write, delete | Synapse-beheerder |
werkruimten/managedPrivateEndpoint/write, verwijderen | Synapse-beheerder Synapse Linked Data Manager |
werkruimten/bigDataPools/useCompute/action | Synapse-beheerder Synapse Apache Spark-beheerder Synapse-inzender Synapse Compute Operator Synapse Monitoring Operator |
werkruimten/bigDataPools/viewLogs/action | Synapse-beheerder Synapse Apache Spark-beheerder Synapse-inzender Synapse Compute-operator |
werkruimten/integrationRuntimes/useCompute/action | Synapse-beheerder Synapse-inzender Synapse Compute Operator Synapse Monitoring Operator |
werkruimten/integrationRuntimes/viewLogs/action | Synapse-beheerder Synapse-inzender Synapse Compute Operator Synapse Monitoring Operator |
werkruimten/linkConnections/read | Synapse-beheerder Synapse-inzender Synapse Compute-operator |
werkruimten/linkConnections/useCompute/action | Synapse-beheerder Synapse-inzender Synapse Compute-operator |
werkruimten/artefacten/lezen | Synapse-beheerder Synapse Apache Spark-beheerder Synapse SQL-beheerder Synapse-inzender Synapse Artifact Publisher Synapse Artifact User |
werkruimten/notebooks/schrijven, verwijderen | Synapse-beheerder Synapse Apache Spark-beheerder Synapse-inzender Synapse Artifact Publisher |
werkruimten/sparkJobDefinitions/write, verwijderen | Synapse-beheerder Synapse Apache Spark-beheerder Synapse-inzender Synapse Artifact Publisher |
werkruimten/sqlScripts/schrijven, verwijderen | Synapse-beheerder Synapse SQL-beheerder Synapse-inzender Synapse Artifact Publisher |
werkruimten/kqlScripts/schrijven, verwijderen | Synapse-beheerder Synapse-inzender Synapse Artifact Publisher |
werkruimten/gegevensstromen/schrijven, verwijderen | Synapse-beheerder Synapse-inzender Synapse Artifact Publisher |
werkruimten/pijplijnen/schrijven, verwijderen | Synapse-beheerder Synapse-inzender Synapse Artifact Publisher |
werkruimten/linkConnections/schrijven, verwijderen | Synapse-beheerder Synapse-inzender |
werkruimten/triggers/schrijven, verwijderen | Synapse-beheerder Synapse-inzender Synapse Artifact Publisher |
werkruimten/gegevenssets/schrijven, verwijderen | Synapse-beheerder Synapse-inzender Synapse Artifact Publisher |
werkruimten/bibliotheken/schrijven, verwijderen | Synapse-beheerder Synapse Apache Spark-beheerder Synapse-inzender Synapse Artifact Publisher |
werkruimten/linkedServices/schrijven, verwijderen | Synapse-beheerder Synapse Apache Spark-beheerder Synapse SQL-beheerder Synapse-inzender Synapse Artifact Publisher Synapse Linked Data Manager |
werkruimten/referenties/schrijven, verwijderen | Synapse-beheerder Synapse Apache Spark-beheerder Synapse SQL-beheerder Synapse-inzender Synapse Artifact Publisher Synapse Linked Data Manager |
werkruimten/notebooks/viewOutputs/action | Synapse-beheerder Synapse Apache Spark-beheerder Synapse-inzender Synapse Artifact Publisher Synapse Artifact User |
werkruimten/pijplijnen/viewOutputs/action | Synapse-beheerder Synapse-inzender Synapse Artifact Publisher Synapse Artifact User |
werkruimten/linkedServices/useSecret/action | Synapse-beheerder Synapse Credential User |
werkruimten/referenties/useSecret/action | Synapse-beheerder Synapse Credential User |
Synapse RBAC-bereiken en hun ondersteunde rollen
De onderstaande tabel bevat Synapse RBAC-bereiken en de rollen die voor elk bereik kunnen worden toegewezen.
Notitie
Als u een object wilt maken of verwijderen, moet u machtigingen hebben voor een bereik op een hoger niveau.
Bereik | Rollen |
---|---|
Werkplek | Synapse-beheerder Synapse Apache Spark-beheerder Synapse SQL-beheerder Synapse-inzender Synapse Artifact Publisher Synapse Artifact User Synapse Compute Operator Synapse Monitoring Operator Synapse Credential User Synapse Linked Data Manager Synapse User |
Apache Spark-pool | Synapse-beheerder Synapse-inzender Synapse Compute-operator |
Integration Runtime | Synapse-beheerder Synapse-inzender Synapse Compute-operator |
Gekoppelde service | Synapse-beheerder Synapse Credential User |
Referentie | Synapse-beheerder Synapse Credential User |
Notitie
Alle artefactrollen en -acties zijn gericht op werkruimteniveau.
Volgende stappen
- Meer informatie over het controleren van Synapse RBAC-roltoewijzingen voor een werkruimte.
- Meer informatie over het toewijzen van Synapse RBAC-rollen