Synapse RBAC Funções
O artigo descreve as funções internas Synapse RBAC (controle de acesso baseado em função), as permissões que elas concedem e os escopos nos quais elas podem ser usadas.
Para obter mais informações sobre como revisar e atribuir associações de função Synapse, consulte como revisar atribuições de função Synapse RBAC e como atribuir funções Synapse RBAC.
Funções e escopos RBAC Synapse integrados
A tabela a seguir descreve as funções internas e os escopos nos quais elas podem ser usadas.
Nota
Os usuários com qualquer função Synapse RBAC em qualquer escopo têm automaticamente a função Synapse User no escopo do espaço de trabalho.
Importante
As funções Synapse RBAC não concedem permissões para criar ou gerenciar pools SQL, pools Apache Spark e tempos de execução de integração em espaços de trabalho do Azure Synapse. As funções de Proprietário do Azure ou Colaborador do Azure no grupo de recursos são necessárias para essas ações.
| Função | Permissões | Âmbitos |
|---|---|---|
| Administrador do Synapse | Acesso Synapse completo a pools SQL dedicados e sem servidor, pools do Data Explorer, pools do Apache Spark e tempos de execução de integração. Inclui criar, ler, atualizar e excluir acesso a todos os artefatos de código publicados. Inclui as permissões Operador de Computação, Gerenciador de Dados Vinculados e Usuário de Credencial na credencial de identidade do sistema de espaço de trabalho. Inclui a atribuição de funções Synapse RBAC. Além do Synapse Administrator, os Proprietários do Azure também podem atribuir funções Synapse RBAC. As permissões do Azure são necessárias para criar, excluir e gerenciar recursos de computação. As funções Synapse RBAC podem ser atribuídas mesmo quando a assinatura associada está desativada.Pode ler e escrever artefatos Pode fazer todas as ações nas atividades do Spark. Pode visualizar os logs do pool do Spark Pode visualizar a saída salva do bloco de anotações e do pipeline Pode usar os segredos armazenados por serviços vinculados ou credenciaisPode atribuir e revogar funções Synapse RBAC no escopo atual | Espaço de trabalho Piscina de faíscas Credencial de serviçovinculado de tempo de execução de integração |
| Synapse Apache Spark Administrador | Acesso Synapse completo ao Apache Spark Pools. Crie, leia, atualize e exclua o acesso a definições de trabalho do Spark publicadas, blocos de anotações e suas saídas, bem como a bibliotecas, serviços vinculados e credenciais. Inclui acesso de leitura a todos os outros artefatos de código publicados. Não inclui permissão para usar credenciais e executar pipelines. Não inclui a concessão de acesso. Pode fazer todas as ações em artefatosdo Spark Pode fazer todas as ações nas atividades do Spark | Espaço de trabalhoPiscina de faíscas |
| Synapse Administrador SQL | Acesso Synapse completo a pools SQL sem servidor. Crie, leia, atualize e exclua o acesso a scripts SQL, credenciais e serviços vinculados publicados. Inclui acesso de leitura a todos os outros artefatos de código publicados. Não inclui permissão para usar credenciais e executar pipelines. Não inclui a concessão de acesso. Pode executar todas as ações em scripts SQL Pode se conectar a pontos de extremidade sem servidor SQL com SQL db_datareader, db_datawriter, connect, e grant permissões |
Área de trabalho |
| Contribuidor Synapse | Acesso Synapse completo a pools do Apache Spark e tempos de execução de integração. Inclui criar, ler, atualizar e excluir acesso a todos os artefatos de código publicados e suas saídas, incluindo pipelines agendados, credenciais e serviços vinculados. Inclui permissões de operador de computação. Não inclui permissão para usar credenciais e executar pipelines. Não inclui a concessão de acesso. É capaz de ler e escrever artefactosPode visualizar a saídasalva do bloco de anotações e do pipeline Pode fazer todas as ações nas atividadesdo Spark Pode visualizar os logs do pool do Spark | Espaço de trabalho Piscina de faíscas Integration runtime (Runtime de integração) |
| Editora Synapse Artifact | Crie, leia, atualize e exclua o acesso a artefatos de código publicados e suas saídas, incluindo pipelines agendados. Não inclui permissão para executar código ou pipelines, ou para conceder acesso. Pode ler artefatos publicados e publicar artefatosPode visualizar o bloco de anotações salvo, o trabalho do Spark e a saída do pipeline | Área de trabalho |
| Usuário do Artefato Sinapse | Acesso de leitura a artefatos de código publicados e suas saídas. Pode criar novos artefatos, mas não pode publicar alterações ou executar código sem permissões adicionais. | Área de trabalho |
| Operador de computação sinapse | Envie trabalhos e blocos de anotações do Spark e visualize logs. Inclui o cancelamento de trabalhos do Spark enviados por qualquer usuário. Requer permissões adicionais de credenciais de uso na identidade do sistema de espaço de trabalho para executar pipelines, exibir execuções e saídas de pipeline. Pode enviar e cancelar trabalhos, incluindo trabalhos enviados por outras pessoasPode visualizar os logs do pool do Spark | Espaço de trabalhoTempo de execução da integração do poolSpark |
| Operador de Monitoramento Sinapse | Leia artefatos de código publicados, incluindo logs e saídas para execuções de pipeline e blocos de anotações concluídos. Inclui a capacidade de listar e visualizar detalhes de pools do Apache Spark, pools do Data Explorer e tempos de execução de integração. Requer permissões adicionais para executar/cancelar pipelines, blocos de anotações do Spark e trabalhos do Spark. | Área de trabalho |
| Usuário de credenciais Synapse | Tempo de execução e uso em tempo de configuração de segredos dentro de credenciais e serviços vinculados em atividades como execuções de pipeline. Para executar pipelines, essa função é necessária, com escopo para a identidade do sistema de espaço de trabalho. Com escopo para uma credencial, permite o acesso a dados por meio de um serviço vinculado protegido pela credencial (também pode exigir permissão de uso de computação) Permite a execução de pipelines protegidos pela credencial de identidade do sistema de espaço de trabalho | Credencial de ServiçoVinculado de Espaço de Trabalho |
| Synapse Gestor de Dados Ligados | Criação e gerenciamento de endpoints privados gerenciados, serviços vinculados e credenciais. Pode criar pontos de extremidade privados gerenciados que usam serviços vinculados protegidos por credenciais | Área de trabalho |
| Usuário Synapse | Liste e exiba detalhes de pools SQL, pools do Apache Spark, tempos de execução de integração e serviços vinculados e credenciais publicados. Não inclui outros artefatos de código publicados. Pode criar novos artefatos, mas não pode executar ou publicar sem permissões adicionais. Pode listar e ler pools do Spark, tempos de execução de integração. | Espaço de trabalho, poolde faíscas Credencial de serviço vinculado |
Sinapse RBAC papéis e as ações que eles permitem
Nota
- Todas as ações listadas nas tabelas abaixo são prefixadas, "Microsoft.Synapse/..."
- Todas as ações de leitura, gravação e exclusão de artefatos são referentes a artefatos publicados no serviço ao vivo. Essas permissões não afetam o acesso a artefatos em um repositório Git conectado.
A tabela a seguir lista as funções internas e as ações/permissões suportadas por cada uma.
| Função | Ações |
|---|---|
| Administrador do Synapse | espaços de trabalho/lerespaços de trabalho/funçãoAtribuições/escrever, excluirespaços de trabalho/gerenciadoPrivateEndpoint/gravar, excluirespaços de trabalho/bigDataPools/useComputar/actionworkspaces/bigDataPools/viewLogs/actionworkspaces/integrationRuntimes/useCompute/actionworkspaces/integrationRuntimes/viewLogs/actionworkspaces/artifacts/readworkspaces/notebooks/write, deleteworkspaces/sparkJobDefinitions/write, deleteworkspaces/sqlScripts/ escrever, excluirespaços de trabalho/kqlScripts/write, excluirworkspaces/dataFlows/write, excluirworkspaces/pipelines/write, excluirworkspaces/triggers/write, excluirworkspaces/datasets/write, excluirworkspaces/libraries/write, excluirworkspaces/linkedServices/write, excluirworkspaces/credentials/write, excluirworkspaces/notebooks/viewOutputs/actionworkspaces/pipelines/viewOutputs/actionworkspaces/ linkedServices/useSecret/actionworkspaces/credentials/useSecret/actionworkspaces/linkConnections/readworkspaces/linkConnections/writeworkspaces/linkConnections/deleteworkspaces/linkConnections/useCompute/action |
| Synapse Apache Spark Administrador | workspaces/lerespaços de trabalho/bigDataPools/useCompute/actionworkspaces/bigDataPools/viewLogs/actionworkspaces/notebooks/viewOutputs/actionworkspaces/artifacts/lerworkspaces/notebooks/write, excluirworkspaces/sparkJobDefinitions/write, excluirworkspaces/libraries/write, excluirworkspaces/linkedServices/write, excluirworkspaces/credentials/write, excluir |
| Synapse Administrador SQL | workspaces/lerespaços de trabalho/artefatos/lerespaços de trabalho/sqlScripts/write, excluirworkspaces/linkedServices/write, excluirworkspaces/credentials/write, excluir |
| Contribuidor Synapse | workspaces/lerespaços de trabalho/bigDataPools/useCompute/actionworkspaces/bigDataPools/viewLogs/actionworkspaces/integrationRuntimes/useCompute/actionworkspaces/integrationRuntimes/viewLogs/actionworkspaces/artifacts/lerworkspaces/notebooks/write, excluirworkspaces/sparkJobDefinitions/write, excluirworkspaces/sqlScripts/write, excluirworkspaces/kqlScripts/write, excluirworkspaces/dataFlows/write, excluir workspaces/dataFlows/write, excluirworkspaces/pipelines/write, deleteworkspaces/triggers/write, deleteworkspaces/datasets/write, deleteworkspaces/libraries/write, deleteworkspaces/linkedServices/write, deleteworkspaces/credentials/write, deleteworkspaces/notebooks/viewOutputs/actionworkspaces/pipelines/viewOutputs/actionworkspaces/linkConnections/readworkspaces/linkConnections/write workspaces/linkConnections/deleteespaços de trabalho/linkConnections/useCompute/action |
| Editora Synapse Artifact | workspaces/lerworkspaces/artifacts/lerworkspaces/notebooks/write, excluirworkspaces/sparkJobDefinitions/write, excluirworkspaces/sqlScripts/write, excluirworkspaces/kqlScripts/write, excluirworkspaces/dataFlows/write, excluirworkspaces/pipelines/write, excluirworkspaces/triggers/write, excluirworkspaces/datasets/write, excluirworkspaces/libraries/write, excluirworkspaces/linkedServices/write, excluirespaços de trabalho/credenciais/gravação, excluirespaços de trabalho/blocos de anotações/exibirSaídas/açãoespaços de trabalho/pipelines/visualizaçãoSaídas/ação |
| Usuário do Artefato Sinapse | espaços de trabalho/espaços de trabalho de leitura/artefactos/espaços de trabalho de leitura/blocos de notas/vistaSaídas/espaços de trabalho de ação/pipelines/vistaSaídas/ação |
| Operador de computação sinapse | workspaces/lerespaços de trabalho/bigDataPools/useCompute/actionworkspaces/bigDataPools/viewLogs/actionworkspaces/integrationRuntimes/useCompute/actionworkspaces/integrationRuntimes/viewLogs/actionworkspaces/linkConnections/readworkspaces/linkConnections/useCompute/action |
| Operador de Monitoramento Sinapse | espaços de trabalho/espaços de trabalho de leitura/artefactos/espaços de trabalho de leitura/blocos de notas/vistaSaídas/espaços de trabalho de ação/pipelines/vistaSaídas/espaços de trabalho de ação/integraçãoRuntimes/viewLogs/espaços de trabalho de ação/bigDataPools/viewLogs/action |
| Usuário de credenciais Synapse | espaços de trabalho/lerespaços de trabalho/linkedServices/useSecret/actionworkspaces/credentials/useSecret/action |
| Synapse Gestor de Dados Ligados | workspaces/lerespaços de trabalho/managedPrivateEndpoint/escrever, excluirespaços de trabalho/linkedServices/write, excluirespaços de trabalho/credenciais/gravar, excluir |
| Usuário Synapse | espaços de trabalho/leitura |
Sinapse ações RBAC e os papéis que lhes permitem
A tabela a seguir lista as ações Synapse e as funções internas que permitem essas ações:
| Ação | Função |
|---|---|
| espaços de trabalho/leitura | Synapse AdministradorSynapse Apache Spark AdministratorSynapse SQL AdministratorSynapse ContributorSynapse Artifact PublisherSynapse Artifact UserSynapse Compute Operator Synapse Monitoring Operator Synapse Credential UserSynapse Linked Data ManagerUsuário Synapse |
| espaços de trabalho/funçãoAtribuições/gravação, exclusão | Administrador do Synapse |
| workspaces/managedPrivateEndpoint/write, excluir | Synapse AdministradorSynapse Linked Data Manager |
| espaços de trabalho/bigDataPools/useCompute/action | Synapse AdministratorSynapse Apache Spark AdministratorSynapse ContributorSynapse Synapse Compute Operator Synapse Monitoring Operator |
| espaços de trabalho/bigDataPools/viewLogs/action | Synapse AdministratorSynapse Apache Spark AdministratorSynapse ContributorSynapse Synapse Compute Operator |
| espaços de trabalho/integraçãoRuntimes/useCompute/action | Synapse AdministratorSynapse ContributorSynapse Compute OperatorSynapse Operador de Monitoramento Synapse |
| espaços de trabalho/integraçãoRuntimes/viewLogs/action | Synapse AdministratorSynapse ContributorSynapse Compute OperatorSynapse Operador de Monitoramento Synapse |
| espaços de trabalho/linkConnections/read | Synapse AdministratorSynapse ContributorSynapse Synapse Compute Operator |
| espaços de trabalho/linkConnections/useCompute/action | Synapse AdministratorSynapse ContributorSynapse Synapse Compute Operator |
| espaços de trabalho/artefactos/leitura | Synapse AdministratorSynapse Apache Spark AdministratorSynapse SQL AdministratorSynapse ContributorSynapse Artifact PublisherSynapse Artifact User |
| espaços de trabalho/blocos de notas/escrever, eliminar | Synapse AdministratorSynapse Apache Spark AdministratorSynapse ContributorSynapse Artifact Publisher |
| workspaces/sparkJobDefinitions/write, excluir | Synapse AdministratorSynapse Apache Spark AdministratorSynapse ContributorSynapse Artifact Publisher |
| workspaces/sqlScripts/write, excluir | Synapse AdministratorSynapse SQL AdministratorSynapse ContributorSynapse Artifact Publisher |
| workspaces/kqlScripts/write, excluir | Synapse AdministradorSynapse ColaboradorSynapse Artifact Publisher |
| espaços de trabalho/dataFlows/gravação, exclusão | Synapse AdministradorSynapse ColaboradorSynapse Artifact Publisher |
| espaços de trabalho/pipelines/gravação, exclusão | Synapse AdministradorSynapse ColaboradorSynapse Artifact Publisher |
| espaços de trabalho/linkConexões/gravação, exclusão | Synapse AdministradorSynapse Colaborador |
| espaços de trabalho/gatilhos/gravação, excluir | Synapse AdministradorSynapse ColaboradorSynapse Artifact Publisher |
| espaços de trabalho/conjuntos de dados/gravação, excluir | Synapse AdministradorSynapse ColaboradorSynapse Artifact Publisher |
| espaços de trabalho/bibliotecas/gravação, exclusão | Synapse AdministratorSynapse Apache Spark AdministratorSynapse ContributorSynapse Artifact Publisher |
| workspaces/linkedServices/write, excluir | Synapse AdministradorSynapse Apache Spark AdministratorSynapse SQL AdministratorSynapse ContributorSynapse Artifact PublisherSynapse Linked Data Manager |
| espaços de trabalho/credenciais/gravação, excluir | Synapse AdministradorSynapse Apache Spark AdministratorSynapse SQL AdministratorSynapse ContributorSynapse Artifact PublisherSynapse Linked Data Manager |
| espaços de trabalho/blocos de notas/vistaSaídas/ação | Synapse AdministratorSynapse Apache Spark AdministratorSynapse ContributorSynapse Artifact PublisherSynapse Artifact User |
| espaços de trabalho/pipelines/viewOutputs/action | Synapse AdministratorSynapse ContributorSynapse Artifact PublisherSynapse Artifact User |
| espaços de trabalho/linkedServices/useSecret/action | Synapse AdministratorSynapse Credential User |
| espaços de trabalho/credenciais/useSecret/action | Synapse AdministratorSynapse Credential User |
Sinapse RBAC escopos e suas funções suportadas
A tabela abaixo lista os escopos Synapse RBAC e as funções que podem ser atribuídas em cada escopo.
Nota
Para criar ou excluir um objeto, você deve ter permissões em um escopo de nível superior.
| Âmbito | Funções |
|---|---|
| Área de trabalho | Synapse AdministradorSynapse Apache Spark AdministratorSynapse SQL AdministratorSynapse ContributorSynapse Artifact PublisherSynapse Artifact UserSynapse Compute Operator Synapse Monitoring Operator Synapse Credential UserSynapse Linked Data ManagerUsuário Synapse |
| Piscina Apache Spark | Synapse Administrator Synapse Contributor Synapse Compute Operator |
| Integration runtime (Runtime de integração) | Synapse Administrator Synapse Contributor Synapse Compute Operator |
| Serviço ligado | Synapse Administrator Synapse Credential User |
| Credencial | Synapse Administrator Synapse Credential User |
Nota
Todas as funções e ações de artefato têm escopo no nível do espaço de trabalho.
Próximos passos
- Saiba como revisar as atribuições de função Synapse RBAC para um espaço de trabalho.
- Saiba como atribuir funções Synapse RBAC