Synapse RBAC Rolleri
Makalede yerleşik Synapse RBAC (rol tabanlı erişim denetimi) rolleri, verdikleri izinler ve kullanabilecekleri kapsamlar açıklanmaktadır.
Synapse rol üyeliklerini gözden geçirme ve atama hakkında daha fazla bilgi için bkz . Synapse RBAC rol atamalarını gözden geçirme ve Synapse RBAC rollerini atama.
Yerleşik Synapse RBAC rolleri ve kapsamları
Aşağıdaki tabloda yerleşik roller ve bunların hangi kapsamlarda kullanılabildiği açıklanmaktadır.
Not
Herhangi bir kapsamda Synapse RBAC rolüne sahip kullanıcılar otomatik olarak çalışma alanı kapsamında Synapse Kullanıcı rolüne sahiptir.
Önemli
Synapse RBAC rolleri, Azure Synapse çalışma alanlarında SQL havuzları, Apache Spark havuzları ve Tümleştirme çalışma zamanları oluşturma veya yönetme izinleri vermez. Bu eylemler için kaynak grubundaki Azure Sahibi veya Azure Katkıda Bulunanı rolleri gereklidir.
Role | İzinler | Kapsamlar |
---|---|---|
Synapse Yöneticisi | Sunucusuz ve ayrılmış SQL havuzlarına, Veri Gezgini havuzlarına, Apache Spark havuzlarına ve Tümleştirme çalışma zamanlarına tam Synapse erişimi. Yayımlanan tüm kod yapıtlarına oluşturma, okuma, güncelleştirme ve silme erişimini içerir. Çalışma alanı sistem kimliği kimlik bilgileri üzerinde İşlem İşleci, Bağlı Veri Yöneticisi ve Kimlik Bilgisi Kullanıcı izinlerini içerir. Synapse RBAC rolleri atamayı içerir. Azure Sahipleri, Synapse Yönetici istrator'a ek olarak Synapse RBAC rollerini de atayabilir. İşlem kaynaklarını oluşturmak, silmek ve yönetmek için Azure izinleri gereklidir. Synapse RBAC rolleri, ilişkili abonelik devre dışı bırakıldığında bile atanabilir.Yapıtları okuyabilir ve yazabilir Spark etkinliklerinde tüm eylemleri gerçekleştirebilir. Spark havuzu günlüklerini görüntüleyebilir Kaydedilen not defteri ve işlem hattı çıkışını görüntüleyebilir Bağlı hizmetler veya kimlik bilgileri tarafından depolanan gizli dizilerikullanabilir Geçerli kapsamda Synapse RBAC rollerini atayabilir ve iptal edebilir | Çalışma Alanı Spark havuzu Tümleştirme çalışma zamanı Bağlı hizmetKimlik Bilgileri |
Synapse Apache Spark Yönetici istrator | Apache Spark Havuzlarına tam Synapse erişimi. Yayımlanan Spark iş tanımlarına, not defterlerine ve çıktılarına ve kitaplıklara, bağlı hizmetlere ve kimlik bilgilerine erişim oluşturun, okuyun, güncelleştirin ve silin. Diğer tüm yayımlanmış kod yapıtlarına okuma erişimi içerir. Kimlik bilgilerini kullanma ve işlem hatlarını çalıştırma izni içermez. Erişim izni verme dahil değildir. Spark yapıtlarındatüm eylemleri yapabilir Spark etkinliklerinde tüm eylemleri gerçekleştirebilir | Çalışma AlanıSpark havuzu |
Synapse SQL Yönetici istrator | Sunucusuz SQL havuzlarına tam Synapse erişimi. Yayımlanan SQL betiklerine, kimlik bilgilerine ve bağlı hizmetlere erişim oluşturun, okuyun, güncelleştirin ve silin. Diğer tüm yayımlanmış kod yapıtlarına okuma erişimi içerir. Kimlik bilgilerini kullanma ve işlem hatlarını çalıştırma izni içermez. Erişim izni verme dahil değildir. SQL betiklerinde tüm eylemleri gerçekleştirebilir SQL , , db_datawriter connect ve grant izinleriyle SQL db_datareader sunucusuz uç noktalarına bağlanabilir |
Çalışma alanı |
Synapse Katkıda Bulunanı | Apache Spark havuzlarına ve Tümleştirme çalışma zamanlarına tam Synapse erişimi. Zamanlanmış işlem hatları, kimlik bilgileri ve bağlı hizmetler dahil olmak üzere yayımlanan tüm kod yapıtlarına ve bunların çıkışlarına oluşturma, okuma, güncelleştirme ve silme erişimini içerir. İşlem işleci izinlerini içerir. Kimlik bilgilerini kullanma ve işlem hatlarını çalıştırma izni içermez. Erişim izni verme dahil değildir. Yapıtlarıokuyabilir ve yazabilir Kaydedilmiş not defterini ve işlem hattı çıkışınıgörüntüleyebilir Spark etkinliklerindetüm eylemleri yapabilir Spark havuzu günlüklerini görüntüleyebilir | Çalışma Alanı Spark havuzu Tümleştirme çalışma zamanı |
Synapse Artifact Publisher | Zamanlanmış işlem hatları da dahil olmak üzere yayımlanmış kod yapıtlarına ve bunların çıkışlarına erişim oluşturun, okuyun, güncelleştirin ve silin. Kod veya işlem hatlarını çalıştırma veya erişim izni verme izni içermez. Yayımlanan yapıtları okuyabilir ve yapıtlarıyayımlayabilir Kaydedilen not defterini, Spark işini ve işlem hattı çıkışını görüntüleyebilir | Çalışma alanı |
Synapse Artifact User | Yayımlanan kod yapıtlarına ve bunların çıkışlarına okuma erişimi. Yeni yapıtlar oluşturabilir, ancak ek izinler olmadan değişiklikleri yayımlayamaz veya kod çalıştıramaz. | Çalışma alanı |
Synapse İşlem İşleci | Spark işlerini ve not defterlerini gönderin ve günlükleri görüntüleyin. Herhangi bir kullanıcı tarafından gönderilen Spark işlerinin iptalini içerir. İşlem hatlarını çalıştırmak, işlem hattı çalıştırmalarını ve çıkışlarını görüntülemek için çalışma alanı sistem kimliğinde ek kullanım kimlik bilgisi izinleri gerektirir. Başkalarıtarafından gönderilen işler dahil olmak üzere işleri gönderebilir ve iptal edebilir Spark havuzu günlüklerini görüntüleyebilir | Çalışma AlanıSpark havuzuTümleştirme çalışma zamanı |
Synapse İzleme İşleci | İşlem hattı çalıştırmaları ve tamamlanmış not defterleri için günlükler ve çıkışlar da dahil olmak üzere yayımlanan kod yapıtlarını okuyun. Apache Spark havuzlarının, Veri Gezgini havuzlarının ve Tümleştirme çalışma zamanlarının ayrıntılarını listeleme ve görüntüleme özelliğini içerir. İşlem hatlarını, Spark not defterlerini ve Spark işlerini çalıştırmak/iptal etmek için ek izinler gerektirir. | Çalışma alanı |
Synapse Kimlik Bilgisi Kullanıcısı | İşlem hattı çalıştırmaları gibi etkinliklerde kimlik bilgileri ve bağlı hizmetler içindeki gizli dizilerin çalışma zamanı ve yapılandırma süresi kullanımı. İşlem hatlarını çalıştırmak için bu rol gereklidir ve kapsamı çalışma alanı sistem kimliği olarak belirlenmiştir. Kapsamı bir kimlik bilgisi olarak belirlenmiş, kimlik bilgileriyle korunan bağlı bir hizmet aracılığıyla verilere erişim izni verir (işlem kullanım izni de gerekebilir) Çalışma alanı sistem kimliği kimlik bilgileriyle korunan işlem hatlarının yürütülmesine izin verir | Çalışma Alanı Bağlı HizmetKimlik Bilgileri |
Synapse Bağlı Veri Yöneticisi | Yönetilen özel uç noktaların, bağlı hizmetlerin ve kimlik bilgilerinin oluşturulması ve yönetimi. Kimlik bilgileriyle korunan bağlı hizmetleri kullanan yönetilen özel uç noktalar oluşturabilir | Çalışma alanı |
Synapse Kullanıcısı | SQL havuzlarının, Apache Spark havuzlarının, Tümleştirme çalışma zamanlarının ve yayımlanan bağlı hizmetlerin ve kimlik bilgilerinin ayrıntılarını listeleyin ve görüntüleyin. Yayımlanan diğer kod yapıtlarını içermez. Yeni yapıtlar oluşturabilir, ancak ek izinler olmadan çalıştırılamaz veya yayımlayamaz. Spark havuzlarını, Tümleştirme çalışma zamanlarını listeleyebilir ve okuyabilir. | Çalışma alanı, Spark havuzuBağlı hizmet kimlik bilgileri |
Synapse RBAC rolleri ve izin verdikleri eylemler
Not
- Aşağıdaki tablolarda listelenen tüm eylemlere "Microsoft.Synapse/..." ön eki eklenir
- Tüm yapıt okuma, yazma ve silme eylemleri, canlı hizmetteki yayımlanmış yapıtlarla ilişkilidir. Bu izinler, bağlı git deposundaki yapıtlara erişimi etkilemez.
Aşağıdaki tabloda yerleşik roller ve her birinin desteklediği eylemler/izinler listelenmiştir.
Rol | Eylemler |
---|---|
Synapse Yöneticisi | çalışma alanları/okumaçalışma alanları/roleAssignments/write, çalışma alanlarını silme/managedPrivateEndpoint/write, çalışma alanlarını silme/bigDataPools/useCompute/actionworkspaces/bigDataPools/viewLogs/actionworkspaces/integrationRuntimes/useCompute/actionworkspaces/integrationRuntimes/viewLogs/actionworkspaces/artifacts/readworkspaces/notebooks/write, deleteworkspaces/sparkJobDefinitions/write, deleteworkspaces/sqlScripts/ write, deleteworkspaces/kqlScripts/write, deleteworkspaces/dataFlows/write, deleteworkspaces/pipelines/write, deleteworkspaces/triggers/write, deleteworkspaces/datasets/write, deleteworkspaces/libraryes/write, deleteworkspaces/linkedServices/write, deleteworkspaces/credentials/write, deleteworkspaces/notebooks/viewOutputs/actionworkspaces/pipelines/viewOutputs/actionworkspaces/ linkedServices/useSecret/actionworkspaces/credentials/useSecret/actionworkspaces/link Bağlan ions/readworkspaces/link Bağlan ions/writeworkspaces/link Bağlan ions/deleteworkspaces/link Bağlan ions/useCompute/action |
Synapse Apache Spark Yönetici istrator | çalışma alanları/okumaçalışma alanları/bigDataPools/useCompute/actionçalışma alanları/bigDataPools/viewLogs/actionworkspaces/notebooks/viewOutputs/actionworkspaces/artifacts/readworkspaces/notebooks/write, deleteworkspaces/sparkJobDefinitions/write, deleteworkspaces/libraryes/write, deleteworkspaces/linkedServices/write, deleteworkspaces/credentials/write, delete workspaces/credentials/write, delete |
Synapse SQL Yönetici istrator | çalışma alanları/okumaçalışma alanları/yapıtlar/okumaçalışma alanları/sqlScripts/yazma, çalışma alanlarını silme/linkedServices/yazma, çalışma alanlarını silme/kimlik bilgileri/yazma, silme |
Synapse Katkıda Bulunanı | çalışma alanları/okumaçalışma alanları/bigDataPools/useCompute/actionçalışma alanları/bigDataPools/viewLogs/actionworkspaces/integrationRuntimes/useCompute/actionworkspaces/integrationRuntimes/viewLogs/actionworkspaces/artifacts/readworkspaces/notebooks/write, çalışma alanlarını silme/sparkJobDefinitions/write, çalışma alanlarını silme/sqlScripts/write, çalışma alanlarını silme/kqlScripts/write, çalışma alanlarını silme/dataFlows/write, silmeçalışma alanları/işlem hatları/yazma, çalışma alanlarını/tetikleyicileri/yazma,çalışma alanlarını/veri kümelerini/yazma,çalışma alanlarını/kitaplıkları/yazma, çalışma alanlarını silme/linkedServices/yazma,çalışma alanlarını/kimlik bilgilerini/yazma, çalışma alanlarını silme/not defterlerini/viewOutputs/eylemçalışma alanları/işlem hatları/viewOutputs/eylemçalışma alanları/link Bağlan ions/okumaçalışma alanları/link Bağlan ions/ yazmaçalışma alanları/link Bağlan ions/deleteworkspaces/link Bağlan ions/useCompute/action |
Synapse Artifact Publisher | çalışma alanları/okumaçalışma alanları/yapıtlar/okumaçalışma alanları/not defterleri/yazma, çalışma alanlarını/sparkJobDefinitions/write, workspaces/sqlScripts/write, deleteworkspaces/kqlScripts/write, deleteworkspaces/dataFlows/write, delete workspaces/dataFlows/write,deleteworkspaces/triggers/write, deleteworkspaces/datasets/write, deleteworkspaces/libraryes/write, deleteworkspaces/linkedServices/write, delete delete workspaces/dataFlows/write, delete workspaces/dataFlows/write, delete workspaces/dataFlows/write, delete workspaces/dataFlows/writeworkspaces/credentials/write, deleteworkspaces/notebooks/viewOutputs/actionworkspaces/pipelines/viewOutputs/action |
Synapse Artifact User | çalışma alanları/okumaçalışma alanları/yapıtlar/okumaçalışma alanları/not defterleri/viewOutputs/eylemçalışma alanları/işlem hatları/viewOutputs/action |
Synapse İşlem İşleci | çalışma alanları/okumaçalışma alanları/bigDataPools/useCompute/actionçalışma alanları/bigDataPools/viewLogs/actionworkspaces/integrationRuntimes/useCompute/actionworkspaces/integrationRuntimes/viewLogs/actionworkspaces/link Bağlan ions/readworkspaces/link Bağlan ions/useCompute/action |
Synapse İzleme İşleci | çalışma alanları/okumaçalışma alanları/yapıtlar/okumaçalışma alanları/not defterleri/viewOutputs/eylemçalışma alanları/işlem hatları/viewOutputs/eylemçalışma alanları/integrationRuntimes/viewLogs/eylemçalışma alanları/bigDataPools/viewLogs/action |
Synapse Kimlik Bilgisi Kullanıcısı | çalışma alanları/okumaçalışma alanları/linkedServices/useSecret/actionworkspaces/credentials/useSecret/action |
Synapse Bağlı Veri Yöneticisi | workspaces/readworkspaces/managedPrivateEndpoint/write, deleteworkspaces/linkedServices/write, deleteworkspaces/credentials/write, delete |
Synapse Kullanıcısı | çalışma alanları/okuma |
Synapse RBAC eylemleri ve bunlara izin veren roller
Aşağıdaki tabloda Synapse eylemleri ve bu eylemlere izin veren yerleşik roller listelenmiştir:
Eylem | Role |
---|---|
çalışma alanları/okuma | Synapse Yönetici istratorSynapse Apache Spark Yönetici istratorSynapse SQL Yönetici istratorSynapse ContributorSynapse Artifact PublisherSynapse Artifact UserSynapse Compute Operator Synapse Monitoring Operator Synapse Credential UserSynapse Linked Data ManagerSynapse User |
çalışma alanları/roleAssignments/write, delete | Synapse Yöneticisi |
workspaces/managedPrivateEndpoint/write, delete | Synapse Yönetici istratorSynapse Bağlı Veri Yöneticisi |
workspaces/bigDataPools/useCompute/action | Synapse Yönetici istratorSynapse Apache Spark Yönetici istratorSynapse ContributorSynapse İşlem Operatörü Synapse monitoring operator |
workspaces/bigDataPools/viewLogs/action | Synapse Yönetici istratorSynapse Apache Spark Yönetici istratorSynapse ContributorSynapse İşlem İşleci |
workspaces/integrationRuntimes/useCompute/action | Synapse Yönetici istratorSynapse ContributorSynapse İşlem OperatörüSynapse monitoring operator |
workspaces/integrationRuntimes/viewLogs/action | Synapse Yönetici istratorSynapse ContributorSynapse İşlem OperatörüSynapse monitoring operator |
çalışma alanları/bağlantı Bağlan ions/okuma | Synapse Yönetici istratorSynapse ContributorSynapse İşlem İşleci |
workspaces/link Bağlan ions/useCompute/action | Synapse Yönetici istratorSynapse ContributorSynapse İşlem İşleci |
çalışma alanları/yapıtlar/okuma | Synapse Yönetici istratorSynapse Apache Spark Yönetici istratorSynapse SQL Yönetici istratorSynapse ArtifactPublisherSynapse Artifact User |
çalışma alanları/not defterleri/yazma, silme | Synapse Yönetici istratorSynapse Apache Spark Yönetici istratorSynapse ContributorSynapse Artifact Publisher |
workspaces/sparkJobDefinitions/write, delete | Synapse Yönetici istratorSynapse Apache Spark Yönetici istratorSynapse ContributorSynapse Artifact Publisher |
çalışma alanları/sqlScripts/yazma, silme | Synapse Yönetici istratorSynapse SQL Yönetici istratorSynapse ContributorSynapse Artifact Publisher |
workspaces/kqlScripts/write, delete | Synapse Yönetici istratorSynapse ContributorSynapse Artifact Publisher |
çalışma alanları/dataFlows/yazma, silme | Synapse Yönetici istratorSynapse ContributorSynapse Artifact Publisher |
çalışma alanları/işlem hatları/yazma, silme | Synapse Yönetici istratorSynapse ContributorSynapse Artifact Publisher |
çalışma alanları/bağlantı Bağlan ions/yazma, silme | Synapse Yönetici istratorSynapse Katkıda Bulunanı |
çalışma alanları/tetikleyiciler/yazma, silme | Synapse Yönetici istratorSynapse ContributorSynapse Artifact Publisher |
çalışma alanları/veri kümeleri/yazma, silme | Synapse Yönetici istratorSynapse ContributorSynapse Artifact Publisher |
çalışma alanları/kitaplıklar/yazma, silme | Synapse Yönetici istratorSynapse Apache Spark Yönetici istratorSynapse ContributorSynapse Artifact Publisher |
workspaces/linkedServices/write, delete | Synapse Yönetici istratorSynapse Apache Spark Yönetici istratorSynapse SQL Yönetici istratorSynapse ArtifactPublisherSynapse Linked Data Manager |
çalışma alanları/kimlik bilgileri/yazma, silme | Synapse Yönetici istratorSynapse Apache Spark Yönetici istratorSynapse SQL Yönetici istratorSynapse ArtifactPublisherSynapse Linked Data Manager |
çalışma alanları/not defterleri/viewOutputs/action | Synapse Yönetici istratorSynapse Apache Spark Yönetici istratorSynapse ContributorSynapse Artifact PublisherSynapse Artifact User |
workspaces/pipelines/viewOutputs/action | Synapse Yönetici istratorSynapse ContributorSynapse Artifact PublisherSynapse Artifact User |
workspaces/linkedServices/useSecret/action | Synapse Yönetici istratorSynapse Kimlik Bilgisi Kullanıcısı |
çalışma alanları/kimlik bilgileri/useSecret/action | Synapse Yönetici istratorSynapse Kimlik Bilgisi Kullanıcısı |
Synapse RBAC kapsamları ve desteklenen rolleri
Aşağıdaki tabloda Synapse RBAC kapsamları ve her kapsama atanabilecek roller listelenmiştir.
Not
Bir nesneyi oluşturmak veya silmek için daha üst düzey bir kapsamda izinlere sahip olmanız gerekir.
Kapsam | Roller |
---|---|
Çalışma alanı | Synapse Yönetici istratorSynapse Apache Spark Yönetici istratorSynapse SQL Yönetici istratorSynapse ContributorSynapse Artifact PublisherSynapse Artifact UserSynapse Compute Operator Synapse Monitoring Operator Synapse Credential UserSynapse Linked Data ManagerSynapse User |
Apache Spark havuzu | Synapse Yönetici istrator Synapse Contributor Synapse İşlem İşleci |
Tümleştirme çalışma zamanı | Synapse Yönetici istrator Synapse Contributor Synapse İşlem İşleci |
Bağlı hizmet | Synapse Yönetici istrator Synapse Kimlik Bilgisi Kullanıcısı |
Referans | Synapse Yönetici istrator Synapse Kimlik Bilgisi Kullanıcısı |
Not
Tüm yapıt rollerinin ve eylemlerinin kapsamı çalışma alanı düzeyindedir.
Sonraki adımlar
- Çalışma alanı için Synapse RBAC rol atamalarını gözden geçirmeyi öğrenin.
- Synapse RBAC rollerini atamayı öğrenin