Entender as funções necessárias para executar tarefas comuns no Azure Synapse
Este artigo ajuda a entender quais funções RBAC (controle de acesso baseado em função) do Synapse ou funções RBAC do Azure são necessárias para realizar o trabalho no Synapse Studio. Para gerenciar a associação de função, confira Gerenciar atribuições de função RBAC do Azure Synapse.
Resumo de fluxo de trabalho e controle de acesso do Synapse Studio
Acessar o Synapse Studio
É possível abrir o Synapse Studio, exibir os detalhes do workspace e listar qualquer um de seus recursos do Azure, como pools de SQL, pools do Spark ou runtimes de Integração. Você verá se alguma função RBAC do Synapse foi atribuída a você ou se tem a função Proprietário, Colaborador ou Leitor do Azure no workspace.
Gerenciamento de recursos
Você pode criar pools de SQL, pools do Data Explorer e pools do Apache Spark se for um Proprietário ou Colaborador do Azure no grupo de recursos. Você pode criar um Runtime de Integração se for um Proprietário ou Colaborador do Azure no espaço de trabalho. Ao usar modelos do ARM para implantação automatizada, você precisa ser um Colaborador do Azure no grupo de recursos.
Você poderá pausar ou dimensionar um pool de SQL dedicado, configurar um pool do Spark ou um runtime de integração se for um Proprietário ou um Colaborador do Azure no workspace ou do recurso.
Exibir e editar artefatos de código
Com o acesso ao Synapse Studio, é possível criar artefatos de código, como scripts SQL, scripts KQL, notebooks, trabalhos do Spark, serviços vinculados, pipelines, fluxos de dados, gatilhos e credenciais. Esses artefatos podem ser publicados ou salvos com permissões adicionais.
Um Usuário de artefatos Synapse, Publicador de artefatos Synapse, Colaborador de Synapse ou Administrador de Synapse, poderá listar, abrir e editar os artefatos de código já publicados, incluindo os pipelines agendados.
Executar seu código
É possível executar scripts SQL em pools SQL se tiver as permissões SQL necessárias definidas nos pools do SQL. Você poderá executar scripts KQL em pools do Data Explorer se tiver as permissões necessárias.
É possível executar notebooks e trabalhos do Spark se tiver permissões de operador de computação Synapse no espaço de trabalho ou em pools do Apache Spark específicos.
Com as permissões de operador de computação no espaço de trabalho ou em tempos de execução de integração específicos, e permissões de credencial apropriadas, é possível executar pipelines.
Monitorar e gerenciar a execução
É possível examinar o status de execução de notebooks e trabalhos em pools do Apache Spark se for um usuário Synapse.
É possível examinar os logs e cancelar a execução de trabalhos e pipelines se for um operador de computação Synapse no espaço de trabalho ou para um pool ou pipeline do Spark específico.
Depurar pipelines
Você pode examinar e fazer alterações em pipelines como Usuário do Azure Synapse, mas se quiser depurá-los, também precisará ter o Usuário de Credenciais do Azure Synapse.
Publicar e salvar seu código
É possível publicar artefatos de código novos ou atualizados para o serviço se for um editor de artefatos Synapse, colaborador de Synapse ou administrador Synapse.
É possível confirmar artefatos de código para um branch de trabalho de um repositório Git se o espaço de trabalho estiver habilitado para Git e tiver permissões de Git. Com o Git habilitado, a publicação só é permitida a partir da ramificação de colaboração.
Quando o Synapse Studio é fechado sem publicar ou confirmar alterações em artefatos de código, essas alterações serão perdidas.
Tarefas e funções necessárias
A tabela a seguir lista tarefas comuns e para cada tarefa, as funções RBAC Synapse ou RBAC do Azure necessárias.
Observação
O administrador do Synapse não está listado para cada tarefa, a menos que seja a única função que fornece a permissão necessária. Um administrador do Synapse pode executar todas as tarefas habilitadas por outras funções de RBAC do Synapse.
Observação
Os usuários convidados de outro locatário também podem revisar, adicionar ou alterar as atribuições de função, contanto que tenham sido atribuídos como Administrador de Synapse.
A função de RBAC Synapse mínima necessária é mostrada.
Todas as funções RBAC Synapse em qualquer escopo fornecem permissões de usuário Synapse no espaço de trabalho.
Todas as permissões/ações RBAC Synapse mostradas na tabela são prefixadas com Microsoft/Synapse/workspaces/....
| Tarefa (desejo...) | Função (preciso ser...) | Permissão/ação de RBAC Synapse |
|---|---|---|
| Abrir o Synapse Studio em um espaço de trabalho | Usuário do Azure Synapse ou | read |
| Proprietário, colaborador ou leitor do Azure no espaço de trabalho | nenhum | |
| Listar pools de SQL, pools do Data Explorer, pools do Apache Spark, tempos de execução de integração e acessar detalhes de configuração | Usuário do Azure Synapse ou | read |
| Proprietário, colaborador ou leitor do Azure no espaço de trabalho | nenhum | |
| Listar serviços ou credenciais vinculados ou endpoints privados gerenciados | Usuário do Azure Synapse | ler |
| POOLS de SQL | ||
| Criar um pool SQL dedicado ou um pool SQL sem servidor | Proprietário ou Colaborador do Azure no grupo de recursos | nenhum |
| Gerenciar (pausar, dimensionar ou excluir) um pool SQL dedicado | Proprietário ou colaborador do Azure no espaço de trabalho ou no pool SQL | nenhum |
| Criar um script SQL |
Usuário do Synapse ou Proprietário ou Colaborador do Azure no espaço de trabalho. Permissões SQL adicionais são necessárias para executar um script SQL, publicar ou confirmar alterações. |
|
| Listar e abrir qualquer script SQL publicado | Usuário de Artefato da Synapse ou Editor de Artefato, ou Contribuidor da Synapse | artefatos/leitura |
| Executar um script SQL em um pool de SQL sem servidor | Permissões SQL no pool (concedidas automaticamente a um administrador do Synapse) | nenhum |
| Executar um script SQL em um pool de SQL dedicado | Permissões SQL no pool (concedidas automaticamente a um administrador do Synapse) | nenhum |
| Publicar um script SQL novo, atualizado ou excluído | Publicador de artefatos ou Colaborador do Synapse | sqlScripts/write, delete |
| Confirmar alterações em um script SQL para o repositório Git | Requer permissões Git no repositório | |
| Atribuir um administrador no Active Directory no espaço de trabalho (por meio de propriedades do espaço de trabalho no portal do Azure) | Proprietário ou colaborador do Azure no espaço de trabalho | |
| POOLS DO DATA EXPLORER | ||
| Criar um pool do Data Explorer | Proprietário ou Colaborador do Azure no grupo de recursos | nenhum |
| Gerenciar (pausar, dimensionar ou excluir) um pool do Data Explorer | Proprietário ou contribuidor do Azure no espaço de trabalho ou no pool do Data Explorer | nenhum |
| Criar um script KQL |
Usuário do Azure Synapse. Permissões adicionais do Data Explorer são necessárias para executar um script, publicar ou confirmar alterações. |
|
| Listar e abrir qualquer script KQL publicado | Usuário de Artefato da Synapse ou Editor de Artefato, ou Contribuidor da Synapse | artefatos/leitura |
| Executar um script KQL em um pool do Data Explorer | Permissões do Data Explorer no pool (concedidas automaticamente a um administrador do Synapse) | nenhum |
| Publicar novo, atualizar ou excluir script KQL | Publicador de artefatos ou Colaborador do Synapse | kqlScripts/write, delete |
| Confirmar alterações a um script KQL no repositório Git | Requer permissões Git no repositório | |
| POOLS DO APACHE SPARK | ||
| Criar um Pool do Apache Spark | Proprietário ou Colaborador do Azure no grupo de recursos | |
| Monitorar aplicativos Apache Spark | Usuário do Azure Synapse | ler |
| Exibir os logs para execução de notebook e trabalho completos | Operador de monitoramento do Synapse | |
| Cancelar qualquer trabalho de notebook ou Spark em execução em um pool do Apache Spark | Operador de computação do Synapse no pool do Apache Spark. | bigDataPools/useCompute |
| Criar um notebook ou uma definição de trabalho | Usuário do Synapse ou Proprietário, Colaborador ou Leitor do Azure no espaço de trabalho Permissões adicionais são necessárias para executar, publicar ou confirmar alterações |
read |
| Listar e abrir um notebook ou uma definição de trabalho publicados, incluindo revisão de saídas salvas | Usuário de Artefato Synapse ou Operador de Monitoramento Synapse no espaço de trabalho | artefatos/leitura |
| Executar um notebook e examinar sua saída ou enviar um trabalho do Spark | Administrador Synapse Apache Spark ou Operador Synapse Compute no pool Apache Spark selecionado | bigDataPools/useCompute |
| Publicar ou excluir um notebook ou uma definição de trabalho (incluindo saída) para o serviço | Publicador de artefatos no espaço de trabalho ou administrador do Synapse Apache Spark | notebooks/write, delete |
| Confirmar alterações em um notebook ou definição de trabalho para o repositório Git | Permissões do Git | nenhum |
| PIPELINES, TEMPOS DE EXECUÇÃO DE INTEGRAÇÃO, FLUXOS DE DADOS, CONJUNTOS DE DADOS E GATILHOS | ||
| Criar, atualizar ou excluir um runtime de integração | Proprietário ou colaborador do Azure no espaço de trabalho | |
| Monitorar o status do runtime de integração | Operador de monitoramento do Synapse | leitura, integrationRuntimes/viewLogs |
| Examinar o pipeline | Operador de monitoramento do Synapse | read, pipelines/viewOutputs |
| Criar um pipeline | Usuário do Synapse Permissões adicionais do Synapse são necessárias para depurar, adicionar gatilhos, publicar ou confirmar alterações |
ler |
| Criar um fluxo de dados ou conjunto de dados | Usuário do Synapse Permissões adicionais do Synapse são necessárias para publicar ou confirmar alterações |
ler |
| Listar e abrir um pipeline publicado | Usuário de artefato do Synapse ou operador de monitoramento do Synapse | artefatos/leitura |
| Visualizar dados de um conjunto de dados | Usuário Synapse e Credencial de usuário Synapse no WorkspaceSystemIdentity | |
| Depurar um pipeline usando o runtime de integração padrão | Usuário do Synapse e usuário da credencial do Synapse na credencial WorkspaceSystemIdentity | read, credentials/useSecret |
| Criar um gatilho, incluindo o gatilho Now (requer permissão para executar o Pipeline) | Usuário Synapse e Credencial de usuário Synapse no WorkspaceSystemIdentity | read, credentials/useSecret/action |
| Executar um pipeline | Usuário Synapse e Credencial de usuário Synapse no WorkspaceSystemIdentity | read, credentials/useSecret/action |
| Copiar dados usando a ferramenta Copiar Dados | Usuário do Synapse e usuário da credencial do Synapse na identidade do sistema do espaço de trabalho | read, credentials/useSecret/action |
| Ingerir dados (usando um agendamento) | Autor do Synapse e usuário da credencial do Synapse na identidade do sistema do espaço de trabalho | read, credentials/useSecret/action |
| Publicar um pipeline novo, atualizado ou excluído, fluxo de dados ou gatilho para o serviço | Publicador de artefatos do Synapse no espaço de trabalho | pipelines/write, delete dataflows/write, delete triggers/write, delete |
| Confirmar alterações em pipelines, fluxos de dados, conjuntos de dados ou gatilhos para o repositório Git | Permissões do Git | nenhum |
| SERVIÇOS VINCULADOS | ||
| Criar um serviço vinculado (inclui atribuir uma credencial) | Usuário do Synapse Permissões adicionais são necessárias para usar um serviço vinculado com credenciais ou para publicar ou confirmar alterações |
ler |
| Listar e abrir um serviço vinculado publicado | Usuário de Artefato do Azure Synapse | linkedServices/write, delete |
| Testar a conexão em um serviço vinculado protegido por uma credencial | Usuário do Synapse e usuário da credencial do Synapse | credentials/useSecret/action |
| Publicar um serviço vinculado | Editor de artefatos Synapse ou Gerenciador de Dados vinculados Synapse | linkedServices/write, delete |
| Confirmar definições de serviço vinculado para o repositório Git | Permissões do Git | nenhum |
| GERENCIAMENTO DE ACESSO | ||
| Examinar as atribuições de função RBAC do Azure Synapse | Usuário do Azure Synapse | ler |
| Atribuir e remover atribuições de função RBAC Synapse para usuários, grupos e entidades de serviço | Administrador do Synapse no espaço de trabalho ou em um escopo de item de espaço de trabalho específico | roleAssignments/write, delete |