Synapse RBAC Rolleri

Makalede yerleşik Synapse RBAC (rol tabanlı erişim denetimi) rolleri, verdikleri izinler ve kullanabilecekleri kapsamlar açıklanmaktadır.

Synapse rol üyeliklerini gözden geçirme ve atama hakkında daha fazla bilgi için bkz. Synapse RBAC rol atamalarını gözden geçirme ve Synapse RBAC rollerini atama.

Yerleşik Synapse RBAC rolleri ve kapsamları

Aşağıdaki tabloda yerleşik roller ve bunların kullanılabildiği kapsamlar açıklanmaktadır.

Not

Herhangi bir kapsamda Synapse RBAC rolüne sahip kullanıcılar otomatik olarak çalışma alanı kapsamında Synapse Kullanıcı rolüne sahiptir.

Önemli

Synapse RBAC rolleri, Azure Synapse çalışma alanlarında SQL havuzları, Apache Spark havuzları ve Tümleştirme çalışma zamanları oluşturma veya yönetme izinleri vermez. Bu eylemler için kaynak grubundaki Azure Sahibi veya Azure Katkıda Bulunanı rolleri gereklidir.

Rol İzinler Kapsamlar
Synapse Yöneticisi SQL havuzlarına, Veri Gezgini havuzlarına, Apache Spark havuzlarına ve Tümleştirme çalışma zamanlarına tam Synapse erişimi. Yayımlanan tüm kod yapıtlarına oluşturma, okuma, güncelleştirme ve silme erişimini içerir. Çalışma alanı sistem kimliği kimlik bilgileri üzerinde İşlem operatörü, Bağlı Veri Yöneticisi ve Kimlik Bilgisi Kullanıcı izinlerini içerir. Synapse RBAC rollerini atamayı içerir. Azure Sahipleri, Synapse Yöneticisi'ne ek olarak Synapse RBAC rollerini de atayabilir. İşlem kaynaklarını oluşturmak, silmek ve yönetmek için Azure izinleri gereklidir.

Yapıtları
okuyabilir ve yazabilir Spark etkinliklerinde tüm eylemleri gerçekleştirebilir.
Spark havuzu günlüklerini
görüntüleyebilir Kaydedilmiş not defteri ve işlem hattı çıktısını
görüntüleyebilir Bağlı hizmetler veya kimlik bilgileri tarafından depolanan gizli dizileri
kullanabilir Geçerli kapsamda Synapse RBAC rollerini atayabilir ve iptal edebilir
Çalışma Alanı
Spark havuzu
Tümleştirme çalışma zamanı
Bağlı hizmet
kimlik bilgisi
Synapse Apache Spark Yöneticisi
Apache Spark Havuzlarına tam Synapse erişimi. Yayımlanan Spark iş tanımlarına, not defterlerine ve çıktılarına ve kitaplıklara, bağlı hizmetlere ve kimlik bilgilerine erişim oluşturun, okuyun, güncelleştirin ve silin.  Diğer tüm yayımlanmış kod yapıtlarına okuma erişimi içerir. Kimlik bilgilerini kullanma ve işlem hatlarını çalıştırma izni içermez. Erişim izni verme dahil değildir.

Spark yapıtlarında
tüm eylemleri gerçekleştirebilir Spark etkinliklerinde tüm eylemleri gerçekleştirebilir
Çalışma Alanı
Spark havuzu
Synapse SQL Yöneticisi Sunucusuz SQL havuzlarına tam Synapse erişimi. Yayımlanan SQL betiklerine, kimlik bilgilerine ve bağlı hizmetlere erişim oluşturun, okuyun, güncelleştirin ve silin.  Diğer tüm yayımlanmış kod yapıtlarına okuma erişimi içerir.  Kimlik bilgilerini kullanma ve işlem hatlarını çalıştırma izni içermez. Erişim izni verme dahil değildir.

SQL betiklerinde tüm eylemleri gerçekleştirebilir
SQL , , db_datawriterconnectve grant izinleriyle SQL db_datareadersunucusuz uç noktalarına bağlanabilir
Çalışma alanı
Synapse Katkıda Bulunanı Apache Spark havuzlarına ve Tümleştirme çalışma zamanlarına tam Synapse erişimi. Zamanlanmış işlem hatları, kimlik bilgileri ve bağlı hizmetler de dahil olmak üzere yayımlanan tüm kod yapıtlarına ve bunların çıkışlarına oluşturma, okuma, güncelleştirme ve silme erişimini içerir.  İşlem işleci izinlerini içerir. Kimlik bilgilerini kullanma ve işlem hatlarını çalıştırma izni içermez. Erişim izni verme dahil değildir.

Yapıtları
okuyabilir ve yazabilir Kaydedilmiş not defterini ve işlem hattı çıkışını
görüntüleyebilir Spark etkinliklerinde
tüm eylemleri gerçekleştirebilir Spark havuz günlüklerini görüntüleyebilir
Çalışma Alanı
Spark havuzu
Tümleştirme çalışma zamanı
Synapse Artifact Publisher Zamanlanmış işlem hatları dahil olmak üzere yayımlanmış kod yapıtlarına ve bunların çıkışlarına erişim oluşturun, okuyun, güncelleştirin ve silin. Kod veya işlem hatlarını çalıştırma veya erişim izni verme izni içermez.

Yayımlanan yapıtları okuyabilir ve yapıtları
yayımlayabilir Kaydedilmiş not defterini, Spark işini ve işlem hattı çıkışını görüntüleyebilir
Çalışma alanı
Synapse Artifact Kullanıcısı Yayımlanan kod yapıtlarına ve bunların çıkışlarına okuma erişimi. Yeni yapıtlar oluşturabilir, ancak ek izinler olmadan değişiklikleri yayımlayamaz veya kod çalıştıramaz. Çalışma alanı
Synapse İşlem İşleci Spark işlerini ve not defterlerini gönderin ve günlükleri görüntüleyin.  Herhangi bir kullanıcı tarafından gönderilen Spark işlerini iptal etme içerir. İşlem hatlarını çalıştırmak, işlem hattı çalıştırmalarını ve çıkışlarını görüntülemek için çalışma alanı sistem kimliğinde ek kullanım kimlik bilgisi izinleri gerektirir.

Başkaları
tarafından gönderilen işler dahil olmak üzere işleri gönderebilir ve iptal edebilir Spark havuzu günlüklerini görüntüleyebilir
Çalışma Alanı
Spark havuzu
Tümleştirme çalışma zamanı
Synapse İzleme İşleci İşlem hattı çalıştırmaları ve tamamlanan not defterleri için günlükler ve çıkışlar da dahil olmak üzere yayımlanmış kod yapıtlarını okuyun. Apache Spark havuzlarının, Veri Gezgini havuzlarının ve Tümleştirme çalışma zamanlarının ayrıntılarını listeleme ve görüntüleme özelliğini içerir. İşlem hatlarını, Spark not defterlerini ve Spark işlerini çalıştırmak/iptal etmek için ek izinler gerektirir. Çalışma alanı
Synapse Kimlik Bilgisi Kullanıcısı İşlem hattı çalıştırmaları gibi etkinliklerde kimlik bilgileri ve bağlı hizmetler içindeki gizli dizilerin çalışma zamanı ve yapılandırma zamanı kullanımı. İşlem hatlarını çalıştırmak için bu rol gereklidir ve kapsamı çalışma alanı sistem kimliği olarak belirlenmiştir.

Kapsamı bir kimlik bilgisi olarak belirlenmiş, kimlik bilgileriyle korunan bağlı bir hizmet aracılığıyla verilere erişim izni verir (işlem kullanım izni de gerekebilir)
Çalışma alanı sistem kimliği kimlik bilgileriyle korunan işlem hatlarının yürütülmesine izin verir
Çalışma Alanı
Bağlı Hizmet
Kimlik Bilgileri
Synapse Bağlı Veri Yöneticisi Yönetilen özel uç noktaların, bağlı hizmetlerin ve kimlik bilgilerinin oluşturulması ve yönetimi. Kimlik bilgileriyle korunan bağlı hizmetleri kullanan yönetilen özel uç noktalar oluşturabilir Çalışma alanı
Synapse Kullanıcısı SQL havuzlarının, Apache Spark havuzlarının, Tümleştirme çalışma zamanlarının ve yayımlanmış bağlı hizmetlerin ve kimlik bilgilerinin ayrıntılarını listeleyip görüntüleyin. Yayımlanan diğer kod yapıtlarını içermez.  Yeni yapıtlar oluşturabilir, ancak ek izinler olmadan çalıştırılamaz veya yayımlayamaz.

Spark havuzlarını, Tümleştirme çalışma zamanlarını listeleyebilir ve okuyabilir.
Çalışma alanı, Spark havuzu
Bağlı hizmet
kimlik bilgisi

Synapse RBAC rolleri ve izin verdikleri eylemler

Not

  • Aşağıdaki tablolarda listelenen tüm eylemlere "Microsoft.Synapse/..." ön eki eklenmiştir.
  • Canlı hizmetteki yayımlanmış yapıtlarla ilgili olarak tüm yapıt okuma, yazma ve silme eylemleri geçerlidir. Bu izinler bağlı git deposundaki yapıtlara erişimi etkilemez.

Aşağıdaki tabloda yerleşik roller ve her birinin desteklediği eylemler/izinler listelenmiştir.

Rol Eylemler
Synapse Yöneticisi çalışma alanları/okuma
çalışma alanları/roleAssignments/write, çalışma alanlarını silme
/managedPrivateEndpoint/write, delete
workspaces/bigDataPools/useCompute/action
workspaces/bigDataPools/viewLogs/action
workspaces/integrationRuntimes/useCompute/action
workspaces/integrationRuntimes/viewLogs/action
workspaces/artifacts/read
workspaces/notebooks/write, delete
workspaces/sparkJobDefinitions/write, delete
workspaces/sqlScripts/ yazma, çalışma alanlarını silme
/kqlScripts/write,
çalışma alanlarını/veri akışlarını/yazma,
çalışma alanlarını/işlem hatlarını silme/yazma,
çalışma alanlarını/tetikleyicileri/yazma,
çalışma alanlarını/veri kümelerini/yazma,
çalışma alanlarını/kitaplıkları/yazma,
çalışma alanlarını/linkedServices/yazma
, çalışma alanlarını/kimlik bilgilerini silme,çalışma alanlarını/not defterlerini silme
/viewOutputs/action
workspaces/pipelines/viewOutputs/action workspaces/viewOutputs/action
workspaces/ linkedServices/useSecret/action
workspaces/credentials/useSecret/action
workspaces/linkConnections/read
workspaces/linkConnections/write
workspaces/linkConnections/delete
workspaces/linkConnections/useCompute/action
Synapse Apache Spark Yöneticisi çalışma alanları/okuma
çalışma alanları/bigDataPools/useİşlem/eylem
çalışma alanları/bigDataPools/viewLogs/action
workspaces/notebooks/viewOutputs/action
workspaces/artifacts/read
workspaces/notebooks/write, delete
workspaces/sparkJobDefinitions/write, delete
workspaces/libraryes/write, delete workspaces/linkedServices/write, delete

workspaces/credentials/write, delete
Synapse SQL Yöneticisi çalışma alanları/okuma
çalışma alanları/yapıtlar/okuma
çalışma alanları/sqlScripts/write, delete
workspaces/linkedServices/write, delete
workspaces/credentials/write, delete
Synapse Katkıda Bulunanı çalışma alanları/okuma
çalışma alanları/bigDataPools/useCompute/action
workspaces/bigDataPools/viewLogs/action
workspaces/integrationRuntimes/useCompute/action
workspaces/integrationRuntimes/viewLogs/action
workspaces/artifacts/read
workspaces/notebooks/write, çalışma alanlarını silme
/sparkJobDefinitions/write, delete
workspaces/sqlScripts/write, delete
workspaces/kqlScripts/write, delete
workspaces/dataFlows/write, delete
çalışma alanları/işlem hatları/yazma, çalışma alanlarını/tetikleyicileri silme
/yazma,
çalışma alanlarını/veri kümelerini/yazma,
çalışma alanlarını/kitaplıkları/yazma, çalışma alanlarını silme
/linkedServices/yazma,
çalışma alanlarını/kimlik bilgilerini silme/yazma, çalışma alanlarını/not defterlerini silme
/viewOutputs/eylem
çalışma alanları/işlem hatları/viewOutputs/eylem
çalışma alanları/linkConnections/okuma
çalışma alanları/linkConnections/yazma
çalışma alanları/linkConnections/delete
workspaces/linkConnections/useCompute/action
Synapse Artifact Publisher çalışma alanları/okuma
çalışma alanları/yapıtlar/okuma
çalışma alanları/not defterleri/yazma, çalışma alanlarını/
sparkJobDefinitions/write, delete
workspaces/sqlScripts/write, delete
workspaces/kqlScripts/write, delete
workspaces/dataFlows/write, delete
workspaces/pipelines/write, delete
workspaces/triggers/write, delete
workspaces/datasets/write, delete
workspaces/libraryes/write, delete
workspaces/linkedServices/write, delete delete workspaces/dataFlows/write, delete
workspaces/triggers/write, delete workspaces/triggers/write, delete workspaces/triggers/writeworkspaces/credentials/write, delete
workspaces/notebooks/viewOutputs/action
workspaces/pipelines/viewOutputs/action
Synapse Artifact User çalışma alanları/okuma
çalışma alanları/yapıtlar/okuma
çalışma alanları/not defterleri/viewOutputs/action
workspaces/pipelines/viewOutputs/action
Synapse İşlem İşleci çalışma alanları/okuma
çalışma alanları/bigDataPools/useCompute/action
çalışma alanları/bigDataPools/viewLogs/action
workspaces/integrationRuntimes/useCompute/action
workspaces/integrationRuntimes/viewLogs/action
workspaces/linkConnections/read
workspaces/linkConnections/useCompute/action
Synapse İzleme İşleci çalışma alanları/okuma
çalışma alanları/yapıtlar/okuma
çalışma alanları/not defterleri/viewOutputs/action
workspaces/pipelines/viewOutputs/action
workspaces/integrationRuntimes/viewLogs/action
workspaces/bigDataPools/viewLogs/action
Synapse Kimlik Bilgisi Kullanıcısı çalışma alanları/okuma
çalışma alanları/linkedServices/useSecret/action
workspaces/credentials/useSecret/action
Synapse Bağlı Veri Yöneticisi workspaces/read
workspaces/managedPrivateEndpoint/write, delete
workspaces/linkedServices/write, delete
workspaces/credentials/write, delete
Synapse Kullanıcısı çalışma alanları/okuma

Synapse RBAC eylemleri ve bunlara izin veren roller

Aşağıdaki tabloda Synapse eylemleri ve bu eylemlere izin veren yerleşik roller listelenmiştir:

Eylem Rol
çalışma alanları/okuma Synapse Yöneticisi
Synapse Apache Spark Yöneticisi Synapse SQL Yöneticisi
Synapse SQL Yöneticisi
Synapse Katılımcısı
Synapse Artifact Publisher
Synapse Artifact Kullanıcı
Synapse İşlem Operatörü Synapse İzleme Operatörü

Synapse Kimlik Bilgisi Kullanıcı
Synapse Bağlı Data Manager
Synapse Kullanıcısı
çalışma alanları/roleAssignments/write, delete Synapse Yöneticisi
workspaces/managedPrivateEndpoint/write, delete Synapse Yöneticisi
Synapse Bağlı Veri Yöneticisi
workspaces/bigDataPools/useCompute/action Synapse Yöneticisi
Synapse Apache Spark Yöneticisi
Synapse Katkıda Bulunan
Synapse İşlem Operatörü
Synapse İzleme İşleci
workspaces/bigDataPools/viewLogs/action Synapse Yöneticisi
Synapse Apache Spark Yöneticisi
Synapse Katkıda Bulunan
Synapse İşlem İşleci
workspaces/integrationRuntimes/useCompute/action Synapse Yöneticisi
Synapse Katkıda Bulunan
Synapse İşlem Operatörü
Synapse İzleme İşleci
workspaces/integrationRuntimes/viewLogs/action Synapse Yöneticisi
Synapse Katkıda Bulunan
Synapse İşlem Operatörü
Synapse İzleme İşleci
çalışma alanları/linkConnections/read Synapse Yöneticisi
Synapse Katkıda Bulunan
Synapse İşlem operatörü
workspaces/linkConnections/useCompute/action Synapse Yöneticisi
Synapse Katkıda Bulunan
Synapse İşlem operatörü
çalışma alanları/yapıtlar/okuma Synapse Yöneticisi
Synapse Apache Spark Yöneticisi
Synapse SQL Yöneticisi
Synapse Katılımcısı
Synapse Artifact Publisher
Synapse Artifact User
çalışma alanları/not defterleri/yazma, silme Synapse Yöneticisi
Synapse Apache Spark Yöneticisi
Synapse Katkıda Bulunan
Synapse Artifact Publisher
workspaces/sparkJobDefinitions/write, delete Synapse Yöneticisi
Synapse Apache Spark Yöneticisi
Synapse Katkıda Bulunan
Synapse Artifact Publisher
çalışma alanları/sqlScripts/yazma, silme Synapse Yöneticisi
Synapse SQL Yöneticisi
Synapse Katkıda Bulunan
Synapse Artifact Publisher
workspaces/kqlScripts/write, delete Synapse Yöneticisi
Synapse Katkıda Bulunan
Synapse Artifact Publisher
çalışma alanları/dataFlows/yazma, silme Synapse Yöneticisi
Synapse Katkıda Bulunan
Synapse Artifact Publisher
çalışma alanları/işlem hatları/yazma, silme Synapse Yöneticisi
Synapse Katkıda Bulunan
Synapse Artifact Publisher
çalışma alanları/linkConnections/yazma, silme Synapse Yöneticisi
Synapse Katkıda Bulunanı
çalışma alanları/tetikleyiciler/yazma, silme Synapse Yöneticisi
Synapse Katkıda Bulunan
Synapse Artifact Publisher
çalışma alanları/veri kümeleri/yazma, silme Synapse Yöneticisi
Synapse Katkıda Bulunan
Synapse Artifact Publisher
çalışma alanları/kitaplıklar/yazma, silme Synapse Yöneticisi
Synapse Apache Spark Yöneticisi
Synapse Katkıda Bulunan
Synapse Artifact Publisher
workspaces/linkedServices/write, delete Synapse Yöneticisi
Synapse Apache Spark Yöneticisi
Synapse SQL Yöneticisi
Synapse Katılımcısı
Synapse Artifact Publisher
Synapse Bağlı Veri Yöneticisi
çalışma alanları/kimlik bilgileri/yazma, silme Synapse Yöneticisi
Synapse Apache Spark Yöneticisi
Synapse SQL Yöneticisi
Synapse Katılımcısı
Synapse Artifact Publisher
Synapse Bağlı Veri Yöneticisi
çalışma alanları/not defterleri/viewOutputs/action Synapse Yöneticisi
Synapse Apache Spark Yöneticisi
Synapse Katılımcısı
Synapse Artifact Publisher
Synapse Artifact User
çalışma alanları/işlem hatları/viewOutputs/action Synapse Yöneticisi
Synapse Contributor
Synapse Artifact Publisher
Synapse Artifact User
workspaces/linkedServices/useSecret/action Synapse Yöneticisi
Synapse Kimlik Bilgisi Kullanıcısı
çalışma alanları/kimlik bilgileri/useSecret/action Synapse Yöneticisi
Synapse Kimlik Bilgisi Kullanıcısı

Synapse RBAC kapsamları ve bunların desteklenen rolleri

Aşağıdaki tabloda Synapse RBAC kapsamları ve her kapsamda atanabilecek roller listelenmiştir.

Not

Nesne oluşturmak veya silmek için daha üst düzey bir kapsamda izinleriniz olmalıdır.

Kapsam Roller
Çalışma alanı Synapse Yöneticisi
Synapse Apache Spark Yöneticisi Synapse SQL Yöneticisi
Synapse SQL Yöneticisi
Synapse Katılımcısı
Synapse Artifact Publisher
Synapse Artifact Kullanıcı
Synapse İşlem Operatörü Synapse İzleme Operatörü

Synapse Kimlik Bilgisi Kullanıcı
Synapse Bağlı Data Manager
Synapse Kullanıcısı
Apache Spark havuzu Synapse Yöneticisi
Synapse Katkıda Bulunan
Synapse İşlem operatörü
Tümleştirme çalışma zamanı Synapse Yöneticisi
Synapse Katkıda Bulunan
Synapse İşlem operatörü
Bağlı hizmet Synapse Yöneticisi
Synapse Kimlik Bilgisi Kullanıcısı
Kimlik Bilgisi Synapse Yöneticisi
Synapse Kimlik Bilgisi Kullanıcısı

Not

Tüm yapıt rollerinin ve eylemlerinin kapsamı çalışma alanı düzeyindedir.

Sonraki adımlar