Delen via


Synapse RBAC-rollen

In het artikel worden de ingebouwde Synapse RBAC-rollen (op rollen gebaseerd toegangsbeheer) beschreven, de machtigingen die ze verlenen en de bereiken waarop ze kunnen worden gebruikt.

Bekijk voor meer informatie over het controleren en toewijzen van Synapse-rollidmaatschappen hoe u Synapse RBAC-roltoewijzingen beoordeelt en hoe u Synapse RBAC-rollen toewijst.

Ingebouwde Synapse RBAC-rollen en -bereiken

In de volgende tabel worden de ingebouwde rollen en de bereiken beschreven waarop ze kunnen worden gebruikt.

Notitie

Gebruikers met een Synapse RBAC-rol in elk bereik hebben automatisch de synapse-gebruikersrol in het werkruimtebereik.

Belangrijk

Synapse RBAC-rollen verlenen geen machtigingen voor het maken of beheren van SQL-pools, Apache Spark-pools en Integratieruntimes in Azure Synapse-werkruimten. Rollen van Azure-eigenaar of Azure-inzender voor de resourcegroep zijn vereist voor deze acties.

Rol Machtigingen Bereiken
Synapse-beheerder Volledige Synapse-toegang tot serverloze en toegewezen SQL-pools, Data Explorer-pools, Apache Spark-pools en Integration Runtimes. Omvat het maken, lezen, bijwerken en verwijderen van toegang tot alle gepubliceerde codeartefacten. Bevat de machtigingen Compute Operator, Linked Data Manager en Credential User voor de identiteitsreferentie van het werkruimtesysteem. Omvat het toewijzen van Synapse RBAC-rollen. Naast Synapse-beheerder kunnen Azure-eigenaren ook Synapse RBAC-rollen toewijzen. Azure-machtigingen zijn vereist voor het maken, verwijderen en beheren van rekenresources. Synapse RBAC-rollen kunnen zelfs worden toegewezen wanneer het bijbehorende abonnement is uitgeschakeld.

Kan artefacten
lezen en schrijven Kan alle acties uitvoeren op Spark-activiteiten.
Kan spark-poollogboeken
weergeven Kan opgeslagen notebook- en pijplijnuitvoer
bekijken, kan de geheimen gebruiken die zijn opgeslagen door gekoppelde services of referenties
Kunnen Synapse RBAC-rollen toewijzen en intrekken op het huidige bereik
Spark-pool voor werkruimte

Referentie voor gekoppelde integratieruntime-service

Synapse Apache Spark-beheerder
Volledige Synapse-toegang tot Apache Spark-pools. Toegang tot gepubliceerde Spark-taakdefinities, notebooks en hun uitvoer en bibliotheken, gekoppelde services en referenties maken, lezen, bijwerken en verwijderen. Bevat leestoegang tot alle andere gepubliceerde codeartefacten. Bevat geen machtiging voor het gebruik van referenties en het uitvoeren van pijplijnen. Het verlenen van toegang is niet inbegrepen.

Kan alle acties uitvoeren op Spark-artefacten
Kan alle acties uitvoeren voor Spark-activiteiten
Spark-pool voor werkruimte
Synapse SQL-beheerder Volledige Synapse-toegang tot serverloze SQL-pools. Toegang tot gepubliceerde SQL-scripts, referenties en gekoppelde services maken, lezen, bijwerken en verwijderen. Bevat leestoegang tot alle andere gepubliceerde codeartefacten. Bevat geen machtiging voor het gebruik van referenties en het uitvoeren van pijplijnen. Het verlenen van toegang is niet inbegrepen.

Kan alle acties uitvoeren op SQL-scripts
Kan verbinding maken met serverloze SQL-eindpunten met SQLdb_datareader, db_datawriteren grant connectmachtigingen
Werkplek
Synapse-inzender Volledige Synapse-toegang tot Apache Spark-pools en Integration Runtimes. Omvat het maken, lezen, bijwerken en verwijderen van toegang tot alle gepubliceerde codeartefacten en de bijbehorende uitvoer, inclusief geplande pijplijnen, referenties en gekoppelde services. Inclusief machtigingen voor rekenoperators. Bevat geen machtiging voor het gebruik van referenties en het uitvoeren van pijplijnen. Het verlenen van toegang is niet inbegrepen.

Kan artefacten
lezen en schrijven Kan opgeslagen notebook- en pijplijnuitvoer
bekijken Kan alle acties uitvoeren op Spark-activiteiten
Kan spark-poollogboeken bekijken
Spark-pool voor werkruimte

Integration Runtime
Synapse Artifact Publisher Toegang tot gepubliceerde codeartefacten en hun uitvoer maken, lezen, bijwerken en verwijderen, inclusief geplande pijplijnen. Bevat geen machtiging voor het uitvoeren van code of pijplijnen of om toegang te verlenen.

Kan gepubliceerde artefacten lezen en artefacten
publiceren, kan opgeslagen notebook, Spark-taak en pijplijnuitvoer bekijken
Werkplek
Synapse Artifact-gebruiker Lees de toegang tot gepubliceerde codeartefacten en de bijbehorende uitvoer. Kan nieuwe artefacten maken, maar kan geen wijzigingen publiceren of code uitvoeren zonder meer machtigingen. Werkplek
Synapse Compute-operator Spark-taken en -notebooks verzenden en logboeken weergeven. Omvat het annuleren van Spark-taken die door elke gebruiker zijn ingediend. Vereist andere referentiesmachtigingen voor de identiteit van het werkruimtesysteem om pijplijnen uit te voeren, pijplijnuitvoeringen en uitvoer weer te geven.

Kan taken verzenden en annuleren, inclusief taken die door anderen
zijn ingediend, kunnen Spark-poollogboeken bekijken
Integratieruntime voor Spark-pool
voor werkruimte
Synapse Monitoring Operator Lees gepubliceerde codeartefacten, inclusief logboeken en uitvoer voor pijplijnuitvoeringen en voltooide notebooks. Bevat de mogelijkheid om details van Apache Spark-pools, Data Explorer-pools en Integration Runtimes weer te geven en weer te geven. Hiervoor zijn andere machtigingen vereist voor het uitvoeren/annuleren van pijplijnen, Spark-notebooks en Spark-taken. Werkplek
Synapse Credential User Runtime- en configuratietijdgebruik van geheimen binnen referenties en gekoppelde services in activiteiten zoals pijplijnuitvoeringen. Voor het uitvoeren van pijplijnen is deze rol vereist, die is afgestemd op de identiteit van het werkruimtesysteem.

Beperkt tot een referentie, staat toegang toe tot gegevens via een gekoppelde service die wordt beveiligd met de referentie (mogelijk is ook een machtiging voor rekengebruik vereist)
Hiermee kan de uitvoering van pijplijnen worden uitgevoerd die zijn beveiligd met de identiteitsreferentie van het werkruimtesysteem
Referenties
voor gekoppelde werkruimteservice
Synapse Linked Data Manager Het maken en beheren van beheerde privé-eindpunten, gekoppelde services en referenties. Kan beheerde privé-eindpunten maken die gebruikmaken van gekoppelde services die worden beveiligd met referenties Werkplek
Synapse-gebruiker Geef details van SQL-pools, Apache Spark-pools, Integratieruntimes en gepubliceerde gekoppelde services en referenties weer. Bevat geen andere gepubliceerde codeartefacten. Kan nieuwe artefacten maken, maar kan niet worden uitgevoerd of gepubliceerd zonder meer machtigingen.

Kan Spark-pools, Integration Runtimes weergeven en lezen.
Referentie voor gekoppelde service
voor Spark-pool

Synapse RBAC-rollen en de acties die ze toestaan

Notitie

  • Alle acties die in de onderstaande tabellen worden vermeld, worden voorafgegaan door 'Microsoft.Synapse/...'
  • Alle acties voor lezen, schrijven en verwijderen van artefacten zijn met betrekking tot gepubliceerde artefacten in de liveservice. Deze machtigingen hebben geen invloed op de toegang tot artefacten in een verbonden Git-opslagplaats.

De volgende tabel bevat de ingebouwde rollen en de acties/machtigingen die door elke rol worden ondersteund.

Role Acties
Synapse-beheerder werkruimten/werkruimten lezen
/roleAssignments/write,
werkruimten/managedPrivateEndpoint/write verwijderen,
werkruimten/bigDataPool/useCompute/action
workspaces/bigDataPool/viewLogs/action
workspaces/scopePool/useCompute/action
workspaces/scopePool/viewLogs/action
workspaces/integrationRuntime/useCompute/action
workspaces/integrationRuntime/viewLogs/action
workspaces/artifacts/read
workspaces/notebooks/write
workspaces/sparkJobDefinitions/write, delete
workspaces/scopeJobDefinitions/write, delete
workspaces/sqlScripts/write, delete
workspaces/dataFlows/write, delete
workspaces/dataMappers/write, delete
workspaces/pipelines/write, delete
workspaces/triggers/write, delete
workspaces/datasets/write, delete
workspaces/linkedServices/write, delete
workspaces/credentials/write, delete
workspaces/notebooks/
werkruimten verwijderen/cancelPipelineRun/action
workspaces/notebooksViewOutputs/action
workspaces/pipelinesViewOutputs/action
workspaces/linkedServicesUseSecret/action
workspaces/credentialsUseSecret/action
workspaces/libraries/write,
werkruimten/kQLScripts/write verwijderen,
werkruimten/sparkConfigurations/write verwijderen,
werkruimten/synapseLinkConnections/read, write, delete
workspaces/synapseLinkConnections/ useCompute/action
Synapse Apache Spark-beheerder werkruimten/read
orkspaces/bigDataPoolUseCompute/action
orkspaces/bigDataPoolViewLogs/action
orkspaces/artifacts/read
orkspaces/notebooks/write,
orkspaces/sparkJobDefinitions/write, delete
orkspaces/linkedServices/write, delete
orkspaces/credentials/write, delete
orkspaces/libraries/write, delete
orkspaces/notebooksViewOutputs/action
Synapse SQL-beheerder werkruimten/werkruimten lezen
/artefacten/werkruimten lezen
/werkruimten lezen/sqlScripts/schrijven, werkruimten/linkedServices/schrijven verwijderen
, werkruimten/referenties/schrijven verwijderen
, verwijderen
Synapse Scope Administrator werkruimten/werkruimten lezen
/scopePoolUseCompute/action
workspaces/scopePoolViewLogs/action
workspaces/linkedServices/write, delete
workspaces/credentials/write, delete
workspaces/scopeJobDefinitions/write, delete
Synapse Private Endpoint Manager werkruimten/werkruimten lezen
/managedPrivateEndpoint/write, werkruimten/linkedServices/write verwijderen
, werkruimten/referenties/schrijven verwijderen
, verwijderen
Synapse-inzender werkruimten/werkruimten lezen
/bigDataPool/useCompute/action
workspaces/bigDataPool/viewLogs/action
workspaces/scopePool/useCompute/action
workspaces/scopePool/viewLogs/action
workspaces/integrationRuntime/useCompute/action
workspaces/integrationRuntime/viewLogs/action
workspaces/artifacts/read
workspaces/notebooks/write, werkruimten/sparkJobDefinitions/write verwijderen
,
werkruimten/sqlScripts/write verwijderen, verwijderen
werkruimten/gegevensstromen/schrijven, werkruimten/
dataMappers/write verwijderen,
werkruimten/pijplijnen/schrijven verwijderen
, werkruimten/triggers/schrijven verwijderen
, werkruimten/gegevenssets/schrijven, werkruimten verwijderen
/linkedServices/schrijven,
werkruimten/referenties/schrijven verwijderen, werkruimten verwijderen/werkruimten verwijderen
/cancelPipelineRun/actiewerkruimten
/notebooksViewOutputs/action
werkruimten/pipelinesViewOutputs/action workspaces/action
workspaces/libraries/write, delete
werkruimten/kQLScripts/write, werkruimten
/sparkConfigurations/write, werkruimten
/synapseLinkConnections/read,write, delete
workspaces/synapseLinkConnections/useComputeAction
Synapse Artifact Publisher werkruimten/werkruimten lezen
/artefacten/werkruimten lezen
/notebooks/schrijven,
werkruimten/sparkJobDefinitions/write verwijderen,
werkruimten/scopeJobDefinitions/write verwijderen
, werkruimten/sqlScripts/write verwijderen,
werkruimten/gegevensstromen/schrijven, werkruimten verwijderen
/dataMappers/write, werkruimten verwijderen
/pijplijnen/schrijven, werkruimten verwijderen
/triggers/schrijven, werkruimten verwijderen
/gegevenssets/schrijven, werkruimten verwijderen
/linkedServices/schrijven,
werkruimten/referenties/schrijven,
werkruimten/notebooksViewOutputs/action
workspaces/pipelinesViewOutputs/action
workspaces/libraries/write, delete
workspaces/kQLScripts/write, delete workspaces/sparkConfigurations/write, delete
Synapse Artifact-gebruiker werkruimten/werkruimten lezen
/artefacten/werkruimten lezen
/notebooks/viewOutputs/action
workspaces/pipelines/viewOutputs/action
Synapse Compute-operator werkruimten/werkruimten lezen
/bigDataPools/useCompute/action
workspaces/bigDataPools/viewLogs/action
workspaces/scopePool/useCompute/action
workspaces/scopePool
/viewLogs/action
workspaces/linkConnections/read
workspaces/linkCompute/
useCompute/action
workspaces
Synapse Monitoring Operator werkruimten/werkruimten lezen
/artefacten/werkruimten lezen
/notebooks/viewOutputs/action
workspaces/pipelines/viewOutputs/action
workspaces/integrationRuntimes/viewLogs/action
workspaces/bigDataPools/viewLogs/action
Synapse Credential User werkruimten/werkruimten lezen
/linkedServices/useSecret/action
workspaces/credentials/useSecret/action
Synapse Linked Data Manager werkruimten/werkruimten lezen
/managedPrivateEndpoint/write, werkruimten/linkedServices/write verwijderen
, werkruimten/referenties/schrijven verwijderen
, verwijderen
Synapse-gebruiker werkruimten/lezen

Synapse RBAC-acties en de rollen die deze toestaan

De volgende tabel bevat Synapse-acties en de ingebouwde rollen die deze acties toestaan:

Actie Role
werkruimten/lezen Synapse-beheerder
Synapse Apache Spark-beheerder
Synapse SQL-beheerder
Synapse-inzender
Synapse Artifact Publisher
Synapse Artifact User
Synapse Compute Operator
Synapse Monitoring Operator
Synapse Credential User
Synapse Linked Data Manager
Synapse User
werkruimten/roleAssignments/write, delete Synapse-beheerder
werkruimten/managedPrivateEndpoint/write, verwijderen Synapse-beheerder
Synapse Linked Data Manager
werkruimten/bigDataPools/useCompute/action Synapse-beheerder
Synapse Apache Spark-beheerder
Synapse-inzender
Synapse Compute Operator Synapse Monitoring Operator
werkruimten/bigDataPools/viewLogs/action Synapse-beheerder
Synapse Apache Spark-beheerder
Synapse-inzender
Synapse Compute-operator
werkruimten/integrationRuntimes/useCompute/action Synapse-beheerder
Synapse-inzender
Synapse Compute Operator
Synapse Monitoring Operator
werkruimten/integrationRuntimes/viewLogs/action Synapse-beheerder
Synapse-inzender
Synapse Compute Operator
Synapse Monitoring Operator
werkruimten/linkConnections/read Synapse-beheerder
Synapse-inzender
Synapse Compute-operator
werkruimten/linkConnections/useCompute/action Synapse-beheerder
Synapse-inzender
Synapse Compute-operator
werkruimten/artefacten/lezen Synapse-beheerder
Synapse Apache Spark-beheerder
Synapse SQL-beheerder
Synapse-inzender
Synapse Artifact Publisher
Synapse Artifact User
werkruimten/notebooks/schrijven, verwijderen Synapse-beheerder
Synapse Apache Spark-beheerder
Synapse-inzender
Synapse Artifact Publisher
werkruimten/sparkJobDefinitions/write, verwijderen Synapse-beheerder
Synapse Apache Spark-beheerder
Synapse-inzender
Synapse Artifact Publisher
werkruimten/sqlScripts/schrijven, verwijderen Synapse-beheerder
Synapse SQL-beheerder
Synapse-inzender
Synapse Artifact Publisher
werkruimten/kqlScripts/schrijven, verwijderen Synapse-beheerder
Synapse-inzender
Synapse Artifact Publisher
werkruimten/gegevensstromen/schrijven, verwijderen Synapse-beheerder
Synapse-inzender
Synapse Artifact Publisher
werkruimten/pijplijnen/schrijven, verwijderen Synapse-beheerder
Synapse-inzender
Synapse Artifact Publisher
werkruimten/linkConnections/schrijven, verwijderen Synapse-beheerder
Synapse-inzender
werkruimten/triggers/schrijven, verwijderen Synapse-beheerder
Synapse-inzender
Synapse Artifact Publisher
werkruimten/gegevenssets/schrijven, verwijderen Synapse-beheerder
Synapse-inzender
Synapse Artifact Publisher
werkruimten/bibliotheken/schrijven, verwijderen Synapse-beheerder
Synapse Apache Spark-beheerder
Synapse-inzender
Synapse Artifact Publisher
werkruimten/linkedServices/schrijven, verwijderen Synapse-beheerder
Synapse Apache Spark-beheerder
Synapse SQL-beheerder
Synapse-inzender
Synapse Artifact Publisher
Synapse Linked Data Manager
werkruimten/referenties/schrijven, verwijderen Synapse-beheerder
Synapse Apache Spark-beheerder
Synapse SQL-beheerder
Synapse-inzender
Synapse Artifact Publisher
Synapse Linked Data Manager
werkruimten/notebooks/viewOutputs/action Synapse-beheerder
Synapse Apache Spark-beheerder
Synapse-inzender
Synapse Artifact Publisher
Synapse Artifact User
werkruimten/pijplijnen/viewOutputs/action Synapse-beheerder
Synapse-inzender
Synapse Artifact Publisher
Synapse Artifact User
werkruimten/linkedServices/useSecret/action Synapse-beheerder
Synapse Credential User
werkruimten/referenties/useSecret/action Synapse-beheerder
Synapse Credential User

Synapse RBAC-bereiken en hun ondersteunde rollen

De onderstaande tabel bevat Synapse RBAC-bereiken en de rollen die voor elk bereik kunnen worden toegewezen.

Notitie

Als u een object wilt maken of verwijderen, moet u machtigingen hebben voor een bereik op een hoger niveau.

Bereik Rollen
Werkplek Synapse-beheerder
Synapse Apache Spark-beheerder
Synapse SQL-beheerder
Synapse-inzender
Synapse Artifact Publisher
Synapse Artifact User
Synapse Compute Operator
Synapse Monitoring Operator
Synapse Credential User
Synapse Linked Data Manager
Synapse User
Apache Spark-pool Synapse-beheerder
Synapse-inzender
Synapse Compute-operator
Integration Runtime Synapse-beheerder
Synapse-inzender
Synapse Compute-operator
Gekoppelde service Synapse-beheerder
Synapse Credential User
Referentie Synapse-beheerder
Synapse Credential User

Notitie

Alle artefactrollen en -acties zijn gericht op werkruimteniveau.

Volgende stappen