Synapse RBAC 角色
本文說明內建的 Synapse RBAC (角色型存取控制) 角色、角色授與的權限,以及可使用這些角色的範圍。
如需檢閱和指派 Synapse 角色成員資格的詳細資訊,請參閱如何檢閱 Synapse RBAC 角色指派,以及如何指派 Synapse RBAC 角色。
內建 Synapse RBAC 角色和範圍
下表說明內建角色以及可使用這些角色的範圍。
注意
在任何範圍內具有任何 Synapse RBAC 角色的使用者會在工作區範圍自動擁有 Synapse 使用者角色。
重要
Synapse RBAC 角色不會授與在 Azure Synapse 工作區中建立或管理 SQL 集區、Apache Spark 集區和整合執行階段的權限。 這些動作需要資源群組上的 Azure 擁有者或 Azure 參與者角色。
| 角色 | 權限 | 範圍 |
|---|---|---|
| Synapse 系統管理員 | 無伺服器和專屬 SQL 集區、資料總管集區、Apache Spark 集區和整合執行階段的完整 Synapse 存取權。 包含所有已發佈程式碼成品的建立、讀取、更新和刪除存取權。 包含計算操作員、連結的資料管理員,以及工作區系統身分識別認證的認證使用者權限。 包括指派 Synapse RBAC 角色。 除了 Synapse 系統管理員之外,Azure 擁有者也可以指派 Synapse RBAC 角色。 需要 Azure 權限才能建立、刪除及管理計算資源。 即使停用相關聯的訂用帳戶,也可以指派 Synapse RBAC 角色。 可以讀取和寫入成品 可以在 Spark 活動上執行所有動作。 可以檢視 Spark 集區記錄 可以檢視已儲存的筆記本和管線輸出 可以使用連結服務所儲存的秘密或認證 可以在目前的範圍指派及撤銷 Synapse RBAC 角色 |
工作區 Spark 集區 整合執行階段 連結服務 認證 |
| Synapse Apache Spark 系統管理員 |
Apache Spark 集區的完整 Synapse 存取權。 對已發佈的 Spark 作業定義、筆記本及其輸出,以及對程式庫、連結服務和認證的建立、讀取、更新和刪除存取權。 包含所有其他已發佈程式碼成品的讀取存取。 不包含使用認證和執行管線的權限。 不包含授與存取權。 可以執行 Spark 成品上的所有動作 可以執行 Spark 活動上的所有動作 |
工作區 Spark 集區 |
| Synapse SQL 管理員 | 無伺服器 SQL 集區的完整 Synapse 存取權。 對已發行的 SQL 指令碼、認證和連結服務的建立、讀取、更新和刪除存取權。 包含所有其他已發佈程式碼成品的讀取存取。 不包含使用認證和執行管線的權限。 不包含授與存取權。 可以執行 SQL 指令碼上的所有動作 可以使用 SQL db_datareader、db_datawriter、connect 和 grant 權限連線到 SQL 無伺服器端點 |
工作區 |
| Synapse 參與者 | Apache Spark 集區和整合執行階段的完整 Synapse 存取權。 包含對所有已發佈程式碼成品及其輸出的建立、讀取、更新和刪除存取權,包括排程管線、認證和連結服務。 包含計算操作員權限。 不包含使用認證和執行管線的權限。 不包含授與存取權。 可以讀取和寫入成品 可以檢視儲存的筆記本和管線輸出 可以執行 Spark 活動上的所有動作 可以檢視 Spark 集區記錄 |
工作區 Spark 集區 整合執行階段 |
| Synapse 成品發行者 | 對已發佈程式碼成品及其輸出的建立、讀取、更新和刪除存取權,包括排程管線。 不包含執行程式碼或管線,或是授與存取權的權限。 可以讀取已發佈的成品和發佈成品 可以檢視已儲存的筆記本、Spark 作業和管線輸出 |
工作區 |
| Synapse 成品使用者 | 對已發佈的程式碼成品及其輸出的讀取權限。 可以建立新的成品,但無法在不使用更多權限的情況下發佈變更或執行程式碼。 | 工作區 |
| Synapse 計算操作員 | 提交 Spark 作業和筆記本,並檢視記錄。 包含取消任何使用者所提交的 Spark 作業。 需要工作區系統身分識別的其他使用認證權限,才能執行管線、檢視管線執行和輸出。 可以提交和取消作業,包含其他人所提交的作業 可以檢視 Spark 集區記錄 |
工作區 Spark 集區 整合執行階段 |
| Synapse 監視操作員 | 讀取已發佈的程式碼構件,包括管線執行和已完成 Notebook 的記錄和輸出。 包括列出和檢視 Apache Spark 集區、資料總管集區和整合執行階段的詳細資料。 需要執行/取消管線、Spark 筆記本和 Spark 作業的其他權限。 | 工作區 |
| Synapse 認證使用者 | 於執行階段和設定階段使用認證內的密碼,並於管線執行之類活動中使用連結服務。 若要執行管線,則此為必要角色,範圍設定為工作區系統身分識別。 範圍設定為認證,允許透過受認證保護的連結服務來存取資料 (可能還需要計算使用權限) 允許執行受工作區系統身分識別認證保護的管線 |
工作區 連結服務 認證 |
| Synapse 連結資料管理員 | 建立及管理受控私人端點、連結服務和認證。 可以建立使用受認證保護連結服務的受控私人端點 | 工作區 |
| Synapse 使用者 | 列出及檢視 SQL 集區、Apache Spark 集區、整合執行階段和已發佈連結服務和認證的詳細資料。 不包含其他已發佈的程式碼成品。 可以建立新的成品,但無法在不使用更多權限的情況下執行或發佈。 可以列出及讀取 Spark 集區、整合執行階段。 |
工作區、Spark 集區 連結服務 認證 |
Synapse RBAC 角色及其允許的動作
注意
- 下表中列出的所有動作前置詞皆為 "Microsoft.Synapse/..."
- 所有成品讀取、寫入和刪除動作皆與即時服務中的已發佈成品有關。 這些權限不會影響對已連線 Git 存放庫中成品的存取權限。
下表列出內建角色以及各項支援的動作/權限。
| 角色 | 動作 |
|---|---|
| Synapse 系統管理員 | workspaces/read workspaces/roleAssignments/write, delete workspaces/managedPrivateEndpoint/write, delete workspaces/bigDataPools/useCompute/action workspaces/bigDataPools/viewLogs/action workspaces/integrationRuntimes/useCompute/action workspaces/integrationRuntimes/viewLogs/action workspaces/artifacts/read workspaces/notebooks/write, delete workspaces/sparkJobDefinitions/write, delete workspaces/sqlScripts/write, delete workspaces/kqlScripts/write, delete workspaces/dataFlows/write, delete workspaces/pipelines/write, delete workspaces/triggers/write, delete workspaces/datasets/write, delete workspaces/libraries/write, delete workspaces/linkedServices/write, delete workspaces/credentials/write, delete workspaces/notebooks/viewOutputs/action workspaces/pipelines/viewOutputs/action workspaces/linkedServices/useSecret/action workspaces/credentials/useSecret/action workspaces/linkConnections/read workspaces/linkConnections/write workspaces/linkConnections/delete workspaces/linkConnections/useCompute/action |
| Synapse Apache Spark 管理員 | workspaces/read workspaces/bigDataPools/useCompute/action workspaces/bigDataPools/viewLogs/action workspaces/notebooks/viewOutputs/action workspaces/artifacts/read workspaces/notebooks/write, delete workspaces/sparkJobDefinitions/write, delete workspaces/libraries/write, delete workspaces/linkedServices/write, delete workspaces/credentials/write, delete |
| Synapse SQL 管理員 | workspaces/read workspaces/artifacts/read workspaces/sqlScripts/write, delete workspaces/linkedServices/write, delete workspaces/credentials/write, delete |
| Synapse 參與者 | workspaces/read workspaces/bigDataPools/useCompute/action workspaces/bigDataPools/viewLogs/action workspaces/integrationRuntimes/useCompute/action workspaces/integrationRuntimes/viewLogs/action workspaces/artifacts/read workspaces/notebooks/write, delete workspaces/sparkJobDefinitions/write, delete workspaces/sqlScripts/write, delete workspaces/kqlScripts/write, delete workspaces/dataFlows/write, delete workspaces/pipelines/write, delete workspaces/triggers/write, delete workspaces/datasets/write, delete workspaces/libraries/write, delete workspaces/linkedServices/write, delete workspaces/credentials/write, delete workspaces/notebooks/viewOutputs/action workspaces/pipelines/viewOutputs/action workspaces/linkConnections/read workspaces/linkConnections/write workspaces/linkConnections/delete workspaces/linkConnections/useCompute/action |
| Synapse 成品發行者 | workspaces/read workspaces/artifacts/read workspaces/notebooks/write, delete workspaces/sparkJobDefinitions/write, delete workspaces/sqlScripts/write, delete workspaces/kqlScripts/write, delete workspaces/dataFlows/write, delete workspaces/pipelines/write, delete workspaces/triggers/write, delete workspaces/datasets/write, delete workspaces/libraries/write, delete workspaces/linkedServices/write, delete workspaces/credentials/write, delete workspaces/notebooks/viewOutputs/action workspaces/pipelines/viewOutputs/action |
| Synapse 成品使用者 | workspaces/read workspaces/artifacts/read workspaces/notebooks/viewOutputs/action workspaces/pipelines/viewOutputs/action |
| Synapse 計算操作員 | workspaces/read workspaces/bigDataPools/useCompute/action workspaces/bigDataPools/viewLogs/action workspaces/integrationRuntimes/useCompute/action workspaces/integrationRuntimes/viewLogs/action workspaces/linkConnections/read workspaces/linkConnections/useCompute/action |
| Synapse 監視操作員 | workspaces/read workspaces/artifacts/read workspaces/notebooks/viewOutputs/action workspaces/pipelines/viewOutputs/action workspaces/integrationRuntimes/viewLogs/action workspaces/bigDataPools/viewLogs/action |
| Synapse 認證使用者 | workspaces/read workspaces/linkedServices/useSecret/action workspaces/credentials/useSecret/action |
| Synapse 連結資料管理員 | workspaces/read workspaces/managedPrivateEndpoint/write, delete workspaces/linkedServices/write, delete workspaces/credentials/write, delete |
| Synapse 使用者 | workspaces/read |
Synapse RBAC 動作和允許這些動作的角色
下表列出 Synapse 動作和允許這些動作的內建角色:
| 動作 | 角色 |
|---|---|
| workspaces/read | Synapse 系統管理員 Synapse Apache Spark 系統管理員 Synapse SQL 系統管理員 Synapse 參與者 Synapse 成品發行者 Synapse 成品使用者 Synapse 計算操作員 Synapse 監視操作員 Synapse 認證使用者 Synapse 連結資料管理員 Synapse 使用者 |
| workspaces/roleAssignments/write, delete | Synapse 系統管理員 |
| workspaces/managedPrivateEndpoint/write, delete | Synapse 系統管理員 Synapse 連結資料管理員 |
| workspaces/bigDataPools/useCompute/action | Synapse 系統管理員 Synapse Apache Spark 系統管理員 Synapse 參與者 Synapse 計算操作員 Synapse 監視操作員 |
| workspaces/bigDataPools/viewLogs/action | Synapse 系統管理員 Synapse Apache Spark 系統管理員 Synapse 參與者 Synapse 計算操作員 |
| workspaces/integrationRuntimes/useCompute/action | Synapse 系統管理員 Synapse 參與者 Synapse 計算操作員 Synapse 監視操作員 |
| workspaces/integrationRuntimes/viewLogs/action | Synapse 系統管理員 Synapse 參與者 Synapse 計算操作員 Synapse 監視操作員 |
| workspaces/linkConnections/read | Synapse 系統管理員 Synapse 參與者 Synapse 計算操作員 |
| workspaces/linkConnections/useCompute/action | Synapse 系統管理員 Synapse 參與者 Synapse 計算操作員 |
| workspaces/artifacts/read | Synapse 系統管理員 Synapse Apache Spark 系統管理員 Synapse SQL 系統管理員 Synapse 參與者 Synapse 成品發行者 Synapse 成品使用者 |
| workspaces/notebooks/write, delete | Synapse 系統管理員 Synapse Apache Spark 系統管理員 Synapse 參與者 Synapse 成品發行者 |
| workspaces/sparkJobDefinitions/write, delete | Synapse 系統管理員 Synapse Apache Spark 系統管理員 Synapse 參與者 Synapse 成品發行者 |
| workspaces/sqlScripts/write, delete | Synapse 系統管理員 Synapse SQL 系統管理員 Synapse 參與者 Synapse 成品發行者 |
| workspaces/kqlScripts/write, delete | Synapse 系統管理員 Synapse 參與者 Synapse 成品發行者 |
| workspaces/dataFlows/write, delete | Synapse 系統管理員 Synapse 參與者 Synapse 成品發行者 |
| workspaces/pipelines/write, delete | Synapse 系統管理員 Synapse 參與者 Synapse 成品發行者 |
| workspaces/linkConnections/write, delete | Synapse 系統管理員 Synapse 參與者 |
| workspaces/triggers/write, delete | Synapse 系統管理員 Synapse 參與者 Synapse 成品發行者 |
| workspaces/datasets/write, delete | Synapse 系統管理員 Synapse 參與者 Synapse 成品發行者 |
| workspaces/libraries/write, delete | Synapse 系統管理員 Synapse Apache Spark 系統管理員 Synapse 參與者 Synapse 成品發行者 |
| workspaces/linkedServices/write, delete | Synapse 系統管理員 Synapse Apache Spark 系統管理員 Synapse SQL 系統管理員 Synapse 參與者 Synapse 成品發行者 Synapse 連結資料管理員 |
| workspaces/credentials/write, delete | Synapse 系統管理員 Synapse Apache Spark 系統管理員 Synapse SQL 系統管理員 Synapse 參與者 Synapse 成品發行者 Synapse 連結資料管理員 |
| workspaces/notebooks/viewOutputs/action | Synapse 系統管理員 Synapse Apache Spark 系統管理員 Synapse 參與者 Synapse 成品發行者 Synapse 成品使用者 |
| workspaces/pipelines/viewOutputs/action | Synapse 系統管理員 Synapse 參與者 Synapse 成品發行者 Synapse 成品使用者 |
| workspaces/linkedServices/useSecret/action | Synapse 系統管理員 Synapse 認證使用者 |
| workspaces/credentials/useSecret/action | Synapse 系統管理員 Synapse 認證使用者 |
Synapse RBAC 範圍及其支援的角色
下表列出 Synapse RBAC 範圍,以及可在每個範圍指派的角色。
注意
若要建立或刪除物件,您必須擁有較高層級範圍的權限。
| 範圍 | 角色 |
|---|---|
| 工作區 | Synapse 系統管理員 Synapse Apache Spark 系統管理員 Synapse SQL 系統管理員 Synapse 參與者 Synapse 成品發行者 Synapse 成品使用者 Synapse 計算操作員 Synapse 監視操作員 Synapse 認證使用者 Synapse 連結資料管理員 Synapse 使用者 |
| Apache Spark 集區 | Synapse 系統管理員 Synapse 參與者 Synapse 計算操作員 |
| 整合執行階段 | Synapse 系統管理員 Synapse 參與者 Synapse 計算操作員 |
| 連結服務 | Synapse 系統管理員 Synapse 認證使用者 |
| 認證 | Synapse 系統管理員 Synapse 認證使用者 |
注意
所有成品角色和動作的範圍都是設定在工作區層級。