Synapse RBAC-roller
Artikeln beskriver de inbyggda Rollbaserade åtkomstkontrollrollerna i Synapse (rollbaserad åtkomstkontroll), de behörigheter som de beviljar och de omfång där de kan användas.
Mer information om hur du granskar och tilldelar Synapse-rollmedlemskap finns i så här granskar du Rolltilldelningar för Synapse RBAC och hur du tilldelar Synapse RBAC-roller.
Inbyggda Synapse RBAC-roller och omfång
I följande tabell beskrivs de inbyggda rollerna och de omfång där de kan användas.
Kommentar
Användare med en Synapse RBAC-roll i valfritt omfång har automatiskt Synapse-användarrollen på arbetsytans omfång.
Viktigt!
Synapse RBAC-roller beviljar inte behörighet att skapa eller hantera SQL-pooler, Apache Spark-pooler och integrationskörningar på Azure Synapse-arbetsytor. Azure-ägar- eller Azure-deltagarroller i resursgruppen krävs för dessa åtgärder.
Roll | Behörigheter | Omfattningar |
---|---|---|
Synapse-administratör | Fullständig Synapse-åtkomst till serverlösa och dedikerade SQL-pooler, Data Explorer-pooler, Apache Spark-pooler och integrationskörningar. Innehåller åtkomsten skapa, läsa, uppdatera och ta bort till alla publicerade kodartefakter. Innehåller behörigheter för beräkningsoperator, länkad datahanterare och autentiseringsuppgifter för arbetsytans systemidentitetsautentiseringsuppgifter. Inkluderar tilldelning av Synapse RBAC-roller. Utöver Synapse-administratören kan Azure-ägare även tilldela Synapse RBAC-roller. Azure-behörigheter krävs för att skapa, ta bort och hantera beräkningsresurser. Synapse RBAC-roller kan tilldelas även när den associerade prenumerationen är inaktiverad.Kan läsa och skriva artefakter Kan utföra alla åtgärder på Spark-aktiviteter. Kan visa Spark-poolloggar Kan visa sparade notebook-filer och pipelineutdata Kan använda hemligheter som lagras av länkade tjänster eller autentiseringsuppgifterKan tilldela och återkalla Synapse RBAC-roller i det aktuella omfånget | Spark-pool för arbetsyta Autentiseringsuppgifter för länkad integrationskörningstjänst |
Synapse Apache Spark-administratör | Fullständig Synapse-åtkomst till Apache Spark-pooler. Skapa, läsa, uppdatera och ta bort åtkomst till publicerade Spark-jobbdefinitioner, notebook-filer och deras utdata samt till bibliotek, länkade tjänster och autentiseringsuppgifter. Innehåller läsåtkomst till alla andra publicerade kodartefakter. Innehåller inte behörighet att använda autentiseringsuppgifter och köra pipelines. Omfattar inte beviljande av åtkomst. Kan utföra alla åtgärder på Spark-artefakterKan utföra alla åtgärder på Spark-aktiviteter | Spark-pool för arbetsyta |
Synapse SQL-administratör | Fullständig Synapse-åtkomst till serverlösa SQL-pooler. Skapa, läsa, uppdatera och ta bort åtkomst till publicerade SQL-skript, autentiseringsuppgifter och länkade tjänster. Innehåller läsåtkomst till alla andra publicerade kodartefakter. Innehåller inte behörighet att använda autentiseringsuppgifter och köra pipelines. Omfattar inte beviljande av åtkomst. Kan utföra alla åtgärder på SQL-skript Kan ansluta till serverlösa SQL-slutpunkter med SQL db_datareader - , db_datawriter , connect och grant -behörigheter |
Arbetsyta |
Synapse-deltagare | Fullständig Synapse-åtkomst till Apache Spark-pooler och integrationskörningar. Innehåller åtkomst för att skapa, läsa, uppdatera och ta bort åtkomst till alla publicerade kodartefakter och deras utdata, inklusive schemalagda pipelines, autentiseringsuppgifter och länkade tjänster. Innehåller behörigheter för beräkningsoperatorer. Innehåller inte behörighet att använda autentiseringsuppgifter och köra pipelines. Omfattar inte beviljande av åtkomst. Kan läsa och skriva artefakterKan visa sparade notebook-filer och pipelineutdataKan utföra alla åtgärder på Spark-aktiviteterKan visa Spark-poolloggar | Spark-pool för arbetsyta Integration runtime |
Synapse Artifact Publisher | Skapa, läsa, uppdatera och ta bort åtkomst till publicerade kodartefakter och deras utdata, inklusive schemalagda pipelines. Innehåller inte behörighet att köra kod eller pipelines eller att bevilja åtkomst. Kan läsa publicerade artefakter och publicera artefakterKan visa sparade notebook-filer, Spark-jobb och pipelineutdata | Arbetsyta |
Synapse Artifact User | Läs åtkomst till publicerade kodartefakter och deras utdata. Kan skapa nya artefakter men kan inte publicera ändringar eller köra kod utan ytterligare behörigheter. | Arbetsyta |
Synapse Compute Operator | Skicka Spark-jobb och notebook-filer och visa loggar. Inkluderar att avbryta Spark-jobb som skickas av alla användare. Kräver ytterligare behörigheter för att använda autentiseringsuppgifter på arbetsytans systemidentitet för att köra pipelines, visa pipelinekörningar och utdata. Kan skicka och avbryta jobb, inklusive jobb som skickats av andraKan visa Spark-poolloggar | Spark-poolintegreringskörningför arbetsyta |
Synapse-övervakningsoperator | Läs publicerade kodartefakter, inklusive loggar och utdata för pipelinekörningar och slutförda notebook-filer. Innehåller möjligheten att visa information om Apache Spark-pooler, Data Explorer-pooler och integrationskörningar. Kräver ytterligare behörigheter för att köra/avbryta pipelines, Spark-notebook-filer och Spark-jobb. | Arbetsyta |
Synapse Credential-användare | Körnings- och konfigurationstidsanvändning av hemligheter inom autentiseringsuppgifter och länkade tjänster i aktiviteter som pipelinekörningar. För att köra pipelines krävs den här rollen, begränsad till arbetsytans systemidentitet. Begränsad till en autentiseringsuppgift tillåter åtkomst till data via en länkad tjänst som skyddas av autentiseringsuppgifterna (kan också kräva beräkningsanvändningsbehörighet) Tillåter körning av pipelines som skyddas av arbetsytans systemidentitetsautentiseringsuppgifter | Autentiseringsuppgifter för länkad arbetsyta |
Synapse Linked Data Manager | Skapa och hantera hanterade privata slutpunkter, länkade tjänster och autentiseringsuppgifter. Kan skapa hanterade privata slutpunkter som använder länkade tjänster som skyddas av autentiseringsuppgifter | Arbetsyta |
Synapse-användare | Visa information om SQL-pooler, Apache Spark-pooler, integrationskörningar och publicerade länkade tjänster och autentiseringsuppgifter. Innehåller inte andra publicerade kodartefakter. Kan skapa nya artefakter men kan inte köra eller publicera utan ytterligare behörigheter. Kan visa och läsa Spark-pooler, integrationskörningar. | Arbetsyta, Länkade tjänstautentiseringsuppgifter för Spark-pool |
Synapse RBAC-roller och de åtgärder som de tillåter
Kommentar
- Alla åtgärder som anges i tabellerna nedan är prefixet "Microsoft.Synapse/..."
- Alla åtgärder för artefaktläsning, skrivning och borttagning gäller publicerade artefakter i livetjänsten. Dessa behörigheter påverkar inte åtkomsten till artefakter i en ansluten Git-lagringsplats.
I följande tabell visas de inbyggda rollerna och de åtgärder/behörigheter som varje användare har stöd för.
Roll | Åtgärder |
---|---|
Synapse-administratör | arbetsytor/läsarbetsytor/roleAssignments/write, deleteworkspaces/managedPrivateEndpoint/write, ta bortarbetsytor/bigDataPools/useCompute/actionworkspaces/bigDataPools/viewLogs/actionworkspaces/integrationRuntimes/useCompute/actionworkspaces/integrationRuntimes/viewLogs/actionworkspaces/artifacts/readworkspaces/notebooks/write, deleteworkspaces/sparkJobDefinitions/write, deleteworkspaces/sqlScripts/ write, deleteworkspaces/kqlScripts/write, ta bortarbetsytor/dataflöden/skrivning, ta bortarbetsytor/pipelines/skrivning, ta bortarbetsytor/utlösare/skriva, ta bortarbetsytor/datauppsättningar/skriva, ta bortarbetsytor/bibliotek/skriva, ta bortarbetsytor/linkedServices/write, ta bortarbetsytor/autentiseringsuppgifter/skriva, ta bortarbetsytor/notebooks/viewOutputs/åtgärdsarbetsytor/pipelines/viewOutputs/åtgärdsarbetsytor/ linkedServices/useSecret/actionworkspaces/credentials/useSecret/actionworkspaces/link Anslut ions/readworkspaces/link Anslut ions/writeworkspaces/link Anslut ions/deleteworkspaces/link Anslut ions/useCompute/action |
Synapse Apache Spark-administratör | workspaces/readworkspaces/bigDataPools/useCompute/actionworkspaces/bigDataPools/viewLogs/actionworkspaces/notebooks/viewOutputs/actionworkspaces/artifacts/readworkspaces/notebooks/write, deleteworkspaces/sparkJobDefinitions/write, deleteworkspaces/libraries/write, delete workspaces/linkedServices/write, delete workspaces/credentials/write, delete workspaces/libraries/write, delete workspaces/linkedServices/write, delete workspaces/credentials/write, delete workspaces/libraries/write, deleteworkspaces/linkedServices/write, deleteworkspaces/credentials/write, delete workspaces/libraries/write |
Synapse SQL-administratör | arbetsytor/läsarbetsytor/artefakter/läsarbetsytor/sqlScripts/write, ta bortarbetsytor/linkedServices/write, ta bortarbetsytor/autentiseringsuppgifter/skriva, ta bort |
Synapse-deltagare | arbetsytor/läsarbetsytor/bigDataPools/useCompute/actionworkspaces/bigDataPools/viewLogs/actionworkspaces/integrationRuntimes/useCompute/actionworkspaces/integrationRuntimes/viewLogs/actionworkspaces/artifacts/readworkspaces/notebooks/write, ta bortarbetsytor/sparkJobDefinitions/write, ta bortarbetsytor/sqlScripts/write, ta bortarbetsytor/kqlScripts/write, ta bortarbetsytor/dataFlöden/skriva, ta bortarbetsytor/pipelines/skrivning, ta bortarbetsytor/utlösare/skriva, ta bortarbetsytor/datauppsättningar/skriva, ta bortarbetsytor/bibliotek/skriva, ta bortarbetsytor/linkedServices/write, ta bortarbetsytor/autentiseringsuppgifter/skriva, ta bortarbetsytor/notebooks/viewOutputs/åtgärdsarbetsytor/pipelines/viewOutputs/åtgärdsarbetsytor/länk Anslut ions/läsarbetsytor/länk Anslut ions/ skrivaarbetsytor/länk Anslut ions/ta bortarbetsytor/länk Anslut ions/useCompute/action |
Synapse Artifact Publisher | arbetsytor/läsarbetsytor/artefakter/läsarbetsytor/notebook-filer/skrivning, ta bortarbetsytor/sparkJobDefinitions/write, ta bortarbetsytor/sqlScripts/write, ta bortarbetsytor/kqlScripts/write, ta bortarbetsytor/dataflöden/skriv, ta bortarbetsytor/pipelines/skriva, ta bortarbetsytor/utlösare/skriva, ta bortarbetsytor/datamängder/skriva, ta bortarbetsytor/bibliotek/skriva, ta bortarbetsytor/linkedServices/skriva, ta bortworkspaces/credentials/write, deleteworkspaces/notebooks/viewOutputs/actionworkspaces/pipelines/viewOutputs/action |
Synapse Artifact User | workspaces/readworkspaces/artifacts/readworkspaces/notebooks/viewOutputs/actionworkspaces/pipelines/viewOutputs/action |
Synapse Compute Operator | workspaces/readworkspaces/bigDataPools/useCompute/actionworkspaces/bigDataPools/viewLogs/actionworkspaces/integrationRuntimes/useCompute/actionworkspaces/integrationRuntimes/viewLogs/actionworkspaces/link Anslut ions/readworkspaces/link Anslut ions/useCompute/action |
Synapse-övervakningsoperator | arbetsytor/läsaarbetsytor/artefakter/läsaarbetsytor/notebook-filer/viewOutputs/åtgärdsarbetsytor/pipelines/viewOutputs/åtgärdsarbetsytor/integrationRuntimes/viewLogs/åtgärdsarbetsytor/bigDataPools/viewLogs/action |
Synapse Credential-användare | arbetsytor/läsarbetsytor/linkedServices/useSecret/actionworkspaces/credentials/useSecret/action |
Synapse Linked Data Manager | workspaces/readworkspaces/managedPrivateEndpoint/write, deleteworkspaces/linkedServices/write, deleteworkspaces/credentials/write, delete |
Synapse-användare | arbetsytor/läsning |
Synapse RBAC-åtgärder och de roller som tillåter dem
I följande tabell visas Synapse-åtgärder och inbyggda roller som tillåter dessa åtgärder:
Åtgärd | Roll |
---|---|
arbetsytor/läsning | Synapse AdministratorSynapse Apache Spark AdministratorSynapse SQL AdministratorSynapse ContributorSynapse Artifact PublisherSynapse Artifact UserSynapse Compute Operator Synapse Monitoring Operator Synapse Credential UserSynapse Linked Data ManagerSynapse User |
arbetsytor/roleAssignments/write, delete | Synapse-administratör |
arbetsytor/managedPrivateEndpoint/write, delete | Synapse AdministratorSynapse Linked Data Manager |
arbetsytor/bigDataPools/useCompute/action | Synapse AdministratorSynapse Apache Spark AdministratorSynapse ContributorSynapse Compute Operator Synapse Monitoring Operator |
arbetsytor/bigDataPools/viewLogs/action | Synapse AdministratorSynapse Apache Spark AdministratorSynapse ContributorSynapse Compute Operator |
workspaces/integrationRuntimes/useCompute/action | Synapse AdministratorSynapse-deltagareSynapse Compute OperatorSynapse Monitoring Operator |
workspaces/integrationRuntimes/viewLogs/action | Synapse AdministratorSynapse-deltagareSynapse Compute OperatorSynapse Monitoring Operator |
arbetsytor/länk Anslut ions/läsning | Synapse AdministratorSynapse-deltagareSynapse Compute Operator |
arbetsytor/länk Anslut ions/useCompute/action | Synapse AdministratorSynapse-deltagareSynapse Compute Operator |
arbetsytor/artefakter/läsning | Synapse AdministratorSynapse Apache Spark AdministratorSynapse SQL AdministratorSynapse ContributorSynapse Artifact PublisherSynapse Artifact User |
arbetsytor/anteckningsböcker/skrivning, ta bort | Synapse AdministratorSynapse Apache Spark AdministratorSynapse ContributorSynapse Artifact Publisher |
arbetsytor/sparkJobDefinitions/write, ta bort | Synapse AdministratorSynapse Apache Spark AdministratorSynapse ContributorSynapse Artifact Publisher |
arbetsytor/sqlScripts/write, ta bort | Synapse AdministratorSynapse SQL AdministratorSynapse ContributorSynapse Artifact Publisher |
arbetsytor/kqlScripts/write, ta bort | Synapse AdministratorSynapse ContributorSynapse Artifact Publisher |
arbetsytor/dataflöden/skrivning, ta bort | Synapse AdministratorSynapse ContributorSynapse Artifact Publisher |
arbetsytor/pipelines/skrivning, ta bort | Synapse AdministratorSynapse ContributorSynapse Artifact Publisher |
arbetsytor/länk Anslut ions/skrivning, ta bort | Synapse AdministratorSynapse-deltagare |
arbetsytor/utlösare/skriva, ta bort | Synapse AdministratorSynapse ContributorSynapse Artifact Publisher |
arbetsytor/datauppsättningar/skrivning, ta bort | Synapse AdministratorSynapse ContributorSynapse Artifact Publisher |
arbetsytor/bibliotek/skrivning, ta bort | Synapse AdministratorSynapse Apache Spark AdministratorSynapse ContributorSynapse Artifact Publisher |
arbetsytor/linkedServices/write, ta bort | Synapse AdministratorSynapse Apache Spark AdministratorSynapse SQL AdministratorSynapse ContributorSynapse Artifact PublisherSynapse Linked Data Manager |
arbetsytor/autentiseringsuppgifter/skrivning, ta bort | Synapse AdministratorSynapse Apache Spark AdministratorSynapse SQL AdministratorSynapse ContributorSynapse Artifact PublisherSynapse Linked Data Manager |
workspaces/notebooks/viewOutputs/action | Synapse AdministratorSynapse Apache Spark AdministratorSynapse ContributorSynapse Artifact PublisherSynapse Artifact User |
arbetsytor/pipelines/viewOutputs/action | Synapse AdministratorSynapse-deltagareSynapse Artifact PublisherSynapse Artifact User |
arbetsytor/linkedServices/useSecret/action | Synapse AdministratorSynapse Credential User |
arbetsytor/autentiseringsuppgifter/useSecret/action | Synapse AdministratorSynapse Credential User |
Synapse RBAC-omfång och deras roller som stöds
Tabellen nedan visar Synapse RBAC-omfång och de roller som kan tilldelas i varje omfång.
Kommentar
Om du vill skapa eller ta bort ett objekt måste du ha behörigheter på en högre nivå.
Omfattning | Roller |
---|---|
Arbetsyta | Synapse AdministratorSynapse Apache Spark AdministratorSynapse SQL AdministratorSynapse ContributorSynapse Artifact PublisherSynapse Artifact UserSynapse Compute Operator Synapse Monitoring Operator Synapse Credential UserSynapse Linked Data ManagerSynapse User |
Apache Spark-pool | Synapse Administrator Synapse-deltagare Synapse Compute Operator |
Integration runtime | Synapse Administrator Synapse-deltagare Synapse Compute Operator |
Länkad tjänst | Synapse Administrator Synapse Credential User |
Merit | Synapse Administrator Synapse Credential User |
Kommentar
Alla artefaktroller och åtgärder är begränsade på arbetsytans nivå.
Nästa steg
- Lär dig hur du granskar Rolltilldelningar för Synapse RBAC för en arbetsyta.
- Lär dig hur du tilldelar Synapse RBAC-roller
Feedback
https://aka.ms/ContentUserFeedback.
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i:Skicka och visa feedback för