Роли, необходимые для выполнения стандартных задач в Azure Synapse
Эта статья поможет вам понять, какие роли Synapse или Azure в рамках управления доступом на основе ролей (RBAC) необходимы для выполнения различных действий в Synapse Studio. Сведения об управлении членством в ролях см. в статье Управление назначениями ролей RBAC для Synapse.
Краткие сведения об управлении доступом и рабочих процессах Synapse Studio
Доступ к Synapse Studio
Вы можете открыть Synapse Studio и просмотреть сведения о рабочей области и вывести список ее ресурсов Azure, таких как пулы SQL, пулы Spark или среды выполнения интеграции. Вы увидите, назначена ли вам какая-либо роль Synapse RBAC или роль владельца, участника или читателя Azure в рабочей области.
Управление ресурсами
Пулы SQL, пулы Data Explorer и пулы Apache Spark можно создать, если вы являетесь владельцем Или участником Azure в группе ресурсов. Среду выполнения интеграции можно создать, если вы являетесь владельцем Или участником Azure в рабочей области. При использовании шаблонов ARM для автоматического развертывания необходимо быть участником Azure в группе ресурсов.
Вы можете приостанавливать или масштабировать выделенный пул SQL, а также настраивать пул Spark или среду выполнения интеграции, если являетесь владельцем или участником Azure рабочей области или соответствующего ресурса.
Просмотр и изменение артефактов кода
Имея доступ к Synapse Studio, вы можете создавать артефакты кода, такие как сценарии SQL, сценарии KQL, записные книжки, задания Spark, связанные службы, конвейеры, потоки данных, триггеры и учетные данные. При наличии дополнительных разрешений эти артефакты можно также публиковать или сохранять.
Если вы являетесь пользователем Synapse Artifact, издателем Synapse Artifact, участником Synapse или администратором Synapse, вы можете перечислить, открыть и изменить уже опубликованные артефакты кода, включая запланированные конвейеры.
Выполнение кода
Вы можете выполнять сценарии SQL в пулах SQL, если у вас есть необходимые разрешения SQL, определенные в этих пулах. Вы можете выполнять сценарии KQL в пулах Data Explorer, если у вас есть необходимые разрешения.
Вы можете запускать записные книжки и задания Spark, если у вас есть разрешения оператора вычислительной среды Synapse для данной рабочей области или конкретных пулов Apache Spark.
Имея разрешения оператора вычислений для данной рабочей области или конкретных сред выполнения интеграции, а также соответствующие разрешения учетных данных, можно выполнять конвейеры.
Мониторинг выполнения и управление им
Вы можете проверять состояние выполнения записных книжек и заданий в пулах Apache Spark, если являетесь пользователем Synapse.
Вы можете просматривать журналы и отменять выполняющиеся задания и конвейеры, если вы являетесь оператором вычислительной среды Synapse для данной рабочей области или конкретного пула Spark либо конвейера.
Отладка конвейеров
Вы можете просматривать конвейеры и изменять их от имени пользователя Synapse. Однако если вы хотите отладить конвейер, вам также потребуются права пользователя учетных данных Synapse.
Публикация и сохранение кода
Вы можете публиковать в службе новые или измененные артефакты кода, если являетесь издателем артефактов Synapse, участником Synapse или администратором Synapse.
Вы можете фиксировать артефакты кода в рабочей ветви репозитория Git, если в рабочей области включена поддержка Git и у вас есть разрешения Git. При включенной поддержке Git публикация разрешена только из ветви совместной работы.
Если закрыть Synapse Studio без публикации или фиксации изменений в артефактах кода, эти изменения будут потеряны.
Задачи и необходимые роли
В приведенной ниже таблице перечислены распространенные задачи с указанием ролей RBAC Synapse или Azure, необходимых для выполнения каждой из задач.
Примечание.
Роль администратора Synapse не указывается, за исключением случаев, когда это единственная роль, предоставляющая необходимые разрешения. Администратор Synapse может выполнять все задачи, включенные другими ролями Synapse RBAC.
Примечание.
Гостевые пользователи из другого клиента также могут просматривать, добавлять или изменять назначения ролей, если им назначена роль администратора Synapse.
Указана минимально необходимая роль RBAC Synapse.
Все роли RBAC Synapse в любой области действия предоставляют разрешения пользователя Synapse в рабочей области.
Все разрешения и действия RBAC Synapse, показанные в таблице, имеют префикс Microsoft/Synapse/workspaces/...
.
Задача (что нужно сделать) | Роль (кем необходимо быть) | Разрешение или действие RBAC Synapse |
---|---|---|
Открытие Synapse Studio в рабочей области | Пользователь Synapse или | чтение |
Владелец или участник Azure или читатель в рабочей области | ничего | |
Получение списка пулов SQL, пулов Data Explorer, пулов Apache Spark или сред выполнения интеграции и доступ к сведениям об их конфигурации | Пользователь Synapse или | чтение |
Владелец или участник Azure или читатель в рабочей области | ничего | |
Получение списка связанных служб, учетных данных или управляемых частных конечных точек | Пользователь Synapse | чтение |
Пулы SQL | ||
Создание выделенного или бессерверного пула SQL | Владелец Или участник Azure в группе ресурсов | ничего |
Управление выделенным пулом SQL (приостановка, масштабирование или удаление) | Владелец или участник Azure в пуле SQL или рабочей области | ничего |
Создание скрипта SQL |
Пользователь Synapse или Владелец или читатель Azure в рабочей области. Для выполнения сценария SQL, публикации или фиксации изменений необходимы дополнительные разрешения. |
|
Получение списка опубликованных сценариев SQL и открытие любого из них | Пользователь артефакта Synapse, издатель артефакта или участник Synapse | artifacts/read |
Выполнение сценария SQL в бессерверном пуле SQL | Разрешения SQL для пула (автоматически предоставляются администратору Synapse) | ничего |
Выполнение сценария SQL в выделенном пуле SQL | Разрешения SQL для пула (автоматически предоставляются администратору Synapse) | ничего |
Публикация нового сценария SQL, обновление или удаление существующего сценария SQL | Издатель артефакта Synapse или участник Synapse | sqlScripts/write, delete |
Фиксация изменений в сценарии SQL в репозитории Git | Необходимы разрешения Git на репозиторий | |
Назначение администратора Active Directory в рабочей области (с помощью свойств рабочей области на портале Azure) | Владелец или участник Azure в рабочей области | |
ПУЛЫ DATA EXPLORER | ||
Создание пула Data Explorer | Владелец Или участник Azure в группе ресурсов | ничего |
Управление пулом Data Explorer (приостановка, масштабирование или удаление) | Владелец или участник Azure в пуле SQL или рабочей области | ничего |
Создание сценария KQL |
Пользователь Synapse. Для выполнения сценариев, публикации и фиксации изменений необходимы дополнительные разрешения. |
|
Получение списка опубликованных сценариев KQL и открытие любого из них | Пользователь артефакта Synapse, издатель артефакта или участник Synapse | artifacts/read |
Выполнение сценария KQL в пуле Data Explorer | Разрешения Data Explorer для пула (автоматически предоставляются администратору Synapse) | ничего |
Публикация нового сценария KQL, обновление или удаление существующего сценария KQL | Издатель артефакта Synapse или участник Synapse | kqlScripts/write, delete |
Фиксация изменений в сценарии KQL в репозитории Git | Необходимы разрешения Git на репозиторий | |
Пулы Apache Spark | ||
Создание пула Apache Spark | Владелец Или участник Azure в группе ресурсов | |
Мониторинг приложений Apache Spark | Пользователь Synapse | чтение |
Просмотр журналов для завершенной записной книжки и выполнения заданий | Оператор мониторинга Synapse | |
Отмена любой записной книжки или задания Spark, выполняющихся в пуле Apache Spark | Оператор вычислительной среды Synapse в пуле Apache Spark | bigDataPools/useCompute |
Создание определения записной книжки или задания | Для выполнения, публикации или фиксации изменений в рабочей области требуются дополнительные разрешения пользователя Synapse или владельца Azure или читателя в рабочей области |
read |
Получение списка определений опубликованных записных книжек или заданий, а также их открытие, включая просмотр сохраненных выходных данных | Пользователь артефакта Synapse или оператор мониторинга Synapse в рабочей области | artifacts/read |
Выполнение записной книжки и просмотр ее выходных данных или отправка задания Spark | Администратор Synapse Apache Spark или оператор вычислительной среды Synapse в выбранном пуле Apache Spark | bigDataPools/useCompute |
Публикация или удаление определения записной книжки или задания (включая выходные данные) в службе | Издатель артефакта в рабочей области или администратор Synapse Apache Spark | notebooks/write, delete |
Фиксация изменений в определении записной книжки или задания в репозитории Git | Разрешения Git | ничего |
Конвейеры, среды выполнения интеграции, потоки данных, наборы данных и триггеры | ||
Создание, обновление или удаление среды выполнения интеграции | Владелец или участник Azure в рабочей области | |
Мониторинг состояния среды выполнения интеграции | Оператор мониторинга Synapse | read, integrationRuntimes/viewLogs |
Просмотр выполнения конвейера | Оператор мониторинга Synapse | read, pipelines/viewOutputs |
Создание конвейера | Пользователь Synapse Для отладки, добавления триггеров, публикации или фиксации изменений требуются дополнительные разрешения Synapse |
чтение |
Создание потока данных или набора данных | Пользователь Synapse Для публикации или фиксации изменений требуются дополнительные разрешения Synapse |
чтение |
Получение списка опубликованных конвейеров и открытие опубликованного конвейера | Пользователь артефакта Synapse или оператор мониторинга Synapse | artifacts/read |
Предварительный просмотр содержимого набора данных | Пользователь Synapse и пользователь учетных данных Synapse в отношении системного удостоверения рабочей области | |
Отладка конвейера с помощью среды выполнения интеграции по умолчанию | Пользователь Synapse и пользователь учетных данных Synapse в отношении системного удостоверения рабочей области | read, credentials/useSecret |
Создание триггера, включая Trigger Now (необходимо разрешение на выполнение конвейера) | Пользователь Synapse и пользователь учетных данных Synapse в отношении системного удостоверения рабочей области | read, credentials/useSecret/action |
Выполнение или запуск конвейера | Пользователь Synapse и пользователь учетных данных Synapse в отношении системного удостоверения рабочей области | read, credentials/useSecret/action |
Копирование данных с помощью средства копирования данных | Пользователь Synapse и пользователь учетных данных Synapse в отношении системного удостоверения рабочей области | read, credentials/useSecret/action |
Прием данных (по расписанию) | Автор Synapse и пользователь учетных данных Synapse в отношении системного удостоверения рабочей области | read, credentials/useSecret/action |
Публикация нового, обновление или удаление имеющегося конвейера, потока данных или триггера в службе | Издатель артефакта Synapse в рабочей области | pipelines/write, delete dataflows/write, delete triggers/write, delete |
Фиксация изменений в конвейерах, потоках данных, наборах данных или триггерах в репозитории Git | Разрешения Git | ничего |
СВЯЗАННЫЕ СЛУЖБЫ | ||
Создание связанной службы (включая назначение учетных данных) | Пользователь Synapse Для использования связанной службы с учетными данными, а также для публикации или фиксации изменений необходимы дополнительные разрешения |
чтение |
Вывод списка опубликованных связанных служб и открытие опубликованной связанной службы | Пользователь артефакта Synapse | linkedServices/write, delete |
Проверка подключения к связанной службе, защищенной с помощью учетных данных | Пользователь Synapse и пользователь учетных данных Synapse | credentials/useSecret/action |
Публикация связанной службы | Издатель артефакта Synapse или диспетчер связанных данных Synapse | linkedServices/write, delete |
Фиксация определений связанных служб в репозитории Git | Разрешения Git | ничего |
УПРАВЛЕНИЕ ДОСТУПОМ | ||
Просмотр назначения ролей RBAC Synapse в любой области действия | Пользователь Synapse | чтение |
Назначение и удаление назначений ролей RBAC Synapse для пользователей, групп и субъектов-служб | Администратор Synapse в рабочей области или в области действия определенного элемента рабочей области | roleAssignments/write, delete |