Synapse RBAC-roller
Artikeln beskriver de inbyggda Rollbaserade åtkomstkontrollrollerna i Synapse (rollbaserad åtkomstkontroll), de behörigheter som de beviljar och de omfång där de kan användas.
Mer information om hur du granskar och tilldelar Synapse-rollmedlemskap finns i så här granskar du rolltilldelningar för Synapse RBAC och hur du tilldelar Synapse RBAC-roller.
Inbyggda Synapse RBAC-roller och omfång
I följande tabell beskrivs de inbyggda rollerna och de omfång där de kan användas.
Kommentar
Användare med en Synapse RBAC-roll i valfritt omfång har automatiskt Synapse-användarrollen på arbetsytans omfång.
Viktigt!
Synapse RBAC-roller beviljar inte behörighet att skapa eller hantera SQL-pooler, Apache Spark-pooler och integrationskörningar på Azure Synapse-arbetsytor. Azure-ägar- eller Azure-deltagarroller i resursgruppen krävs för dessa åtgärder.
| Roll | Behörigheter | Omfattningar |
|---|---|---|
| Synapse-administratör | Fullständig Synapse-åtkomst till serverlösa och dedikerade SQL-pooler, Data Explorer-pooler, Apache Spark-pooler och integrationskörningar. Innehåller åtkomsten skapa, läsa, uppdatera och ta bort till alla publicerade kodartefakter. Innehåller behörigheter för beräkningsoperator, länkad datahanterare och autentiseringsuppgifter för arbetsytans systemidentitetsautentiseringsuppgifter. Inkluderar tilldelning av Synapse RBAC-roller. Utöver Synapse-administratören kan Azure-ägare även tilldela Synapse RBAC-roller. Azure-behörigheter krävs för att skapa, ta bort och hantera beräkningsresurser. Synapse RBAC-roller kan tilldelas även när den associerade prenumerationen är inaktiverad. Kan läsa och skriva artefakter Kan utföra alla åtgärder på Spark-aktiviteter. Kan visa Spark-poolloggar Kan visa sparade notebook-filer och pipelineutdata Kan använda hemligheter som lagras av länkade tjänster eller autentiseringsuppgifter Kan tilldela och återkalla Synapse RBAC-roller i det aktuella omfånget |
Spark-pool för arbetsyta Autentiseringsuppgifter för länkad integrationskörningstjänst |
| Synapse Apache Spark-administratör |
Fullständig Synapse-åtkomst till Apache Spark-pooler. Skapa, läsa, uppdatera och ta bort åtkomst till publicerade Spark-jobbdefinitioner, notebook-filer och deras utdata samt till bibliotek, länkade tjänster och autentiseringsuppgifter. Innehåller läsåtkomst till alla andra publicerade kodartefakter. Innehåller inte behörighet att använda autentiseringsuppgifter och köra pipelines. Omfattar inte beviljande av åtkomst. Kan utföra alla åtgärder på Spark-artefakter Kan utföra alla åtgärder på Spark-aktiviteter |
Spark-pool för arbetsyta |
| Synapse SQL-administratör | Fullständig Synapse-åtkomst till serverlösa SQL-pooler. Skapa, läsa, uppdatera och ta bort åtkomst till publicerade SQL-skript, autentiseringsuppgifter och länkade tjänster. Innehåller läsåtkomst till alla andra publicerade kodartefakter. Innehåller inte behörighet att använda autentiseringsuppgifter och köra pipelines. Omfattar inte beviljande av åtkomst. Kan utföra alla åtgärder på SQL-skript Kan ansluta till serverlösa SQL-slutpunkter med SQL db_datareader- , db_datawriter, connectoch grant -behörigheter |
Arbetsyta |
| Synapse-deltagare | Fullständig Synapse-åtkomst till Apache Spark-pooler och integrationskörningar. Innehåller åtkomst för att skapa, läsa, uppdatera och ta bort åtkomst till alla publicerade kodartefakter och deras utdata, inklusive schemalagda pipelines, autentiseringsuppgifter och länkade tjänster. Innehåller behörigheter för beräkningsoperatorer. Innehåller inte behörighet att använda autentiseringsuppgifter och köra pipelines. Omfattar inte beviljande av åtkomst. Kan läsa och skriva artefakter Kan visa sparade notebook-filer och pipelineutdata Kan utföra alla åtgärder på Spark-aktiviteter Kan visa Spark-poolloggar |
Spark-pool för arbetsyta Integration runtime |
| Synapse Artifact Publisher | Skapa, läsa, uppdatera och ta bort åtkomst till publicerade kodartefakter och deras utdata, inklusive schemalagda pipelines. Innehåller inte behörighet att köra kod eller pipelines eller att bevilja åtkomst. Kan läsa publicerade artefakter och publicera artefakter Kan visa sparade notebook-filer, Spark-jobb och pipelineutdata |
Arbetsyta |
| Synapse Artifact User | Läs åtkomst till publicerade kodartefakter och deras utdata. Kan skapa nya artefakter men kan inte publicera ändringar eller köra kod utan fler behörigheter. | Arbetsyta |
| Synapse Compute Operator | Skicka Spark-jobb och notebook-filer och visa loggar. Inkluderar att avbryta Spark-jobb som skickas av alla användare. Kräver andra behörigheter för att använda autentiseringsuppgifter på arbetsytans systemidentitet för att köra pipelines, visa pipelinekörningar och utdata. Kan skicka och avbryta jobb, inklusive jobb som skickats av andra Kan visa Spark-poolloggar |
Spark-poolintegreringskörning för arbetsyta |
| Synapse-övervakningsoperator | Läs publicerade kodartefakter, inklusive loggar och utdata för pipelinekörningar och slutförda notebook-filer. Innehåller möjligheten att visa information om Apache Spark-pooler, Data Explorer-pooler och integrationskörningar. Kräver andra behörigheter för att köra/avbryta pipelines, Spark-notebook-filer och Spark-jobb. | Arbetsyta |
| Synapse Credential-användare | Körnings- och konfigurationstidsanvändning av hemligheter inom autentiseringsuppgifter och länkade tjänster i aktiviteter som pipelinekörningar. För att köra pipelines krävs den här rollen, begränsad till arbetsytans systemidentitet. Begränsad till en autentiseringsuppgift tillåter åtkomst till data via en länkad tjänst som skyddas av autentiseringsuppgifterna (kan också kräva beräkningsanvändningsbehörighet) Tillåter körning av pipelines som skyddas av arbetsytans systemidentitetsautentiseringsuppgifter |
Autentiseringsuppgifter för länkad arbetsyta |
| Synapse Linked Data Manager | Skapa och hantera hanterade privata slutpunkter, länkade tjänster och autentiseringsuppgifter. Kan skapa hanterade privata slutpunkter som använder länkade tjänster som skyddas av autentiseringsuppgifter | Arbetsyta |
| Synapse-användare | Visa information om SQL-pooler, Apache Spark-pooler, integrationskörningar och publicerade länkade tjänster och autentiseringsuppgifter. Innehåller inte andra publicerade kodartefakter. Kan skapa nya artefakter men kan inte köra eller publicera utan fler behörigheter. Kan visa och läsa Spark-pooler, integrationskörningar. |
Arbetsyta, Länkade tjänstautentiseringsuppgifter för Spark-pool |
Synapse RBAC-roller och de åtgärder som de tillåter
Kommentar
- Alla åtgärder som anges i tabellerna nedan är prefixet "Microsoft.Synapse/..."
- Alla åtgärder för artefaktläsning, skrivning och borttagning gäller publicerade artefakter i livetjänsten. Dessa behörigheter påverkar inte åtkomsten till artefakter i en ansluten Git-lagringsplats.
I följande tabell visas de inbyggda rollerna och de åtgärder/behörigheter som varje användare har stöd för.
| Roll | Åtgärder |
|---|---|
| Synapse-administratör | arbetsytor/läsarbetsytor /roleAssignments/write, delete workspaces/managedPrivateEndpoint/write, ta bort arbetsytor/bigDataPool/useCompute/action workspaces/bigDataPool/viewLogs/action workspaces/scopePool/useCompute/action workspaces/scopePool/viewLogs/action workspaces/integrationRuntime/useCompute/action workspaces/integrationRuntime/viewLogs/action workspaces/artifacts/read workspaces/notebooks/write arbetsytor/sparkJobDefinitions/write, ta bort arbetsytor/scopeJobDefinitions/write, ta bort arbetsytor/sqlScripts/write, ta bort arbetsytor/dataFlöden/skriva, ta bort arbetsytor/dataMappers/skriv, ta bort arbetsytor/pipelines/skriva, ta bort arbetsytor/utlösare/skriva, ta bort arbetsytor/datauppsättningar/skriva, ta bort arbetsytor/länkadeTjänster/skriva, ta bort arbetsytor/autentiseringsuppgifter/skriva, ta bort arbetsytor/notebooks/ ta bort arbetsytor/cancelPipelineRun/åtgärdsarbetsytor /notebooksViewOutputs/åtgärdsarbetsytor /pipelinesViewOutputs/åtgärdsarbetsytor /linkedServicesUseSecret/action workspaces/credentialsUseSecret/action workspaces/libraries/write, ta bort arbetsytor/kQLScripts/write, ta bort arbetsytor/sparkConfigurations/write, ta bort arbetsytor/synapseLinkConnections/läsa, skriva, ta bort arbetsytor/synapseLinkConnections/ useCompute/action |
| Synapse Apache Spark-administratör | workspaces/read orkspaces/bigDataPoolUseCompute/action orkspaces/bigDataPoolViewLogs/action orkspaces/artifacts/read orkspaces/notebooks/write, delete orkspaces/sparkJobDefinitions/write, delete orkspaces/linkedServices/write, delete orkspaces/credentials/write, delete orkspaces/libraries/write, delete orkspaces/notebooksViewOutputs/action |
| Synapse SQL-administratör | arbetsytor/läsarbetsytor /artefakter/läsarbetsytor /sqlScripts/write, ta bort arbetsytor/linkedServices/write, ta bort arbetsytor/autentiseringsuppgifter/skriva, ta bort |
| Synapse-omfångsadministratör | workspaces/read workspaces/scopePoolUseCompute/action workspaces/scopePoolViewLogs/action workspaces/linkedServices/write, delete workspaces/credentials/write, delete workspaces/scopeJobDefinitions/write, delete |
| Synapse Private Endpoint Manager | workspaces/read workspaces/managedPrivateEndpoint/write, delete workspaces/linkedServices/write, delete workspaces/credentials/write, delete |
| Synapse-deltagare | arbetsytor/läsarbetsytor /bigDataPool/useCompute/action workspaces/bigDataPool/viewLogs/action workspaces/scopePool/useCompute/action workspaces/scopePool/viewLogs/action workspaces/integrationRuntime/useCompute/action workspaces/integrationRuntime/viewLogs/action workspaces/artifacts/read workspaces/notebooks/write, ta bort arbetsytor/sparkJobDefinitions/write, ta bort arbetsytor/sqlScripts/write, ta bort arbetsytor/dataflöden/skrivning, ta bort arbetsytor/dataMappers/skrivning, ta bort arbetsytor/pipelines/skriva, ta bort arbetsytor/utlösare/skriva, ta bort arbetsytor/datauppsättningar/skriva, ta bort arbetsytor/linkedServices/write, ta bort arbetsytor/autentiseringsuppgifter/skriva, ta bort arbetsytor/cancelPipelineRun/åtgärdsarbetsytor /notebooksViewOutputs/åtgärdsarbetsytor /pipelinesViewOutputs/åtgärdsarbetsytor /bibliotek/skrivning, ta bort workspaces/kQLScripts/write, delete workspaces/sparkConfigurations/write, delete workspaces/synapseLinkConnections/read,write, delete workspaces/synapseLinkConnections/useComputeAction |
| Synapse Artifact Publisher | arbetsytor/läsarbetsytor /artefakter/läsarbetsytor /notebook-filer/skrivning, delete workspaces/sparkJobDefinitions/write, delete workspaces/scopeJobDefinitions/write, delete workspaces/sqlScripts/write, delete workspaces/dataFlows/write, delete workspaces/dataMappers/write, delete workspaces/pipelines/write, delete workspaces/triggers/write, delete workspaces/datasets/write, delete workspaces/linkedServices/write, ta bort arbetsytor/autentiseringsuppgifter/skrivning, ta bort arbetsytor/notebooksViewOutputs/åtgärdsarbetsytor /pipelinesViewOutputs/åtgärdsarbetsytor /bibliotek/skrivning, ta bort arbetsytor/kQLScripts/skriva, ta bort arbetsytor/sparkConfigurations/skriva, ta bort |
| Synapse Artifact User | workspaces/read workspaces/artifacts/read workspaces/notebooks/viewOutputs/action workspaces/pipelines/viewOutputs/action |
| Synapse Compute Operator | arbetsytor/läsarbetsytor /bigDataPools/useCompute/action workspaces/bigDataPools/viewLogs/action workspaces/scopePool/useCompute/action workspaces/scopePool/viewLogs/action workspaces/integrationRuntimes/useCompute/action workspaces/integrationRuntimes/viewLogs/action workspaces/cancelPipelineRun/action workspaces/linkConnections/read workspaces/linkConnections/useCompute/action |
| Synapse-övervakningsoperator | arbetsytor/läsa arbetsytor/artefakter/läsa arbetsytor/notebook-filer/viewOutputs/åtgärdsarbetsytor /pipelines/viewOutputs/åtgärdsarbetsytor /integrationRuntimes/viewLogs/åtgärdsarbetsytor /bigDataPools/viewLogs/action |
| Synapse Credential-användare | arbetsytor/läsarbetsytor /linkedServices/useSecret/action workspaces/credentials/useSecret/action |
| Synapse Linked Data Manager | workspaces/read workspaces/managedPrivateEndpoint/write, delete workspaces/linkedServices/write, delete workspaces/credentials/write, delete |
| Synapse-användare | arbetsytor/läsning |
Synapse RBAC-åtgärder och de roller som tillåter dem
I följande tabell visas Synapse-åtgärder och inbyggda roller som tillåter dessa åtgärder:
| Åtgärd | Roll |
|---|---|
| arbetsytor/läsning | Synapse Administrator Synapse Apache Spark Administrator Synapse SQL Administrator Synapse Contributor Synapse Artifact Publisher Synapse Artifact User Synapse Compute Operator Synapse Monitoring Operator Synapse Credential User Synapse Linked Data Manager Synapse User |
| arbetsytor/roleAssignments/write, delete | Synapse-administratör |
| arbetsytor/managedPrivateEndpoint/write, delete | Synapse Administrator Synapse Linked Data Manager |
| arbetsytor/bigDataPools/useCompute/action | Synapse Administrator Synapse Apache Spark Administrator Synapse Contributor Synapse Compute Operator Synapse Monitoring Operator |
| arbetsytor/bigDataPools/viewLogs/action | Synapse Administrator Synapse Apache Spark Administrator Synapse Contributor Synapse Compute Operator |
| workspaces/integrationRuntimes/useCompute/action | Synapse Administrator Synapse-deltagare Synapse Compute Operator Synapse Monitoring Operator |
| workspaces/integrationRuntimes/viewLogs/action | Synapse Administrator Synapse-deltagare Synapse Compute Operator Synapse Monitoring Operator |
| workspaces/linkConnections/read | Synapse Administrator Synapse-deltagare Synapse Compute Operator |
| workspaces/linkConnections/useCompute/action | Synapse Administrator Synapse-deltagare Synapse Compute Operator |
| arbetsytor/artefakter/läsning | Synapse Administrator Synapse Apache Spark Administrator Synapse SQL Administrator Synapse Contributor Synapse Artifact Publisher Synapse Artifact User |
| arbetsytor/anteckningsböcker/skrivning, ta bort | Synapse Administrator Synapse Apache Spark Administrator Synapse Contributor Synapse Artifact Publisher |
| arbetsytor/sparkJobDefinitions/write, ta bort | Synapse Administrator Synapse Apache Spark Administrator Synapse Contributor Synapse Artifact Publisher |
| arbetsytor/sqlScripts/write, ta bort | Synapse Administrator Synapse SQL Administrator Synapse Contributor Synapse Artifact Publisher |
| arbetsytor/kqlScripts/write, ta bort | Synapse Administrator Synapse Contributor Synapse Artifact Publisher |
| arbetsytor/dataflöden/skrivning, ta bort | Synapse Administrator Synapse Contributor Synapse Artifact Publisher |
| arbetsytor/pipelines/skrivning, ta bort | Synapse Administrator Synapse Contributor Synapse Artifact Publisher |
| arbetsytor/linkAnslutningar/skrivning, ta bort | Synapse Administrator Synapse-deltagare |
| arbetsytor/utlösare/skriva, ta bort | Synapse Administrator Synapse Contributor Synapse Artifact Publisher |
| arbetsytor/datauppsättningar/skrivning, ta bort | Synapse Administrator Synapse Contributor Synapse Artifact Publisher |
| arbetsytor/bibliotek/skrivning, ta bort | Synapse Administrator Synapse Apache Spark Administrator Synapse Contributor Synapse Artifact Publisher |
| arbetsytor/linkedServices/write, ta bort | Synapse Administrator Synapse Apache Spark Administrator Synapse SQL Administrator Synapse Contributor Synapse Artifact Publisher Synapse Linked Data Manager |
| arbetsytor/autentiseringsuppgifter/skrivning, ta bort | Synapse Administrator Synapse Apache Spark Administrator Synapse SQL Administrator Synapse Contributor Synapse Artifact Publisher Synapse Linked Data Manager |
| workspaces/notebooks/viewOutputs/action | Synapse Administrator Synapse Apache Spark Administrator Synapse Contributor Synapse Artifact Publisher Synapse Artifact User |
| arbetsytor/pipelines/viewOutputs/action | Synapse Administrator Synapse-deltagare Synapse Artifact Publisher Synapse Artifact User |
| arbetsytor/linkedServices/useSecret/action | Synapse Administrator Synapse Credential User |
| arbetsytor/autentiseringsuppgifter/useSecret/action | Synapse Administrator Synapse Credential User |
Synapse RBAC-omfång och deras roller som stöds
Tabellen nedan visar Synapse RBAC-omfång och de roller som kan tilldelas i varje omfång.
Kommentar
Om du vill skapa eller ta bort ett objekt måste du ha behörigheter på en högre nivå.
| Omfattning | Roller |
|---|---|
| Arbetsyta | Synapse Administrator Synapse Apache Spark Administrator Synapse SQL Administrator Synapse Contributor Synapse Artifact Publisher Synapse Artifact User Synapse Compute Operator Synapse Monitoring Operator Synapse Credential User Synapse Linked Data Manager Synapse User |
| Apache Spark-pool | Synapse Administrator Synapse-deltagare Synapse Compute Operator |
| Integration runtime | Synapse Administrator Synapse-deltagare Synapse Compute Operator |
| Länkad tjänst | Synapse Administrator Synapse Credential User |
| Merit | Synapse Administrator Synapse Credential User |
Kommentar
Alla artefaktroller och åtgärder är begränsade på arbetsytans nivå.
Nästa steg
- Lär dig hur du granskar Rolltilldelningar för Synapse RBAC för en arbetsyta.
- Lär dig hur du tilldelar Synapse RBAC-roller