Funções RBAC do Synapse
O artigo descreve as funções internas Synapse RBAC (controle de acesso baseado em função), as permissões que elas concedem e os escopos nos quais elas podem ser usadas.
Para obter mais informações sobre como rever e atribuir associações de função Synapse, consulte como rever atribuições de função Synapse RBAC e como atribuir funções Synapse RBAC.
Funções e escopos RBAC Synapse integrados
A tabela a seguir descreve as funções internas e os escopos nos quais elas podem ser usadas.
Nota
Os usuários com qualquer função Synapse RBAC em qualquer escopo têm automaticamente a função Synapse User no escopo do espaço de trabalho.
Importante
As funções Synapse RBAC não concedem permissões para criar ou gerenciar pools SQL, pools Apache Spark e tempos de execução de integração em espaços de trabalho do Azure Synapse. As funções de Proprietário do Azure ou Colaborador do Azure no grupo de recursos são necessárias para essas ações.
| Role | Permissões | Âmbitos |
|---|---|---|
| Administrador do Synapse | Acesso Synapse completo a pools SQL dedicados e sem servidor, pools do Data Explorer, pools do Apache Spark e tempos de execução de integração. Inclui criar, ler, atualizar e excluir acesso a todos os artefatos de código publicados. Inclui as permissões Operador de Computação, Gerenciador de Dados Vinculados e Usuário de Credencial na credencial de identidade do sistema de espaço de trabalho. Inclui a atribuição de funções Synapse RBAC. Além do Synapse Administrator, os Proprietários do Azure também podem atribuir funções Synapse RBAC. As permissões do Azure são necessárias para criar, excluir e gerenciar recursos de computação. As funções Synapse RBAC podem ser atribuídas mesmo quando a assinatura associada está desativada. Pode ler e escrever artefatos Pode fazer todas as ações nas atividades do Spark. Pode visualizar os logs do pool do Spark Pode visualizar a saída salva do bloco de anotações e do pipeline Pode usar os segredos armazenados por serviços vinculados ou credenciais Pode atribuir e revogar funções Synapse RBAC no escopo atual |
Espaço de trabalho Piscina de faíscas Credencial de serviço vinculado de tempo de execução de integração |
| Synapse Apache Spark Administrador |
Acesso Synapse completo ao Apache Spark Pools. Crie, leia, atualize e exclua o acesso a definições de trabalho do Spark publicadas, blocos de anotações e suas saídas, bem como a bibliotecas, serviços vinculados e credenciais. Inclui acesso de leitura a todos os outros artefatos de código publicados. Não inclui permissão para usar credenciais e executar pipelines. Não inclui a concessão de acesso. Pode fazer todas as ações em artefatos do Spark Pode fazer todas as ações nas atividades do Spark |
Espaço de trabalho Piscina de faíscas |
| Synapse Administrador SQL | Acesso Synapse completo a pools SQL sem servidor. Crie, leia, atualize e exclua o acesso a scripts SQL, credenciais e serviços vinculados publicados. Inclui acesso de leitura a todos os outros artefatos de código publicados. Não inclui permissão para usar credenciais e executar pipelines. Não inclui a concessão de acesso. Pode executar todas as ações em scripts SQL Pode se conectar a pontos de extremidade sem servidor SQL com SQL db_datareader, db_datawriter, connect, e grant permissões |
Área de trabalho |
| Contribuidor Synapse | Acesso Synapse completo a pools do Apache Spark e tempos de execução de integração. Inclui criar, ler, atualizar e excluir acesso a todos os artefatos de código publicados e suas saídas, incluindo pipelines agendados, credenciais e serviços vinculados. Inclui permissões de operador de computação. Não inclui permissão para usar credenciais e executar pipelines. Não inclui a concessão de acesso. É capaz de ler e escrever artefactos Pode visualizar a saída salva do bloco de anotações e do pipeline Pode fazer todas as ações nas atividades do Spark Pode visualizar os logs do pool do Spark |
Espaço de trabalho Piscina de faíscas Integration runtime (Runtime de integração) |
| Editora Synapse Artifact | Crie, leia, atualize e exclua o acesso a artefatos de código publicados e suas saídas, incluindo pipelines agendados. Não inclui permissão para executar código ou pipelines, ou para conceder acesso. Pode ler artefatos publicados e publicar artefatos Pode visualizar o bloco de anotações salvo, o trabalho do Spark e a saída do pipeline |
Área de trabalho |
| Usuário do Artefato Sinapse | Acesso de leitura a artefatos de código publicados e suas saídas. Pode criar novos artefatos, mas não pode publicar alterações ou executar código sem mais permissões. | Área de trabalho |
| Operador de computação sinapse | Envie trabalhos e blocos de anotações do Spark e visualize logs. Inclui o cancelamento de trabalhos do Spark enviados por qualquer usuário. Requer outras permissões de credenciais de uso na identidade do sistema de espaço de trabalho para executar pipelines, exibir execuções e saídas de pipeline. Pode enviar e cancelar trabalhos, incluindo trabalhos enviados por outras pessoas Pode visualizar os logs do pool do Spark |
Espaço de trabalho Tempo de execução da integração do pool Spark |
| Operador de Monitoramento Sinapse | Leia artefatos de código publicados, incluindo logs e saídas para execuções de pipeline e blocos de anotações concluídos. Inclui a capacidade de listar e visualizar detalhes de pools do Apache Spark, pools do Data Explorer e tempos de execução de integração. Requer outras permissões para executar/cancelar pipelines, blocos de anotações do Spark e trabalhos do Spark. | Área de trabalho |
| Usuário de credenciais Synapse | Tempo de execução e uso em tempo de configuração de segredos dentro de credenciais e serviços vinculados em atividades como execuções de pipeline. Para executar pipelines, essa função é necessária, com escopo para a identidade do sistema de espaço de trabalho. Com escopo para uma credencial, permite o acesso a dados por meio de um serviço vinculado protegido pela credencial (também pode exigir permissão de uso de computação) Permite a execução de pipelines protegidos pela credencial de identidade do sistema de espaço de trabalho |
Credencial de Serviço Vinculado de Espaço de Trabalho |
| Synapse Gestor de Dados Ligados | Criação e gerenciamento de endpoints privados gerenciados, serviços vinculados e credenciais. Pode criar pontos de extremidade privados gerenciados que usam serviços vinculados protegidos por credenciais | Área de trabalho |
| Usuário Synapse | Liste e exiba detalhes de pools SQL, pools do Apache Spark, tempos de execução de integração e serviços vinculados e credenciais publicados. Não inclui outros artefatos de código publicados. Pode criar novos artefatos, mas não pode executar ou publicar sem mais permissões. Pode listar e ler pools do Spark, tempos de execução de integração. |
Espaço de trabalho, pool de faíscas Credencial de serviço vinculado |
Sinapse RBAC papéis e as ações que eles permitem
Nota
- Todas as ações listadas nas tabelas abaixo são prefixadas, "Microsoft.Synapse/..."
- Todas as ações de leitura, gravação e exclusão de artefatos são referentes a artefatos publicados no serviço ao vivo. Essas permissões não afetam o acesso a artefatos em um repositório Git conectado.
A tabela a seguir lista as funções internas e as ações/permissões suportadas por cada uma.
| Role | Ações |
|---|---|
| Administrador do Synapse | espaços de trabalho/ler espaços de trabalho/funçãoAtribuições/escrever, excluir espaços de trabalho/gerenciadoPrivateEndpoint/write, excluir espaços de trabalho/bigDataPool/useCompute/action workspaces/bigDataPool/viewLogs/action workspaces/scopePool/useCompute/action workspaces/scopePool/viewLogs/action workspaces/integrationRuntime/useCompute/action workspaces/integrationRuntime/viewLogs/action workspaces/artifacts/read workspaces/notebooks/write workspaces/sparkJobDefinitions/write, delete workspaces/scopeJobDefinitions/write, delete workspaces/sqlScripts/write, delete workspaces/dataFlows/write, delete workspaces/dataMappers/write, delete workspaces/dataMappers/write, delete workspaces/pipelines/write, delete workspaces/triggers/write, delete workspaces/datasets/write, delete workspaces/linkedServices/write, delete workspaces/credentials/write, delete workspaces/notebooks/ excluir espaços de trabalho/cancelPipelineRun/action workspaces/notebooksViewOutputs/action workspaces/pipelinesViewOutputs/action workspaces/linkedServicesUseSecret/action workspaces/credentialsUseSecret/action workspaces/libraries/write, delete workspaces/kQLScripts/write, delete workspaces/sparkConfigurations/write, delete workspaces/synapseLinkConnections/read, write, delete workspaces/synapseLinkConnections/ useCompute/ação |
| Synapse Apache Spark Administrador | workspaces/read orkspaces/bigDataPoolUseCompute/action orkspaces/bigDataPoolViewLogs/action orkspaces/artifacts/read orkspaces/notebooks/write, delete orkspaces/sparkJobDefinitions/write, delete orkspaces/linkedServices/write, delete orkspaces/credentials/write, delete orkspaces/libraries/write, delete orkspaces/notebooksViewOutputs/action |
| Synapse Administrador SQL | workspaces/ler espaços de trabalho/artefatos/ler espaços de trabalho/sqlScripts/write, excluir workspaces/linkedServices/write, excluir workspaces/credentials/write, excluir |
| Administrador do Escopo Synapse | espaços de trabalho/ler espaços de trabalho/escopoPoolUseComputar/action workspaces/scopePoolViewLogs/action workspaces/linkedServices/write, excluir workspaces/credentials/write, excluir workspaces/scopeJobDefinitions/write, excluir |
| Synapse Private Endpoint Manager | workspaces/ler espaços de trabalho/managedPrivateEndpoint/escrever, excluir espaços de trabalho/linkedServices/write, excluir espaços de trabalho/credenciais/gravar, excluir |
| Contribuidor Synapse | workspaces/ler espaços de trabalho/bigDataPool/useCompute/action workspaces/bigDataPool/viewLogs/action workspaces/scopePool/useCompute/action workspaces/scopePool/viewLogs/action workspaces/integrationRuntime/useCompute/action workspaces/integrationRuntime/viewLogs/action workspaces/artifacts/ler workspaces/notebooks/write, excluir workspaces/sparkJobDefinitions/write, delete workspaces/sqlScripts/write, delete workspaces/sqlScripts/write, delete workspaces/dataFlows/write, delete workspaces/dataMappers/write, delete workspaces/pipelines/write, delete workspaces/triggers/write, delete workspaces/datasets/write, delete workspaces/linkedServices/write, delete workspaces/credentials/write, delete workspaces/cancelPipelineRun/action workspaces/notebooksViewOutputs/action workspaces/pipelinesViewOutputs/action workspaces/libraries/write, delete workspaces/kQLScripts/write, delete workspaces/sparkConfigurations/write, delete workspaces/synapseLinkConnections/read,write, delete workspaces/synapseLinkConnections/useComputeAction |
| Editora Synapse Artifact | workspaces/ler espaços de trabalho/artefatos/ler espaços de trabalho/notebooks/escrever, excluir espaços de trabalho/sparkJobDefinitions/write, excluir workspaces/scopeJobDefinitions/write, excluir workspaces/sqlScripts/write, excluir workspaces/dataFlows/write, excluir workspaces/dataMappers/write, excluir workspaces/pipelines/write, excluir workspaces/triggers/write, excluir workspaces/datasets/write, excluir workspaces/linkedServices/write, excluir espaços de trabalho/credenciais/gravação, excluir espaços de trabalho/notebooksViewOutputs/action workspaces/pipelinesViewOutputs/action workspaces/libraries/write, excluir workspaces/kQLScripts/write, excluir workspaces/sparkConfigurations/write, excluir |
| Usuário do Artefato Sinapse | espaços de trabalho/espaços de trabalho de leitura /artefactos/espaços de trabalho de leitura /blocos de notas/vistaSaídas/espaços de trabalho de ação /pipelines/vistaSaídas/ação |
| Operador de computação sinapse | espaços de trabalho/ler espaços de trabalho/bigDataPools/useCompute/action workspaces/bigDataPools/viewLogs/action workspaces/scopePool/useCompute/action workspaces/scopePool/viewLogs/action workspaces/integrationRuntimes/useCompute/action workspaces/integrationRuntimes/viewLogs/action workspaces/cancelPipelineRun/action workspaces/linkConnections/read workspaces/linkConnections/useCompute/action |
| Operador de Monitoramento Sinapse | espaços de trabalho/espaços de trabalho de leitura /artefactos/espaços de trabalho de leitura /blocos de notas/vistaSaídas/espaços de trabalho de ação /pipelines/vistaSaídas/espaços de trabalho de ação /integraçãoRuntimes/viewLogs/espaços de trabalho de ação /bigDataPools/viewLogs/action |
| Usuário de credenciais Synapse | espaços de trabalho/ler espaços de trabalho/linkedServices/useSecret/action workspaces/credentials/useSecret/action |
| Synapse Gestor de Dados Ligados | workspaces/ler espaços de trabalho/managedPrivateEndpoint/escrever, excluir espaços de trabalho/linkedServices/write, excluir espaços de trabalho/credenciais/gravar, excluir |
| Usuário Synapse | espaços de trabalho/leitura |
Sinapse ações RBAC e os papéis que lhes permitem
A tabela a seguir lista as ações Synapse e as funções internas que permitem essas ações:
| Ação | Role |
|---|---|
| espaços de trabalho/leitura | Synapse Administrador Synapse Apache Spark Administrator Synapse SQL Administrator Synapse Contributor Synapse Artifact Publisher Synapse Artifact User Synapse Compute Operator Synapse Monitoring Operator Synapse Credential User Synapse Linked Data Manager Usuário Synapse |
| espaços de trabalho/funçãoAtribuições/gravação, exclusão | Administrador do Synapse |
| workspaces/managedPrivateEndpoint/write, excluir | Synapse Administrador Synapse Linked Data Manager |
| espaços de trabalho/bigDataPools/useCompute/action | Synapse Administrator Synapse Apache Spark Administrator Synapse Contributor Synapse Synapse Compute Operator Synapse Monitoring Operator |
| espaços de trabalho/bigDataPools/viewLogs/action | Synapse Administrator Synapse Apache Spark Administrator Synapse Contributor Synapse Synapse Compute Operator |
| espaços de trabalho/integraçãoRuntimes/useCompute/action | Synapse Administrator Synapse Contributor Synapse Compute Operator Synapse Operador de Monitoramento Synapse |
| espaços de trabalho/integraçãoRuntimes/viewLogs/action | Synapse Administrator Synapse Contributor Synapse Compute Operator Synapse Operador de Monitoramento Synapse |
| espaços de trabalho/linkConnections/read | Synapse Administrator Synapse Contributor Synapse Synapse Compute Operator |
| espaços de trabalho/linkConnections/useCompute/action | Synapse Administrator Synapse Contributor Synapse Synapse Compute Operator |
| espaços de trabalho/artefactos/leitura | Synapse Administrator Synapse Apache Spark Administrator Synapse SQL Administrator Synapse Contributor Synapse Artifact Publisher Synapse Artifact User |
| espaços de trabalho/blocos de notas/escrever, eliminar | Synapse Administrator Synapse Apache Spark Administrator Synapse Contributor Synapse Artifact Publisher |
| workspaces/sparkJobDefinitions/write, excluir | Synapse Administrator Synapse Apache Spark Administrator Synapse Contributor Synapse Artifact Publisher |
| workspaces/sqlScripts/write, excluir | Synapse Administrator Synapse SQL Administrator Synapse Contributor Synapse Artifact Publisher |
| workspaces/kqlScripts/write, excluir | Synapse Administrador Synapse Colaborador Synapse Artifact Publisher |
| espaços de trabalho/dataFlows/gravação, exclusão | Synapse Administrador Synapse Colaborador Synapse Artifact Publisher |
| espaços de trabalho/pipelines/gravação, exclusão | Synapse Administrador Synapse Colaborador Synapse Artifact Publisher |
| espaços de trabalho/linkConexões/gravação, exclusão | Synapse Administrador Synapse Colaborador |
| espaços de trabalho/gatilhos/gravação, excluir | Synapse Administrador Synapse Colaborador Synapse Artifact Publisher |
| espaços de trabalho/conjuntos de dados/gravação, excluir | Synapse Administrador Synapse Colaborador Synapse Artifact Publisher |
| espaços de trabalho/bibliotecas/gravação, exclusão | Synapse Administrator Synapse Apache Spark Administrator Synapse Contributor Synapse Artifact Publisher |
| workspaces/linkedServices/write, excluir | Synapse Administrador Synapse Apache Spark Administrator Synapse SQL Administrator Synapse Contributor Synapse Artifact Publisher Synapse Linked Data Manager |
| espaços de trabalho/credenciais/gravação, excluir | Synapse Administrador Synapse Apache Spark Administrator Synapse SQL Administrator Synapse Contributor Synapse Artifact Publisher Synapse Linked Data Manager |
| espaços de trabalho/blocos de notas/vistaSaídas/ação | Synapse Administrator Synapse Apache Spark Administrator Synapse Contributor Synapse Artifact Publisher Synapse Artifact User |
| espaços de trabalho/pipelines/viewOutputs/action | Synapse Administrator Synapse Contributor Synapse Artifact Publisher Synapse Artifact User |
| espaços de trabalho/linkedServices/useSecret/action | Synapse Administrator Synapse Credential User |
| espaços de trabalho/credenciais/useSecret/action | Synapse Administrator Synapse Credential User |
Sinapse RBAC escopos e suas funções suportadas
A tabela abaixo lista os escopos Synapse RBAC e as funções que podem ser atribuídas em cada escopo.
Nota
Para criar ou excluir um objeto, você deve ter permissões em um escopo de nível superior.
| Âmbito | Funções |
|---|---|
| Área de trabalho | Synapse Administrador Synapse Apache Spark Administrator Synapse SQL Administrator Synapse Contributor Synapse Artifact Publisher Synapse Artifact User Synapse Compute Operator Synapse Monitoring Operator Synapse Credential User Synapse Linked Data Manager Usuário Synapse |
| Piscina Apache Spark | Synapse Administrator Synapse Contributor Synapse Compute Operator |
| Integration runtime (Runtime de integração) | Synapse Administrator Synapse Contributor Synapse Compute Operator |
| Serviço ligado | Synapse Administrator Synapse Credential User |
| Credencial | Synapse Administrator Synapse Credential User |
Nota
Todas as funções e ações de artefato têm escopo no nível do espaço de trabalho.
Próximos passos
- Saiba como revisar as atribuições de função Synapse RBAC para um espaço de trabalho.
- Saiba como atribuir funções Synapse RBAC