Role RBAC w usłudze Synapse
W tym artykule opisano wbudowane role kontroli dostępu opartej na rolach (kontrola dostępu oparta na rolach), uprawnienia, które udzielają, oraz zakresy, w których mogą być używane.
Aby uzyskać więcej informacji na temat przeglądania i przypisywania członkostw roli w usłudze Synapse, sprawdź jak przeglądać przypisania ról RBAC w usłudze Synapse i jak przypisywać role RBAC w usłudze Synapse.
Wbudowane role i zakresy kontroli dostępu opartej na rolach usługi Synapse
W poniższej tabeli opisano wbudowane role i zakresy, w których można ich używać.
Uwaga
Użytkownicy z dowolną rolą RBAC usługi Synapse w dowolnym zakresie automatycznie mają rolę użytkownika usługi Synapse w zakresie obszaru roboczego.
Ważne
Role RBAC usługi Synapse nie udzielają uprawnień do tworzenia pul SQL, pul platformy Apache Spark i środowisk Integration Runtime w obszarach roboczych usługi Azure Synapse ani zarządzania nimi. Role Właściciel platformy Azure lub Współautor platformy Azure w grupie zasobów są wymagane dla tych akcji.
| Rola | Uprawnienia | Zakresy |
|---|---|---|
| Administrator Synapse | Pełny dostęp usługi Synapse do bezserwerowych i dedykowanych pul SQL, pul eksploratora danych, pul platformy Apache Spark i środowisk Integration Runtime. Obejmuje tworzenie, odczytywanie, aktualizowanie i usuwanie dostępu do wszystkich opublikowanych artefaktów kodu. Obejmuje uprawnienia operatora obliczeniowego, połączonego menedżera danych i użytkownika poświadczeń w poświadczeniu tożsamości systemu obszaru roboczego. Obejmuje przypisywanie ról RBAC usługi Synapse. Oprócz administratora usługi Synapse właściciele platformy Azure mogą również przypisywać role RBAC usługi Synapse. Uprawnienia platformy Azure są wymagane do tworzenia, usuwania zasobów obliczeniowych i zarządzania nimi. Role RBAC usługi Synapse można przypisać nawet wtedy, gdy skojarzona subskrypcja jest wyłączona. Może odczytywać i zapisywać artefakty Mogą wykonywać wszystkie akcje w działaniach platformy Spark. Może wyświetlać dzienniki puli platformy Spark Może wyświetlać zapisane dane wyjściowe notesu i potoku Może używać wpisów tajnych przechowywanych przez połączone usługi lub poświadczenia Mogą przypisywać i odwoływać role RBAC usługi Synapse w bieżącym zakresie |
Pula platformy Spark obszaru roboczego Poświadczenia połączonej usługi środowiska Integration Runtime |
| Synapse Apache Spark Administrator |
Pełny dostęp usługi Synapse do pul platformy Apache Spark. Tworzenie, odczytywanie, aktualizowanie i usuwanie dostępu do opublikowanych definicji zadań platformy Spark, notesów i ich danych wyjściowych oraz bibliotek, połączonych usług i poświadczeń. Obejmuje dostęp do odczytu do wszystkich innych opublikowanych artefaktów kodu. Nie obejmuje uprawnień do używania poświadczeń i uruchamiania potoków. Nie obejmuje udzielania dostępu. Może wykonywać wszystkie akcje dotyczące artefaktów platformy Spark Może wykonywać wszystkie akcje w działaniach platformy Spark |
Pula platformy Spark obszaru roboczego |
| Synapse SQL Administrator | Pełny dostęp usługi Synapse do bezserwerowych pul SQL. Tworzenie, odczytywanie, aktualizowanie i usuwanie dostępu do opublikowanych skryptów SQL, poświadczeń i połączonych usług. Obejmuje dostęp do odczytu do wszystkich innych opublikowanych artefaktów kodu. Nie obejmuje uprawnień do używania poświadczeń i uruchamiania potoków. Nie obejmuje udzielania dostępu. Może wykonywać wszystkie akcje dotyczące skryptów SQL Może łączyć się z punktami końcowymi bezserwerowymi SQL przy użyciu uprawnień SQL db_datareader, db_datawriter, connecti grant |
Obszar roboczy |
| Współautor usługi Synapse | Pełny dostęp usługi Synapse do pul platformy Apache Spark i środowisk Integration Runtime. Obejmuje dostęp do tworzenia, odczytu, aktualizowania i usuwania wszystkich opublikowanych artefaktów kodu oraz ich danych wyjściowych, w tym zaplanowanych potoków, poświadczeń i połączonych usług. Obejmuje uprawnienia operatora obliczeniowego. Nie obejmuje uprawnień do używania poświadczeń i uruchamiania potoków. Nie obejmuje udzielania dostępu. Może odczytywać i zapisywać artefakty Mogą wyświetlać zapisane notesy i dane wyjściowe potoku Może wykonywać wszystkie akcje w działaniach platformy Spark Może wyświetlać dzienniki puli platformy Spark |
Pula platformy Spark obszaru roboczego Integration Runtime (Produkt Integration Runtime) |
| Wydawca artefaktów usługi Synapse | Tworzenie, odczytywanie, aktualizowanie i usuwanie dostępu do opublikowanych artefaktów kodu i ich danych wyjściowych, w tym zaplanowanych potoków. Nie obejmuje uprawnień do uruchamiania kodu lub potoków ani udzielania dostępu. Może odczytywać opublikowane artefakty i publikować artefakty Mogą wyświetlać zapisany notes, zadanie platformy Spark i dane wyjściowe potoku |
Obszar roboczy |
| Użytkownik artefaktu usługi Synapse | Odczyt dostępu do opublikowanych artefaktów kodu i ich danych wyjściowych. Może tworzyć nowe artefakty, ale nie może publikować zmian ani uruchamiać kodu bez większej liczby uprawnień. | Obszar roboczy |
| Synapse Compute Operator | Przesyłanie zadań i notesów platformy Spark oraz wyświetlanie dzienników. Obejmuje anulowanie zadań platformy Spark przesłanych przez dowolnego użytkownika. Wymaga innych uprawnień poświadczeń w tożsamości systemu obszaru roboczego do uruchamiania potoków, wyświetlania przebiegów potoków i danych wyjściowych. Może przesyłać i anulować zadania, w tym zadania przesłane przez inne osoby mogą wyświetlać dzienniki puli platformy Spark |
Środowisko Integration Runtime puli Spark obszaru roboczego |
| Operator monitorowania usługi Synapse | Odczytywanie opublikowanych artefaktów kodu, w tym dzienników i danych wyjściowych dla przebiegów potoków i ukończonych notesów. Obejmuje możliwość wyświetlania i wyświetlania szczegółów pul platformy Apache Spark, pul eksploratora danych i środowisk Integration Runtime. Wymaga innych uprawnień do uruchamiania/anulowania potoków, notesów platformy Spark i zadań platformy Spark. | Obszar roboczy |
| Użytkownik poświadczeń usługi Synapse | Czas wykonywania i czas konfiguracji użycia wpisów tajnych w ramach poświadczeń i połączonych usług w działaniach, takich jak uruchomienia potoku. Aby uruchamiać potoki, ta rola jest wymagana w zakresie tożsamości systemu obszaru roboczego. W zakresie poświadczeń zezwala na dostęp do danych za pośrednictwem połączonej usługi chronionej przy użyciu poświadczeń (może również wymagać uprawnienia do użycia obliczeniowego) Umożliwia wykonywanie potoków chronionych przez poświadczenia tożsamości systemu obszaru roboczego |
Poświadczenia połączonej usługi obszaru roboczego |
| Menedżer połączonych danych usługi Synapse | Tworzenie zarządzanych prywatnych punktów końcowych, połączonych usług i poświadczeń oraz zarządzanie nimi. Może tworzyć zarządzane prywatne punkty końcowe korzystające z połączonych usług chronionych przez poświadczenia | Obszar roboczy |
| Użytkownik usługi Synapse | Wyświetlanie i wyświetlanie szczegółów pul SQL, pul platformy Apache Spark, środowisk Integration Runtime oraz opublikowanych połączonych usług i poświadczeń. Nie zawiera innych opublikowanych artefaktów kodu. Może tworzyć nowe artefakty, ale nie może uruchamiać ani publikować bez większej liczby uprawnień. Może wyświetlać listę i odczytywać pule platformy Spark, środowiska Integration Runtime. |
Obszar roboczy, połączona usługa puli Platformy Spark — poświadczenia |
Role RBAC usługi Synapse i akcje, na które zezwalają
Uwaga
- Wszystkie akcje wymienione w poniższych tabelach mają prefiks "Microsoft.Synapse/..."
- Wszystkie akcje odczytu, zapisu i usuwania artefaktów są zgodne z opublikowanymi artefaktami w usłudze na żywo. Te uprawnienia nie mają wpływu na dostęp do artefaktów w połączonym repozytorium Git.
W poniższej tabeli wymieniono wbudowane role oraz akcje/uprawnienia, które obsługują poszczególne funkcje.
| Rola | Akcje |
|---|---|
| Administrator Synapse | workspaces/read workspaces/roleAssignments/write, usuwanie obszarów roboczych/managedPrivateEndpoint/write, usuwanie obszarów roboczych/bigDataPool/useCompute/action workspaces/bigDataPool/viewLogs/action workspaces/scopePool/useCompute/action workspaces/scopePool/viewLogs/action workspaces/integrationRuntime/useCompute/ action workspaces/integrationRuntime/viewLogs/action workspaces/artifacts/read workspaces/notebooks/write workspaces/sparkJobDefinitions/write, delete workspaces/scopeJobDefinitions/write, delete workspaces/sqlScripts/write, delete workspaces/dataFlows/write, delete workspaces/dataMappers/write, delete workspaces/pipelines/write, delete workspaces/triggers/write, delete workspaces/datasets/write, delete workspaces/linkedServices/write, delete workspaces/credentials/write, delete workspaces/notebooks/ usuwanie obszarów roboczych/cancelPipelineRun/action workspaces/notebooksViewOutputs/ action workspaces/pipelinesViewOutputs/action workspaces/linkedServicesUseSecret/action workspaces/credentialsUseSecret/action workspaces/libraries/write, usuwanie obszarów roboczych/kQLScripts/write, usuwanie obszarów roboczych/sparkConfigurations/write, usuwanie obszarów roboczych/synapseLinkConnections/read, write, delete workspaces/synapseLinkConnections/ useCompute/action |
| Synapse Apache Spark Administrator | workspaces/read orkspaces/bigDataPoolUseCompute/action orkspaces/bigDataPoolViewLogs/action orkspaces/artifacts/read orkspaces/notebooks/write, delete orkspaces/sparkJobDefinitions/write, delete orkspaces/linkedServices/write, delete orkspaces/credentials/write, delete orkspaces/libraries/write, delete orkspaces/notebooksViewOutputs/action |
| Synapse SQL Administrator | workspaces/read workspaces/artifacts/read workspaces/sqlScripts/write, delete workspaces/linkedServices/write, delete workspaces/credentials/write, delete workspaces/credentials/write, delete |
| Administrator zakresu usługi Synapse | workspaces/read workspaces/scopePoolUseCompute/action workspaces/scopePoolViewLogs/action workspaces/linkedServices/write, delete workspaces/credentials/write, delete workspaces/scopeJobDefinitions/write, delete workspaces/scopeJobDefinitions/write |
| Synapse Private Endpoint Manager | workspaces/read workspaces/managedPrivateEndpoint/write, delete workspaces/linkedServices/write, delete workspaces/credentials/write, delete workspaces/credentials/write |
| Współautor usługi Synapse | workspaces/read workspaces/bigDataPool/useCompute/action workspaces/bigDataPool/viewLogs/action workspaces/scopePool/useCompute/action workspaces/scopePool/viewLogs/action workspaces/integrationRuntime/useCompute/action workspaces/integrationRuntime/viewLogs/action workspaces/artifacts/read workspaces/notebooks/write, usuwanie obszarów roboczych/sparkJobDefinitions/write, usuwanie obszarów roboczych/sqlScripts/write, usuwanie workspaces/dataFlows/write, delete workspaces/dataMappers/write, delete workspaces/pipelines/write, delete workspaces/triggers/write, delete workspaces/datasets/write, delete Workspaces/linkedServices/write, delete workspaces/credentials/write, delete workspaces/cancelPipelineRun/action workspaces/notebooksViewOutputs/action workspaces/pipelinesViewOutputs/action workspaces/action Workspaces/libraries, delete , delete workspaces/kQLScripts/write, delete workspaces/sparkConfigurations/write, delete workspaces/synapseLinkConnections/read,write, delete workspaces/synapseLinkConnections/useComputeAction |
| Wydawca artefaktów usługi Synapse | workspaces/read workspaces/artifacts/read workspaces/notebooks/write, usuń obszary robocze/sparkJobDefinitions/write, usuń obszary robocze/scopeJobDefinitions/write, usuń obszary robocze/sqlScripts/write, usuń obszary robocze/przepływy danych/zapis, usuń obszary robocze/dataMappers/zapis, usuń obszary robocze/potoki/zapis, usuń obszary robocze/wyzwalacze/zapis, usuń obszary robocze/zestawy danych/zapis, usuń obszary robocze/połączoneUsługi/zapis, usuwanie obszarów roboczych/poświadczeń/zapisu, usuwanie obszarów roboczych/notebooksViewOutputs/ action workspaces/pipelinesViewOutputs/action workspaces/libraries/write, usuwanie obszarów roboczych/kQLScripts/write, usuwanie obszarów roboczych/sparkConfigurations/write, usuwanie obszarów roboczych/sparkConfigurations/write |
| Użytkownik artefaktu usługi Synapse | workspaces/read workspaces/artifacts/read workspaces/notebooks/viewOutputs/action workspaces/pipelines/viewOutputs/action |
| Synapse Compute Operator | workspaces/read workspaces/bigDataPools/useCompute/action workspaces/bigDataPools/viewLogs/action workspaces/scopePool/useCompute/action workspaces/scopePool/viewLogs/action workspaces/integrationRuntimes/useCompute/action workspaces/integrationRuntimes/viewLogs/action workspaces/cancelPipelineRun/action workspaces/linkConnections/read Workspaces/useCompute /action |
| Operator monitorowania usługi Synapse | workspaces/read workspaces/artifacts/read workspaces/notebooks/viewOutputs/action workspaces/pipelines/viewOutputs/action workspaces/integrationRuntimes/viewLogs/action workspaces/bigDataPools/viewLogs/action |
| Użytkownik poświadczeń usługi Synapse | workspaces/read workspaces/linkedServices/useSecret/action workspaces/credentials/useSecret/action |
| Menedżer połączonych danych usługi Synapse | workspaces/read workspaces/managedPrivateEndpoint/write, delete workspaces/linkedServices/write, delete workspaces/credentials/write, delete workspaces/credentials/write |
| Użytkownik usługi Synapse | obszary robocze/odczyt |
Akcje RBAC usługi Synapse i role, które je zezwalają
W poniższej tabeli wymieniono akcje usługi Synapse i wbudowane role, które zezwalają na te akcje:
| Akcja | Rola |
|---|---|
| obszary robocze/odczyt | Administrator usługi Synapse Apache Spark Administrator synapse SQL Administrator synapse Współautor synapse Artifact Publisher Synapse Artifact User Synapse Compute Operator Synapse Operator monitorowania synapse User Synapse Credential User Synapse Linked Data Manager Synapse User Synapse Synapse User |
| workspaces/roleAssignments/write, delete | Administrator Synapse |
| workspaces/managedPrivateEndpoint/write, delete | Menedżer połączonych danych usługi Synapse Administrator usługi Synapse |
| workspaces/bigDataPools/useCompute/action | Administrator usługi Synapse Apache Spark Administrator synapse — współautor synapse — operator monitorowania synapse compute |
| workspaces/bigDataPools/viewLogs/action | Administrator usługi Synapse Apache Spark Administrator synapse — współautor usługi Synapse — operator obliczeniowy |
| workspaces/integrationRuntimes/useCompute/action | Operator monitorowania synapse administrator usługi Synapse — współautor usługi Synapse Compute — operator monitorowania usługi Synapse |
| workspaces/integrationRuntimes/viewLogs/action | Operator monitorowania synapse administrator usługi Synapse — współautor usługi Synapse Compute — operator monitorowania usługi Synapse |
| workspaces/linkConnections/read | Administrator usługi Synapse — współautor usługi Synapse — operator obliczeniowy |
| workspaces/linkConnections/useCompute/action | Administrator usługi Synapse — współautor usługi Synapse — operator obliczeniowy |
| obszary robocze/artefakty/odczyt | Administrator usługi Synapse Apache Spark Administrator usługi Synapse SQL Administrator usługi Synapse — współautor artefaktu synapse — wydawca artefaktu synapse — użytkownik |
| obszary robocze/notesy/zapis, usuwanie | Administrator usługi Synapse Apache Spark Administrator usługi Synapse — współautor artefaktu usługi Synapse |
| workspaces/sparkJobDefinitions/write, delete | Administrator usługi Synapse Apache Spark Administrator usługi Synapse — współautor artefaktu usługi Synapse |
| workspaces/sqlScripts/write, delete | Administrator usługi Synapse SQL Administrator usługi Synapse — współautor usługi Synapse Artifact Publisher |
| workspaces/kqlScripts/write, delete | Administrator usługi Synapse — współautor usługi Synapse Artifact Publisher |
| workspaces/dataFlows/write, delete | Administrator usługi Synapse — współautor usługi Synapse Artifact Publisher |
| obszary robocze/potoki/zapis, usuwanie | Administrator usługi Synapse — współautor usługi Synapse Artifact Publisher |
| workspaces/linkConnections/write, delete | Współautor usługi Synapse Administrator usługi Synapse |
| obszary robocze/wyzwalacze/zapis, usuwanie | Administrator usługi Synapse — współautor usługi Synapse Artifact Publisher |
| obszary robocze/zestawy danych/zapis, usuwanie | Administrator usługi Synapse — współautor usługi Synapse Artifact Publisher |
| obszary robocze/biblioteki/zapis, usuwanie | Administrator usługi Synapse Apache Spark Administrator usługi Synapse — współautor artefaktu usługi Synapse |
| workspaces/linkedServices/write, delete | Administrator usługi Synapse Apache Spark Administrator usługi Synapse SQL Administrator usługi Synapse — współautor artefaktu usługi Synapse Synapse Linked Data Manager |
| workspaces/credentials/write, delete | Administrator usługi Synapse Apache Spark Administrator usługi Synapse SQL Administrator usługi Synapse — współautor artefaktu usługi Synapse Synapse Linked Data Manager |
| workspaces/notebooks/viewOutputs/action | Administrator usługi Synapse Apache Spark Administrator synapse — współautor artefaktu usługi Synapse — użytkownik artefaktu usługi Synapse |
| workspaces/pipelines/viewOutputs/action | Administrator usługi Synapse — współautor synapse artifact Publisher Synapse Artifact User |
| workspaces/linkedServices/useSecret/action | Użytkownik poświadczeń usługi Synapse Administrator usługi Synapse |
| workspaces/credentials/useSecret/action | Użytkownik poświadczeń usługi Synapse Administrator usługi Synapse |
Zakresy RBAC usługi Synapse i ich obsługiwane role
W poniższej tabeli wymieniono zakresy RBAC usługi Synapse i role, które można przypisać w każdym zakresie.
Uwaga
Aby utworzyć lub usunąć obiekt, musisz mieć uprawnienia w zakresie wyższego poziomu.
| Scope | Role |
|---|---|
| Obszar roboczy | Administrator usługi Synapse Apache Spark Administrator synapse SQL Administrator synapse Współautor synapse Artifact Publisher Synapse Artifact User Synapse Compute Operator Synapse Operator monitorowania synapse User Synapse Credential User Synapse Linked Data Manager Synapse User Synapse Synapse User |
| Pula platformy Apache Spark | Administrator usługi Synapse — współautor usługi Synapse — operator obliczeniowy |
| Integration Runtime (Produkt Integration Runtime) | Administrator usługi Synapse — współautor usługi Synapse — operator obliczeniowy |
| Połączona usługa | Użytkownik poświadczeń usługi Synapse Administrator usługi Synapse |
| Referencje | Użytkownik poświadczeń usługi Synapse Administrator usługi Synapse |
Uwaga
Wszystkie role artefaktów i akcje są ograniczone na poziomie obszaru roboczego.
Następne kroki
- Dowiedz się , jak przeglądać przypisania ról RBAC usługi Synapse dla obszaru roboczego.
- Dowiedz się , jak przypisać role RBAC usługi Synapse