Compreender as funções necessárias para executar tarefas comuns no Azure Synapse
Este artigo ajudará você a entender quais funções Synapse RBAC (controle de acesso baseado em função) ou funções RBAC do Azure você precisa para trabalhar no Synapse Studio. Para gerenciar a associação de funções, consulte Gerenciar atribuições de função RBAC do Synapse.
Controle de acesso Synapse Studio e resumo do fluxo de trabalho
Acesso Synapse Studio
Você pode abrir o Synapse Studio e exibir detalhes do espaço de trabalho e listar qualquer um de seus recursos do Azure, como pools SQL, pools Spark ou tempos de execução de integração. Você verá se lhe foi atribuída alguma função Synapse RBAC ou se tem a função de Proprietário, Colaborador ou Leitor do Azure no espaço de trabalho.
Gestão de recursos
Você pode criar pools SQL, pools do Data Explorer e pools do Apache Spark se for um Proprietário ou Colaborador do Azure no grupo de recursos. Você pode criar um Tempo de Execução de Integração se for um Proprietário ou Colaborador do Azure no espaço de trabalho. Ao usar modelos ARM para implantação automatizada, você precisa ser um Colaborador do Azure no grupo de recursos.
Você pode pausar ou dimensionar um pool SQL dedicado, configurar um pool do Spark ou um tempo de execução de integração se for um Proprietário ou Colaborador do Azure no espaço de trabalho ou nesse recurso.
Visualizar e editar artefatos de código
Com acesso ao Synapse Studio, você pode criar novos artefatos de código, como scripts SQL, scripts KQL, notebooks, trabalhos de faísca, serviços vinculados, pipelines, fluxos de dados, gatilhos e credenciais. Esses artefatos podem ser publicados ou salvos com permissões adicionais.
Se você for um Usuário de Artefato Synapse, Synapse Artifact Publisher, Synapse Contributor ou Synapse Administrator, você pode listar, abrir e editar artefatos de código já publicados, incluindo pipelines agendados.
Execute o seu código
Você pode executar scripts SQL em pools SQL se tiver as permissões SQL necessárias definidas nos pools SQL. Você pode executar scripts KQL em pools do Data Explorer se tiver as permissões necessárias.
Você pode executar blocos de anotações e trabalhos do Spark se tiver permissões do Synapse Compute Operator no espaço de trabalho ou em pools específicos do Apache Spark.
Com permissões de Operador de Computação no espaço de trabalho ou tempos de execução de integração específicos e permissões de credenciais apropriadas, você pode executar pipelines.
Monitorar e gerenciar a execução
Você pode revisar o status da execução de blocos de anotações e trabalhos em pools do Apache Spark se for um usuário Synapse.
Você pode revisar logs e cancelar trabalhos e pipelines em execução se for um Operador de Computação Synapse no espaço de trabalho ou para um pool ou pipeline específico do Spark.
Depurar pipelines
Você pode revisar e fazer alterações em pipelines como um usuário Synapse, mas se você quiser ser capaz de depurá-lo, você também precisa ter Synapse Credential User.
Publique e salve seu código
Você pode publicar artefatos de código novos ou atualizados no serviço se for um Synapse Artifact Publisher, Synapse Contributor ou Synapse Administrator.
Você pode confirmar artefatos de código em uma ramificação em funcionamento de um repositório Git se o espaço de trabalho estiver habilitado para Git e você tiver permissões Git. Com o Git habilitado, a publicação só é permitida a partir da ramificação de colaboração.
Se você fechar o Synapse Studio sem publicar ou confirmar alterações em artefatos de código, essas alterações serão perdidas.
Tarefas e funções necessárias
A tabela abaixo lista as tarefas comuns e, para cada tarefa, as funções Synapse RBAC ou Azure RBAC necessárias.
Nota
Synapse Administrator não está listado para cada tarefa, a menos que seja a única função que fornece a permissão necessária. Um administrador Synapse pode executar todas as tarefas habilitadas por outras funções Synapse RBAC.
Nota
Os usuários convidados de outro locatário também podem revisar, adicionar ou alterar atribuições de função depois de terem sido atribuídos como Administrador Sinapse.
A função mínima Synapse RBAC exigida é mostrada.
Todas as funções Synapse RBAC em qualquer escopo fornecem permissões de Usuário Synapse no espaço de trabalho.
Todas as permissões/ações Synapse RBAC mostradas na tabela são prefixadas Microsoft/Synapse/workspaces/....
| Tarefa (Eu quero...) | Papel (eu preciso ser...) | Permissão/ação Synapse RBAC |
|---|---|---|
| Abra o Synapse Studio em um espaço de trabalho | Synapse User ou | leitura |
| Proprietário ou Colaborador do Azure ou Leitor no espaço de trabalho | nenhum | |
| Liste pools SQL ou pools do Data Explorer ou pools do Apache Spark ou runtimes de integração e acesse seus detalhes de configuração | Synapse User ou | leitura |
| Proprietário ou Colaborador do Azure ou Leitor no espaço de trabalho | nenhum | |
| Listar serviços vinculados ou credenciais ou pontos de extremidade privados gerenciados | Usuário Synapse | leitura |
| SQL POOLS | ||
| Criar um pool SQL dedicado ou um pool SQL sem servidor | Proprietário ou Colaborador do Azure no grupo de recursos | nenhum |
| Gerenciar (pausar, dimensionar ou excluir) um pool SQL dedicado | Proprietário ou Colaborador do Azure no pool ou espaço de trabalho SQL | nenhum |
| Criar um script SQL |
Synapse Usuário ou Proprietário ou Colaborador do Azure no espaço de trabalho. São necessárias permissões SQL adicionais para executar um script SQL, publicar ou confirmar alterações. |
|
| Listar e abrir qualquer script SQL publicado | Usuário do Artefato Synapse ou Editor de Artefatos, ou Colaborador do Synapse | artefactos/leitura |
| Executar um script SQL em um pool SQL sem servidor | Permissões SQL no pool (concedidas automaticamente a um administrador Sinapse) | nenhum |
| Executar um script SQL em um pool SQL dedicado | Permissões SQL no pool (concedidas automaticamente a um administrador Sinapse) | nenhum |
| Publicar um script SQL novo, atualizado ou excluído | Synapse Artifact Publisher ou Colaborador Synapse | sqlScripts/write, excluir |
| Confirmar alterações em um script SQL para o repositório Git | Requer permissões do Git no repositório | |
| Atribuir administrador do Ative Directory no espaço de trabalho (por meio das propriedades do espaço de trabalho no Portal do Azure) | Proprietário ou Colaborador do Azure no espaço de trabalho | |
| DATA EXPLORER POOLS | ||
| Criar um pool do Data Explorer | Proprietário ou Colaborador do Azure no grupo de recursos | nenhum |
| Gerenciar (pausar, dimensionar ou excluir) um pool do Data Explorer | Proprietário ou Colaborador do Azure no pool ou espaço de trabalho do Data Explorer | nenhum |
| Criar um script KQL |
Usuário Sinapse. São necessárias permissões adicionais do Data Explorer para executar um script, publicar ou confirmar alterações. |
|
| Listar e abrir qualquer script KQL publicado | Usuário do Artefato Synapse ou Editor de Artefatos, ou Colaborador do Synapse | artefactos/leitura |
| Executar um script KQL em um pool do Data Explorer | Permissões do Data Explorer no pool (concedidas automaticamente a um administrador do Sinapse) | nenhum |
| Publicar novo, atualizar ou excluir script KQL | Synapse Artifact Publisher ou Colaborador Synapse | kqlScripts/write, excluir |
| Confirmar alterações em um script KQL no repositório Git | Requer permissões do Git no repositório | |
| PISCINAS DE FAÍSCA APACHE; | ||
| Criar um pool do Apache Spark | Proprietário ou Colaborador do Azure no grupo de recursos | |
| Monitore aplicativos Apache Spark | Usuário Synapse | leitura |
| Exibir os logs para o bloco de anotações concluído e a execução do trabalho | Operador de Monitoramento Sinapse | |
| Cancelar qualquer bloco de anotações ou trabalho do Spark em execução em um pool do Apache Spark | Synapse Compute Operator no pool do Apache Spark. | bigDataPools/useCompute |
| Criar um bloco de anotações ou definição de trabalho | Synapse Usuário ou Proprietário ou Colaborador do Azure ou Leitor no espaço de trabalho São necessárias permissões adicionais para executar, publicar ou confirmar alterações |
Leia |
| Listar e abrir um bloco de anotações ou definição de trabalho publicado, incluindo a revisão de saídas salvas | Usuário do Artefato Synapse ou Operador de Monitoramento Synapse no espaço de trabalho | artefactos/leitura |
| Executar um bloco de anotações e revisar sua saída, ou enviar um trabalho do Spark | Synapse Apache Spark Administrator ou Synapse Compute Operator no pool selecionado do Apache Spark | bigDataPools/useCompute |
| Publicar ou excluir um bloco de anotações ou definição de trabalho (incluindo saída) para o serviço | Artifact Publisher no espaço de trabalho ou Synapse Apache Spark Administrator | blocos de notas/escrever, eliminar |
| Confirmar alterações em um bloco de anotações ou definição de trabalho no repositório Git | Permissões do Git | nenhum |
| PIPELINES, TEMPOS DE EXECUÇÃO DE INTEGRAÇÃO, FLUXOS DE DADOS, CONJUNTOS DE DADOS & TRIGGERS | ||
| Criar, atualizar ou excluir um tempo de execução de integração | Proprietário ou Colaborador do Azure no espaço de trabalho | |
| Monitorar o status do tempo de execução da integração | Operador de Monitoramento Sinapse | leitura, integrationRuntimes/viewLogs |
| Execução do pipeline de revisão | Operador de Monitoramento Sinapse | leitura, pipelines/viewOutputs |
| Criar um pipeline | Usuário do Synapse As permissões adicionais do Synapse são necessárias para depurar, adicionar gatilhos, publicar ou confirmar alterações |
leitura |
| Criar um fluxo de dados ou conjunto de dados | Usuário do Synapse As permissões adicionais do Synapse são necessárias para publicar ou confirmar alterações |
leitura |
| Listar e abrir um pipeline publicado | Usuário do Artefato Synapse ou Operador de Monitoramento Synapse | artefactos/leitura |
| Visualizar dados do conjunto de dados | Usuário Synapse e Usuário de Credencial Synapse no WorkspaceSystemIdentity | |
| Depurar um pipeline usando o tempo de execução de integração padrão | Usuário Synapse e Usuário de Credencial Synapse na credencial WorkspaceSystemIdentity | ler, credenciais/useSecret |
| Criar um gatilho, incluindo gatilho agora (requer permissão para executar o pipeline) | Usuário Synapse e Usuário de Credencial Synapse no WorkspaceSystemIdentity | ler, credenciais/usarSegredo/ação |
| Executar/executar um pipeline | Usuário Synapse e Usuário de Credencial Synapse no WorkspaceSystemIdentity | ler, credenciais/usarSegredo/ação |
| Copiar dados usando a ferramenta Copiar dados | Usuário Synapse e Usuário de Credenciais Synapse na identidade do sistema de espaço de trabalho | ler, credenciais/usarSegredo/ação |
| Ingerir dados (usando uma programação) | Synapse Author e Synapse Credential User na identidade do sistema de espaço de trabalho | ler, credenciais/usarSegredo/ação |
| Publicar um pipeline, fluxo de dados ou gatilho novo, atualizado ou excluído no serviço | Synapse Artifact Publisher no espaço de trabalho | pipelines/gravação, excluir fluxos de dados/gravação, excluir gatilhos/gravação, excluir |
| Confirmar alterações em pipelines, fluxos de dados, conjuntos de dados ou gatilhos no repositório Git | Permissões do Git | nenhum |
| SERVIÇOS LIGADOS | ||
| Criar um serviço vinculado (inclui a atribuição de uma credencial) | Usuário Synapse Permissões adicionais são necessárias para usar um serviço vinculado com credenciais, ou para publicar, ou confirmar alterações |
leitura |
| Listar e abrir um serviço vinculado publicado | Usuário do Artefato Sinapse | linkedServices/gravar, excluir |
| Testar conexão em um serviço vinculado protegido por uma credencial | Usuário Synapse e Usuário Credencial Synapse | credenciais/useSecret/action |
| Publicar um serviço vinculado | Synapse Artifact Publisher ou Synapse Linked Data Manager | linkedServices/gravar, excluir |
| Confirmar definições de serviço vinculado ao repositório Git | Permissões do Git | nenhum |
| GESTÃO DE ACESSOS | ||
| Revise as atribuições de função do Synapse RBAC em qualquer escopo | Usuário Synapse | leitura |
| Atribuir e remover atribuições de função Synapse RBAC para usuários, grupos e entidades de serviço | Synapse Administrator no espaço de trabalho ou em um escopo de item de espaço de trabalho específico | funçãoAtribuições/gravação, exclusão |