Роли RBAC в Synapse
В статье описаны встроенные роли RBAC (управление доступом на основе ролей) в Synapse, предоставляемые ими разрешения и области, в которых их можно использовать.
Дополнительные сведения о проверке и назначении членства в ролях Synapse см. в разделах Проверка назначений ролей RBAC Synapse и Назначение ролей RBAC Synapse.
Встроенные роли и области RBAC для Synapse
В приведенной ниже таблице описаны встроенные роли и области, в которых их можно использовать.
Примечание.
Пользователь с любой ролью RBAC для Synapse в любой области автоматически получает роль пользователя Synapse в рабочей области.
Внимание
Роли RBAC Synapse не предоставляют разрешения на создание пулов SQL и Apache Spark, а также сред выполнения интеграции в рабочих областях Azure Synapse, а также на управление ими. Эти действия доступны владельцу Azure или участнику Azure в группе ресурсов.
| Роль | Разрешения | Области |
|---|---|---|
| Администратор Synapse | Полный доступ Synapse к бессерверным и выделенным пулам SQL, пулам данных Обозреватель, пулам Apache Spark и средам выполнения интеграции. Включает доступ для создания, чтения, обновления и удаления ко всем опубликованным артефактам кода. Включает разрешения "Оператор вычислительной среды", "Диспетчер связанных данных" и "Пользователь учетных данных" для учетных данных в системе рабочей области. Включает назначение ролей RBAC в Synapse. Кроме администратора Synapse, назначать роли RBAC в Synapse также могут владельцы Azure. Для создания вычислительных ресурсов, их удаления и управления ими требуются разрешения Azure. Роли RBAC Synapse можно назначать, даже если связанная подписка отключена.Может читать и записывать артефакты , которые могут выполнять все действия в действиях Spark.Может просматривать журналы пула Spark Может просматривать сохраненные записные книжки и выходные данные конвейера Может использовать секреты, сохраненные связанными службами, или учетные данныеМожет назначать и отзывать роли RBAC для Synapse в текущей области | Рабочая область пул Spark Среда выполнения интеграции Связанная службаУчетные данные |
| Synapse Apache Spark Администратор istrator | Полный доступ в Synapse к пулам Apache Spark. Доступ для создания, чтения, обновления и удаления к опубликованным определениям заданий Spark, записным книжкам и их выходным данным, а также к библиотекам, связанным службам и учетным данным. Включает доступ на чтение ко всем остальным опубликованным артефактам кода. Не включает разрешение на использование учетных данных и запуск конвейеров. Не включает предоставление доступа. Может выполнять любые действия с артефактами Spark Может выполнять любые действия в Spark | Рабочая областьпул Spark |
| Администратор Synapse SQL | Полный доступ в Synapse к бессерверным пулам SQL. Доступ для создания, чтения, обновления и удаления к опубликованным скриптам SQL, учетным данным и связанным службам. Включает доступ на чтение ко всем остальным опубликованным артефактам кода. Не включает разрешение на использование учетных данных и запуск конвейеров. Не включает предоставление доступа. Может выполнять любые действия в скриптах SQL Может подключаться к бессерверным конечным точкам SQL с помощью разрешений SQL db_datareader, db_datawriter, connect и grant |
Рабочая область |
| Участник Synapse | Полный доступ в Synapse к пулам Apache Spark и средам выполнения интеграции. Включает создание, чтение, обновление и удаление доступа ко всем опубликованным артефактам кода и их выходным данным, включая запланированные конвейеры, учетные данные и связанные службы. Включает разрешения оператора вычислительной среды. Не включает разрешение на использование учетных данных и запуск конвейеров. Не включает предоставление доступа. Может читать и записывать артефактыМожет просматривать сохраненные записные книжки и выходные данные конвейераМожет выполнять любые действия SparkМожет просматривать журналы пула Spark | Рабочая область пул Spark Среда выполнения интеграции |
| Издатель артефакта Synapse | Создание, чтение, обновление и удаление доступа к опубликованным артефактам кода и их выходным данным, включая запланированные конвейеры. Не включает в себя разрешение на выполнение кода или конвейеров, а также предоставление доступа. Может публиковать артефакты и читать опубликованные артефактыМожет просматривать сохраненные записные книжки, задания Spark и выходные данные конвейера | Рабочая область |
| Пользователь артефакта Synapse | Доступ для чтения к опубликованным артефактам кода и их выходным данным. Может создавать артефакты, но не может публиковать изменения или выполнять код без дополнительных разрешений. | Рабочая область |
| Оператор вычислительной среды Synapse | Отправка заданий и записных книжек Spark и просмотр журналов. Включает отмену заданий Spark, отправленных любым пользователем. Требует дополнительных разрешений на использование учетных данных для системного удостоверения рабочей области, чтобы выполнять конвейеры, просматривать запуски конвейеров и их выходные данные. Может отправлять и отменять задания, в том числе отправленные другими пользователямиМожет просматривать журналы пула Spark | Рабочая областьпул Sparkсреда выполнения интеграции |
| Оператор мониторинга Synapse | Чтение опубликованных артефактов кода, включая журналы и выходные данные для выполнения конвейера и завершенных записных книжек. Включает возможность перечислять и просматривать сведения о пулах Apache Spark, пулах Обозреватель данных и средах выполнения интеграции. Требуются дополнительные разрешения для выполнения и отмены конвейеров, записных книжек Spark и заданий Spark. | Рабочая область |
| Пользователь учетных данных Synapse | Использование секретов учетных данных и связанных служб во время выполнения и настройки для таких действий, как запуск конвейера. Для выполнения конвейеров требуется эта роль в области системного удостоверения рабочей области. В области учетных данных разрешает доступ к данным через связанную службу, которая защищена учетными данными (может также потребоваться разрешение на использование вычислений). Разрешает выполнение конвейеров, защищенных учетными данными идентификатора системы рабочей области. | Рабочая областьсвязанная службаУчетные данные |
| Диспетчер связанных данных Synapse | Создание управляемых частных конечных точек, связанных служб и учетных данных и управление ими. Может создавать управляемые частные конечные точки, использующие связанные службы, защищенные учетными данными | Рабочая область |
| Пользователь Synapse | Вывод списков и просмотр сведений о пулах SQL, пулах Apache Spark, средах выполнения интеграции, опубликованных связанных службах и учетных данных. Не включает другие опубликованные артефакты кода. Может создавать артефакты, но не может выполнять или публиковать их без дополнительных разрешений. Может получать списки и читать пулы Spark и среды выполнения интеграции. | Рабочая область, пул Sparkсвязанная служба учетные данные |
Роли RBAC для Synapse и действия, которые они позволяют выполнять
Примечание.
- Все действия, перечисленные в приведенных ниже таблицах, имеют префикс "Microsoft.Synapse/..."
- Все действия чтения, записи и удаления артефактов относятся с опубликованным артефактам в активной службе. Эти разрешения не влияют на доступ к артефактам в подключенном репозитории GIT.
В приведенной ниже таблице перечислены встроенные роли и поддерживаемые ими действия и разрешения.
| Роль | Действия |
|---|---|
| Администратор Synapse | workspaces/readworkspaces/roleAssignments/write, deleteworkspaces/managedPrivateEndpoint/write, deleteworkspaces/bigDataPools/useCompute/actionworkspaces/bigDataPools/viewLogs/actionworkspaces/integrationRuntimes/useCompute/actionworkspaces/integrationRuntimes/viewLogs/actionworkspaces/artifacts/readworkspaces/notebooks/write, deleteworkspaces/sparkJobDefinitions/write, deleteworkspaces/sqlScripts/write, deleteworkspaces/kqlScripts/write, deleteworkspaces/dataFlows/write, deleteworkspaces/pipelines/write, deleteworkspaces/triggers/write, deleteworkspaces/datasets/write, deleteworkspaces/libraries/write, deleteworkspaces/linkedServices/write, deleteworkspaces/credentials/write, deleteworkspaces/notebooks/viewOutputs/actionworkspaces/pipelines/viewOutputs/actionworkspaces/linkedServices/useSecret/actionworkspaces/credentials/useSecret/actionworkspaces/linkConnections/readworkspaces/linkConnections/writeworkspaces/linkConnections/deleteworkspaces/linkConnections/useCompute/action |
| Администратор Synapse Apache Spark | workspaces/readworkspaces/bigDataPools/useCompute/actionworkspaces/bigDataPools/viewLogs/actionworkspaces/notebooks/viewOutputs/actionworkspaces/artifacts/readworkspaces/notebooks/write, deleteworkspaces/sparkJobDefinitions/write, deleteworkspaces/libraries/write, deleteworkspaces/linkedServices/write, deleteworkspaces/credentials/write, delete |
| Администратор Synapse SQL | workspaces/readworkspaces/artifacts/readworkspaces/sqlScripts/write, deleteworkspaces/linkedServices/write, deleteworkspaces/credentials/write, delete |
| Участник Synapse | workspaces/readworkspaces/bigDataPools/useCompute/actionworkspaces/bigDataPools/viewLogs/actionworkspaces/integrationRuntimes/useCompute/actionworkspaces/integrationRuntimes/viewLogs/actionworkspaces/artifacts/readworkspaces/notebooks/write, deleteworkspaces/sparkJobDefinitions/write, deleteworkspaces/sqlScripts/write, deleteworkspaces/kqlScripts/write, deleteworkspaces/dataFlows/write, deleteworkspaces/pipelines/write, deleteworkspaces/triggers/write, deleteworkspaces/datasets/write, deleteworkspaces/libraries/write, deleteworkspaces/linkedServices/write, deleteworkspaces/credentials/write, deleteworkspaces/notebooks/viewOutputs/actionworkspaces/pipelines/viewOutputs/actionworkspaces/linkConnections/readworkspaces/linkConnections/writeworkspaces/linkConnections/deleteworkspaces/linkConnections/useCompute/action |
| Издатель артефакта Synapse | workspaces/readworkspaces/artifacts/readworkspaces/notebooks/write, deleteworkspaces/sparkJobDefinitions/write, deleteworkspaces/sqlScripts/write, deleteworkspaces/kqlScripts/write, deleteworkspaces/dataFlows/write, deleteworkspaces/pipelines/write, deleteworkspaces/triggers/write, deleteworkspaces/datasets/write, deleteworkspaces/libraries/write, deleteworkspaces/linkedServices/write, deleteworkspaces/credentials/write, deleteworkspaces/notebooks/viewOutputs/actionworkspaces/pipelines/viewOutputs/action |
| Пользователь артефакта Synapse | workspaces/readworkspaces/artifacts/readworkspaces/notebooks/viewOutputs/actionworkspaces/pipelines/viewOutputs/action |
| Оператор вычислительной среды Synapse | workspaces/readworkspaces/bigDataPools/useCompute/actionworkspaces/bigDataPools/viewLogs/actionworkspaces/integrationRuntimes/useCompute/actionworkspaces/integrationRuntimes/viewLogs/actionworkspaces/linkConnections/readworkspaces/linkConnections/useCompute/action |
| Оператор мониторинга Synapse | workspaces/readworkspaces/artifacts/readworkspaces/notebooks/viewOutputs/actionworkspaces/pipelines/viewOutputs/actionworkspaces/integrationRuntimes/viewLogs/actionworkspaces/bigDataPools/viewLogs/action |
| Пользователь учетных данных Synapse | workspaces/readworkspaces/linkedServices/useSecret/actionworkspaces/credentials/useSecret/action |
| Диспетчер связанных данных Synapse | workspaces/readworkspaces/managedPrivateEndpoint/write, deleteworkspaces/linkedServices/write, deleteworkspaces/credentials/write, delete |
| Пользователь Synapse | workspaces/read |
Действия RBAC в Synapse и роли, которые позволяют их выполнять
В приведенной ниже таблице перечислены действия в Synapse и встроенные роли, которые позволяют их выполнять.
| Действие | Роль |
|---|---|
| workspaces/read | Synapse AdministratorSynapse Apache Spark AdministratorSynapse SQL AdministratorSynapse ContributorSynapse Artifact PublisherSynapse Artifact UserSynapse Compute Operator Synapse Monitoring Operator Synapse Credential UserSynapse Linked Data ManagerSynapse User |
| workspaces/roleAssignments/write, delete | Администратор Synapse |
| workspaces/managedPrivateEndpoint/write, delete | Synapse AdministratorSynapse Linked Data Manager |
| workspaces/bigDataPools/useCompute/action | Synapse AdministratorSynapse Apache Spark AdministratorSynapse ContributorSynapse Compute OperatorSynapse Monitoring Operator |
| workspaces/bigDataPools/viewLogs/action | Synapse AdministratorSynapse Apache Spark AdministratorSynapse ContributorSynapse Compute Operator |
| workspaces/integrationRuntimes/useCompute/action | Synapse AdministratorSynapse ContributorSynapse Compute OperatorSynapse Monitoring Operator |
| workspaces/integrationRuntimes/viewLogs/action | Synapse AdministratorSynapse ContributorSynapse Compute OperatorSynapse Monitoring Operator |
| workspaces/linkConnections/read | Synapse AdministratorSynapse ContributorSynapse Compute Operator |
| workspaces/linkConnections/useCompute/action | Synapse AdministratorSynapse ContributorSynapse Compute Operator |
| workspaces/artifacts/read | Администратор SynapseАдминистратор Synapse Apache SparkАдминистратор Synapse SQLУчастник SynapseИздатель артефактов SynapseПользователь артефактов Synapse |
| workspaces/notebooks/write, delete | Synapse AdministratorSynapse Apache Spark AdministratorSynapse ContributorSynapse Artifact Publisher |
| workspaces/sparkJobDefinitions/write, delete | Synapse AdministratorSynapse Apache Spark AdministratorSynapse ContributorSynapse Artifact Publisher |
| workspaces/sqlScripts/write, delete | Synapse AdministratorSynapse SQL AdministratorSynapse ContributorSynapse Artifact Publisher |
| workspaces/kqlScripts/write, delete | Synapse AdministratorSynapse ContributorSynapse Artifact Publisher |
| workspaces/dataFlows/write, delete | Synapse AdministratorSynapse ContributorSynapse Artifact Publisher |
| workspaces/pipelines/write, delete | Synapse AdministratorSynapse ContributorSynapse Artifact Publisher |
| workspaces/linkConnections/write, delete | Synapse AdministratorSynapse Contributor |
| workspaces/triggers/write, delete | Synapse AdministratorSynapse ContributorSynapse Artifact Publisher |
| workspaces/datasets/write, delete | Synapse AdministratorSynapse ContributorSynapse Artifact Publisher |
| workspaces/libraries/write, delete | Synapse AdministratorSynapse Apache Spark AdministratorSynapse ContributorSynapse Artifact Publisher |
| workspaces/linkedServices/write, delete | Synapse AdministratorSynapse Apache Spark AdministratorSynapse SQL AdministratorSynapse ContributorSynapse Artifact PublisherSynapse Linked Data Manager |
| workspaces/credentials/write, delete | Synapse AdministratorSynapse Apache Spark AdministratorSynapse SQL AdministratorSynapse ContributorSynapse Artifact PublisherSynapse Linked Data Manager |
| workspaces/notebooks/viewOutputs/action | Администратор SynapseАдминистратор Synapse Apache SparkУчастник SynapseИздатель артефактов SynapseПользователь артефактов Synapse |
| workspaces/pipelines/viewOutputs/action | Администратор SynapseУчастник SynapseИздатель артефактов SynapseПользователь артефактов Synapse |
| workspaces/linkedServices/useSecret/action | Synapse AdministratorSynapse Credential User |
| workspaces/credentials/useSecret/action | Synapse AdministratorSynapse Credential User |
Области RBAC в Synapse и поддерживаемые ими роли
В приведенной ниже таблице перечислены области RBAC в Synapse и роли, которые можно назначать в каждой области.
Примечание.
Для создания или удаления объекта необходимо иметь разрешения в области более высокого уровня.
| Область | Роли |
|---|---|
| Рабочая область | Synapse AdministratorSynapse Apache Spark AdministratorSynapse SQL AdministratorSynapse ContributorSynapse Artifact PublisherSynapse Artifact UserSynapse Compute Operator Synapse Monitoring Operator Synapse Credential UserSynapse Linked Data ManagerSynapse User |
| Пул Apache Spark | Synapse Administrator Synapse Contributor Synapse Compute Operator |
| Среда выполнения интеграции | Synapse Administrator Synapse Contributor Synapse Compute Operator |
| Связанная служба | Synapse Administrator Synapse Credential User |
| Подтверждение компетенции | Synapse Administrator Synapse Credential User |
Примечание.
Все роли и действия артефактов ограничены на уровне рабочей области.
Следующие шаги
- Узнайте, как просматривать назначения ролей RBAC в Synapse для рабочей области.
- Узнайте, как назначать роли RBAC в Synapse.