Roller och behörigheter för Azure Data Factory

GÄLLER FÖR: Azure Data Factory Azure Synapse Analytics

Dricks

Prova Data Factory i Microsoft Fabric, en allt-i-ett-analyslösning för företag. Microsoft Fabric omfattar allt från dataflytt till datavetenskap, realtidsanalys, business intelligence och rapportering. Lär dig hur du startar en ny utvärderingsversion kostnadsfritt!

Den här artikeln beskriver de roller som krävs för att skapa och hantera Azure Data Factory-resurser och de behörigheter som beviljas av dessa roller.

Roller och krav

Om du vill skapa Data Factory-instanser måste det användarkonto som du använder för att logga in på Azure vara medlem i deltagarrollen, ägarrollen eller administratören för Azure-prenumerationen. Om du vill visa de behörigheter som du har i prenumerationen går du till Azure-portalen, väljer ditt användarnamn i det övre högra hörnet och väljer sedan Mina behörigheter. Om du har åtkomst till flera prenumerationer väljer du rätt prenumeration.

För att skapa och hantera underordnade resurser för Data Factory – inklusive datauppsättningar, länkade tjänster, pipelines, utlösare och integreringskörningar – gäller följande krav:

• Om du vill skapa och hantera underordnade resurser i Azure-portalen måste du tillhöra rollen Data Factory-deltagare på resursgruppsnivå eller högre.

  Kommentar

  Om du redan har tilldelat rollen Deltagare på resursgruppsnivå eller högre behöver du inte rollen Data Factory-deltagare . Rollen Deltagare är en superuppsättningsroll som innehåller alla behörigheter som har beviljats rollen Data Factory-deltagare.

• För att skapa och hantera underordnade resurser med PowerShell eller SDK räcker det att du har rollen som deltagare på resursnivå eller högre.

För exempel på instruktioner om hur du lägger till en användare till en roll läser du artikeln Lägg till roller.

Konfigurera behörigheter

När du har skapat en Data Factory kanske du vill låta andra användare arbeta med datafabriken. För att ge den här åtkomsten till andra användare måste du lägga till dem i den inbyggda rollen Data Factory-deltagare i resursgruppen som innehåller Data Factory.

Omfång för rollen Data Factory-deltagare

Med medlemskap i rollen Data Factory-deltagare kan användarna göra följande:

• Skapa, redigera och ta bort datafabriker och underordnade resurser, inklusive datauppsättningar, länkade tjänster, pipelines, utlösare och integrationskörningar.
• Distribuera Resource Manager-mallar. Resource Manager-distribution är den distributionsmetod som används av Data Factory i Azure-portalen.
• Hantera App Insights-aviseringar för en datafabrik.
• Skapa supportärenden.

Mer information om den här rollen finns i Rollen Data Factory-deltagare.

Distribution av Resource Manager-mall

Med rollen Data Factory-deltagare på resursgruppsnivå eller högre kan användarna distribuera Resource Manager-mallar. Därför kan medlemmar i rollen använda Resource Manager-mallar för att distribuera både datafabriker och deras underordnade resurser, inklusive datauppsättningar, länkade tjänster, pipelines, utlösare och integreringskörningar. Medlemskap i den här rollen låter inte användaren skapa andra resurser.

Behörigheter på Azure Repos och GitHub är oberoende av Data Factory-behörigheter. Därför kan en användare med lagringsplatsens behörigheter som endast är medlem i rollen Läsare redigera datafabrikens underordnade resurser och checka in ändringar på lagringsplatsen, men som inte kan publicera ändringarna.

Viktigt!

Resource Manager-malldistribution med rollen Data Factory-deltagare höjer inte dina behörigheter. Om du till exempel distribuerar en mall som skapar en virtuell Azure-dator och du inte har behörighet att skapa virtuella datorer misslyckas distributionen med ett auktoriseringsfel.

I publiceringskontext gäller behörigheten Microsoft.DataFactory/factories/write för följande lägen.

• Den behörigheten krävs endast i liveläge när kunden ändrar de globala parametrarna.
• Den behörigheten krävs alltid i Git-läge eftersom fabriksobjektet med det senaste inchecknings-ID:t måste uppdateras varje gång kunden publicerar.

Anpassade scenarier och anpassade roller

Ibland kan du behöva bevilja olika åtkomstnivåer för olika datafabriksanvändare. Till exempel:

• Du kan behöva en grupp där användarna bara har behörighet för en specifik datafabrik.
• Eller så kan du behöva en grupp där användare bara kan övervaka en datafabrik (eller fabriker) men inte kan ändra den.

Du kan uppnå dessa anpassade scenarier genom att skapa anpassade roller och tilldela användare till dessa roller. Mer information om anpassade roller finns i Anpassade roller i Azure.

Här följer några exempel som visar vad du kan uppnå med anpassade roller:

• Låt en användare skapa, redigera eller ta bort en datafabrik i en resursgrupp från Azure-portalen.

  Tilldela den inbyggda Data Factory-deltagarrollen på resursgruppsnivå för användaren. Om du vill tillåta åtkomst till en datafabrik i en prenumeration tilldelar du rollen på prenumerationsnivå.

• Låt en användare visa (läsa) och övervaka en datafabrik, men inte redigera eller ändra den.

  Tilldela den inbyggda läsarrollen på datafabriksresursen för användaren.

• Låt en användare redigera en enskild datafabrik i Azure-portalen.

  Det här scenariot kräver två rolltilldelningar.

  1. Tilldela den inbyggda deltagarrollen på datafabriksnivå.
  2. Skapa en anpassad roll med behörigheten Microsoft.Resources/deployments/. Tilldela den här anpassade rollen till användaren på resursgruppsnivå.

• Låt en användare kunna testa anslutningen i en länkad tjänst eller förhandsgranska data i en datauppsättning

  Skapa en anpassad roll med behörigheter för följande åtgärder: Microsoft.DataFactory/factories/getFeatureValue/read och Microsoft.DataFactory/factories/getDataPlaneAccess/action. Tilldela den här anpassade rollen på datafabriksresursen för användaren.

• Låt en användare uppdatera en datafabrik från PowerShell eller SDK, men inte i Azure-portalen.

  Tilldela den inbyggda deltagarrollen för datafabriksresursen för användaren. Med den här rollen kan användaren se resurserna i Azure-portalen, men användaren kan inte komma åt knapparna Publicera och Publicera alla .

Relaterat innehåll

• Läs mer om roller i Azure – Förstå rolldefinitioner

• Läs mer om Rollen Data Factory-deltagare – Data Factory-deltagare.