Förstå de roller som krävs för att utföra vanliga uppgifter i Azure Synapse
Den här artikeln hjälper dig att förstå vilka Synapse RBAC-roller (rollbaserad åtkomstkontroll) eller Azure RBAC-roller som du behöver för att få arbete gjort i Synapse Studio. Information om hur du hanterar rollmedlemskap finns i Hantera Rolltilldelningar för Synapse RBAC.
Sammanfattning av synapse Studio-åtkomstkontroll och arbetsflöde
Få åtkomst till Synapse Studio
Du kan öppna Synapse Studio och visa information om arbetsytan och lista någon av dess Azure-resurser, till exempel SQL-pooler, Spark-pooler eller integrationskörningar. Du ser om du har tilldelats någon Synapse RBAC-roll eller har rollen Azure-ägare, deltagare eller läsare på arbetsytan.
Resurshantering
Du kan skapa SQL-pooler, Data Explorer-pooler och Apache Spark-pooler om du är Azure-ägare eller deltagare i resursgruppen. Du kan skapa en Integration Runtime om du är Azure-ägare eller deltagare på arbetsytan. När du använder ARM-mallar för automatisk distribution måste du vara Azure-deltagare i resursgruppen.
Du kan pausa eller skala en dedikerad SQL-pool, konfigurera en Spark-pool eller en integreringskörning om du är Azure-ägare eller deltagare på arbetsytan eller den resursen.
Visa och redigera kodartefakter
Med åtkomst till Synapse Studio kan du skapa nya kodartefakter, till exempel SQL-skript, KQL-skript, notebook-filer, spark-jobb, länkade tjänster, pipelines, dataflöden, utlösare och autentiseringsuppgifter. Dessa artefakter kan publiceras eller sparas med ytterligare behörigheter.
Om du är synapseartefaktanvändare, Synapse Artifact Publisher, Synapse-deltagare eller Synapse-administratör kan du lista, öppna och redigera redan publicerade kodartefakter, inklusive schemalagda pipelines.
Kör koden
Du kan köra SQL-skript på SQL-pooler om du har nödvändiga SQL-behörigheter som definierats i SQL-poolerna. Du kan köra KQL-skript i Data Explorer-pooler om du har nödvändiga behörigheter.
Du kan köra notebook-filer och Spark-jobb om du har Synapse Compute Operator-behörigheter på arbetsytan eller specifika Apache Spark-pooler.
Med beräkningsoperatörsbehörigheter på arbetsytan eller specifika integreringskörningar och lämpliga behörigheter för autentiseringsuppgifter kan du köra pipelines.
Övervaka och hantera körning
Du kan granska statusen för att köra notebook-filer och jobb i Apache Spark-pooler om du är synapse-användare.
Du kan granska loggar och avbryta jobb och pipelines som körs om du är Synapse Compute Operator på arbetsytan eller för en specifik Spark-pool eller pipeline.
Felsöka pipelines
Du kan granska och göra ändringar i pipelines som synapse-användare, men om du vill kunna felsöka den måste du också ha Synapse Credential User.
Publicera och spara koden
Du kan publicera nya eller uppdaterade kodartefakter till tjänsten om du är Synapse Artifact Publisher, Synapse-deltagare eller Synapse-administratör.
Du kan checka in kodartefakter till en arbetsgren på en Git-lagringsplats om arbetsytan är Git-aktiverad och du har Git-behörigheter. Med Git aktiverat tillåts publicering endast från samarbetsgrenen.
Om du stänger Synapse Studio utan att publicera eller genomföra ändringar i kodartefakter går ändringarna förlorade.
Uppgifter och nödvändiga roller
I tabellen nedan visas vanliga uppgifter och för varje uppgift krävs De Nödvändiga Rollerna för Synapse RBAC eller Azure RBAC.
Kommentar
Synapse-administratören visas inte för varje uppgift om det inte är den enda rollen som ger nödvändig behörighet. En Synapse-administratör kan utföra alla uppgifter som aktiveras av andra Synapse RBAC-roller.
Kommentar
Gästanvändare från en annan klientorganisation kan också granska, lägga till eller ändra rolltilldelningar när de har tilldelats som Synapse-administratör.
Den minsta Synapse RBAC-roll som krävs visas.
Alla Synapse RBAC-roller i valfritt omfång ger dig Synapse-användarbehörigheter på arbetsytan.
Alla Synapse RBAC-behörigheter/åtgärder som visas i tabellen är prefixet Microsoft/Synapse/workspaces/....
| Uppgift (jag vill...) | Roll (jag måste vara...) | Synapse RBAC-behörighet/åtgärd |
|---|---|---|
| Öppna Synapse Studio på en arbetsyta | Synapse-användare eller | läsa |
| Azure-ägare, deltagare eller läsare på arbetsytan | inget | |
| Visa en lista över SQL-pooler eller Data Explorer-pooler eller Apache Spark-pooler eller integrationskörningar och få åtkomst till deras konfigurationsinformation | Synapse-användare eller | läsa |
| Azure-ägare, deltagare eller läsare på arbetsytan | inget | |
| Lista länkade tjänster eller autentiseringsuppgifter eller hanterade privata slutpunkter | Synapse-användare | läsa |
| SQL-POOLER | ||
| Skapa en dedikerad SQL-pool eller en serverlös SQL-pool | Azure-ägare eller deltagare i resursgruppen | inget |
| Hantera (pausa eller skala eller ta bort) en dedikerad SQL-pool | Azure-ägare eller deltagare i SQL-poolen eller arbetsytan | inget |
| Skapa ett SQL-skript |
Synapse-användare, Azure-ägare eller deltagare på arbetsytan. Ytterligare SQL-behörigheter krävs för att köra ett SQL-skript, publicera eller checka in ändringar. |
|
| Lista och öppna alla publicerade SQL-skript | Synapse Artifact User eller Artifact Publisher eller Synapse-deltagare | artefakter/läsning |
| Köra ett SQL-skript i en serverlös SQL-pool | SQL-behörigheter för poolen (beviljas automatiskt till en Synapse-administratör) | inget |
| Köra ett SQL-skript på en dedikerad SQL-pool | SQL-behörigheter för poolen (beviljas automatiskt till en Synapse-administratör) | inget |
| Publicera ett nytt eller uppdaterat eller borttaget SQL-skript | Synapse Artifact Publisher eller Synapse-deltagare | sqlScripts/write, delete |
| Checka in ändringar i ett SQL-skript på Git-lagringsplatsen | Kräver Git-behörigheter på lagringsplatsen | |
| Tilldela Active Directory-administratör på arbetsytan (via arbetsyteegenskaper i Azure-portalen) | Azure-ägare eller deltagare på arbetsytan | |
| DATA EXPLORER-POOLER | ||
| Skapa en Data Explorer-pool | Azure-ägare eller deltagare i resursgruppen | inget |
| Hantera (pausa eller skala eller ta bort) en Data Explorer-pool | Azure-ägare eller deltagare i datautforskarens pool eller arbetsyta | inget |
| Skapa ett KQL-skript |
Synapse-användare. Ytterligare Data Explorer-behörigheter krävs för att köra ett skript, publicera eller checka in ändringar. |
|
| Lista och öppna alla publicerade KQL-skript | Synapse Artifact User eller Artifact Publisher eller Synapse-deltagare | artefakter/läsning |
| Köra ett KQL-skript i en Data Explorer-pool | DataUtforskarens behörigheter i poolen (beviljas automatiskt till en Synapse-administratör) | inget |
| Publicera nytt, uppdatera eller ta bort KQL-skript | Synapse Artifact Publisher eller Synapse-deltagare | kqlScripts/write, delete |
| Checka in ändringar i ett KQL-skript till Git-lagringsplatsen | Kräver Git-behörigheter på lagringsplatsen | |
| APACHE SPARK-POOLER | ||
| Skapa en Apache Spark-pool | Azure-ägare eller deltagare i resursgruppen | |
| Övervaka Apache Spark-program | Synapse-användare | läsa |
| Visa loggarna för slutförd notebook-fil och jobbkörning | Synapse-övervakningsoperator | |
| Avbryt alla notebook- eller Spark-jobb som körs i en Apache Spark-pool | Synapse Compute Operator i Apache Spark-poolen. | bigDataPools/useCompute |
| Skapa en notebook- eller jobbdefinition | Synapse-användare, Azure-ägare, deltagare eller läsare på arbetsytan Ytterligare behörigheter krävs för att köra, publicera eller checka in ändringar |
Läsa |
| Visa en lista över och öppna en publicerad anteckningsbok eller jobbdefinition, inklusive att granska sparade utdata | Synapse Artifact User eller Synapse Monitoring Operator på arbetsytan | artefakter/läsning |
| Kör en notebook-fil och granska dess utdata eller skicka ett Spark-jobb | Synapse Apache Spark-administratör eller Synapse Compute Operator på den valda Apache Spark-poolen | bigDataPools/useCompute |
| Publicera eller ta bort en anteckningsbok eller jobbdefinition (inklusive utdata) till tjänsten | Artifact Publisher på arbetsytan eller Synapse Apache Spark-administratören | notebook-filer/skrivning, ta bort |
| Checka in ändringar i en notebook- eller jobbdefinition på Git-lagringsplatsen | Git-behörigheter | inget |
| PIPELINES, INTEGRATION RUNTIMES, DATAFLÖDEN, DATAUPPSÄTTNINGAR OCH UTLÖSARE | ||
| Skapa, uppdatera eller ta bort en integrationskörning | Azure-ägare eller deltagare på arbetsytan | |
| Övervaka status för integrationskörning | Synapse-övervakningsoperator | read, integrationRuntimes/viewLogs |
| Granska pipelinekörningar | Synapse-övervakningsoperator | read, pipelines/viewOutputs |
| Skapa en pipeline | Synapse-användare Ytterligare Synapse-behörigheter krävs för att felsöka, lägga till utlösare, publicera eller checka in ändringar |
läsa |
| Skapa ett dataflöde eller en datauppsättning | Synapse-användare Ytterligare Synapse-behörigheter krävs för att publicera eller genomföra ändringar |
läsa |
| Lista och öppna en publicerad pipeline | Synapse Artifact User eller Synapse Monitoring Operator | artefakter/läsning |
| Förhandsgranska datauppsättningsdata | Synapse-användare och Synapse Credential-användare på arbetsytanSystemIdentity | |
| Felsöka en pipeline med standardkörningen för integrering | Synapse-användare och Synapse-autentiseringsuppgiftsanvändare på arbetsytanSystemIdentity-autentiseringsuppgifter | read, credentials/useSecret |
| Skapa en utlösare, inklusive utlösare nu (kräver behörighet att köra pipelinen) | Synapse-användare och Synapse Credential-användare på arbetsytanSystemIdentity | read, credentials/useSecret/action |
| Köra/köra en pipeline | Synapse-användare och Synapse Credential-användare på arbetsytanSystemIdentity | read, credentials/useSecret/action |
| Kopiera data med verktyget Kopiera data | Synapse-användare och Synapse-autentiseringsuppgiftsanvändare på arbetsytans systemidentitet | read, credentials/useSecret/action |
| Mata in data (med ett schema) | Synapse Author och Synapse Credential User på arbetsytans systemidentitet | read, credentials/useSecret/action |
| Publicera en ny, uppdaterad eller borttagen pipeline, ett dataflöde eller en utlösare till tjänsten | Synapse Artifact Publisher på arbetsytan | pipelines/write, delete dataflows/write, delete triggers/write, delete |
| Checka in ändringar i pipelines, dataflöden, datamängder eller utlösare till Git-lagringsplatsen | Git-behörigheter | inget |
| LÄNKADE TJÄNSTER | ||
| Skapa en länkad tjänst (inklusive tilldelning av autentiseringsuppgifter) | Ytterligare behörigheter för Synapse-användare krävs för att använda en länkad tjänst med autentiseringsuppgifter eller för att publicera eller genomföra ändringar |
läsa |
| Lista och öppna en publicerad länkad tjänst | Synapse Artifact User | linkedServices/write, delete |
| Testa anslutningen på en länkad tjänst som skyddas av en autentiseringsuppgift | Synapse-användare och Synapse Credential-användare | credentials/useSecret/action |
| Publicera en länkad tjänst | Synapse Artifact Publisher eller Synapse Linked Data Manager | linkedServices/write, delete |
| Checka in länkade tjänstdefinitioner till Git-lagringsplatsen | Git-behörigheter | inget |
| ÅTKOMSTHANTERING | ||
| Granska Synapse RBAC-rolltilldelningar i valfritt omfång | Synapse-användare | läsa |
| Tilldela och ta bort Rolltilldelningar för Synapse RBAC för användare, grupper och tjänstens huvudnamn | Synapse-administratör på arbetsytan eller i ett specifikt arbetsyteobjektomfång | roleAssignments/write, delete |