Vysvětlení rolí potřebných k provádění běžných úloh v Azure Synapse
Tento článek vám pomůže pochopit, které role Synapse RBAC (řízení přístupu na základě role) nebo role Azure RBAC potřebujete k práci v Synapse Studiu. Pokud chcete spravovat členství v rolích, přečtěte si téma Správa přiřazení rolí RBAC synapse.
Souhrn řízení přístupu a pracovního postupu synapse Studia
Přístup k Synapse Studiu
Můžete otevřít Synapse Studio a zobrazit podrobnosti pracovního prostoru a zobrazit seznam všech jejích prostředků Azure, jako jsou fondy SQL, fondy Sparku nebo prostředí Integration Runtime. Uvidíte, jestli máte přiřazenou nějakou roli Synapse RBAC nebo jestli máte v pracovním prostoru roli Vlastník, Přispěvatel nebo Čtenář Azure.
Řízení zdrojů
Fondy SQL, fondy Průzkumníka dat a fondy Apache Sparku můžete vytvořit, pokud jste vlastníkem nebo přispěvatelem Azure ve skupině prostředků. Prostředí Integration Runtime můžete vytvořit, pokud jste vlastníkem nebo přispěvatelem Azure v pracovním prostoru. Při použití šablon ARM pro automatizované nasazení musíte být přispěvatelem Azure ve skupině prostředků.
Vyhrazený fond SQL můžete pozastavit nebo škálovat, nakonfigurovat fond Sparku nebo prostředí Integration Runtime, pokud jste vlastníkem Nebo přispěvatelem Azure v pracovním prostoru nebo daném prostředku.
Zobrazení a úprava artefaktů kódu
S přístupem ke službě Synapse Studio můžete vytvářet nové artefakty kódu, jako jsou skripty SQL, skripty KQL, poznámkové bloky, úlohy Spark, propojené služby, kanály, toky dat, triggery a přihlašovací údaje. Tyto artefakty je možné publikovat nebo uložit s dalšími oprávněními.
Pokud jste uživatel artefaktu Synapse, Vydavatel artefaktů Synapse, Přispěvatel Synapse nebo Správce Synapse, můžete vypsat, otevřít a upravit již publikované artefakty kódu, včetně plánovaných kanálů.
Spuštění kódu
Skripty SQL můžete spouštět ve fondech SQL, pokud máte potřebná oprávnění SQL definovaná ve fondech SQL. Skripty KQL můžete spouštět ve fondech Průzkumníka dat, pokud máte potřebná oprávnění.
Poznámkové bloky a úlohy Sparku můžete spouštět, pokud máte v pracovním prostoru nebo konkrétních fondech Apache Sparku oprávnění operátora služby Synapse Compute.
S oprávněními výpočetního operátora pro pracovní prostor nebo konkrétní prostředí Integration Runtime a odpovídajícími oprávněními k přihlašovacím údajům můžete spouštět kanály.
Monitorování a správa provádění
Pokud jste uživatel Synapse, můžete zkontrolovat stav spuštěných poznámkových bloků a úloh ve fondech Apache Sparku.
Protokoly a zrušení spuštěných úloh a kanálů můžete zkontrolovat, pokud jste operátor výpočetních prostředků Synapse v pracovním prostoru nebo pro konkrétní fond Sparku nebo kanál.
Ladění kanálů
Jako uživatel Synapse můžete zkontrolovat a provádět změny v kanálech, ale pokud ho chcete mít možnost ladit, musíte mít také synapse Credential User.
Publikování a uložení kódu
Pokud jste vydavatelem artefaktů synapse, přispěvatelem Synapse nebo správcem Synapse, můžete do služby publikovat nové nebo aktualizované artefakty kódu.
Artefakty kódu můžete potvrdit do pracovní větve úložiště Git, pokud je pracovní prostor povolený gitem a máte oprávnění Gitu. S povoleným Gitem je publikování povolené jenom z větve pro spolupráci.
Pokud Synapse Studio zavřete bez publikování nebo potvrzení změn artefaktů kódu, dojde ke ztrátě těchto změn.
Úlohy a požadované role
V následující tabulce jsou uvedené běžné úlohy a pro každý úkol, role Synapse RBAC nebo Azure RBAC.
Poznámka:
Správce Synapse není uvedený pro každou úlohu, pokud se nejedná o jedinou roli, která poskytuje potřebná oprávnění. Správce Synapse může provádět všechny úlohy povolené jinými rolemi Synapse RBAC.
Poznámka:
Uživatelé typu host z jiného tenanta také můžou zkontrolovat, přidat nebo změnit přiřazení rolí po přiřazení jako správce Synapse.
Zobrazí se minimální požadovaná role Synapse RBAC.
Všechny role Synapse RBAC v libovolném oboru poskytují oprávnění uživatele Synapse v pracovním prostoru.
Všechna oprávnění nebo akce Synapse RBAC zobrazené v tabulce mají předponu Microsoft/Synapse/workspaces/....
| Úkol (chci...) | Role (potřebuji být...) | Oprávnění nebo akce Synapse RBAC |
|---|---|---|
| Otevření synapse Studia v pracovním prostoru | Uživatel Synapse nebo | přečteno |
| Vlastník Nebo Přispěvatel Azure nebo Čtenář v pracovním prostoru | Žádná | |
| Výpis fondů SQL nebo fondů Průzkumníka dat nebo fondů Apache Sparku nebo prostředí Integration Runtime a přístup k podrobnostem o konfiguraci | Uživatel Synapse nebo | přečteno |
| Vlastník Nebo Přispěvatel Azure nebo Čtenář v pracovním prostoru | Žádná | |
| Výpis propojených služeb nebo přihlašovacích údajů nebo spravovaných privátních koncových bodů | Uživatel Synapse | přečteno |
| FONDY SQL | ||
| Vytvoření vyhrazeného fondu SQL nebo bezserverového fondu SQL | Vlastník nebo přispěvatel Azure ve skupině prostředků | Žádná |
| Správa (pozastavení nebo škálování nebo odstranění) vyhrazeného fondu SQL | Vlastník nebo přispěvatel Azure ve fondu NEBO pracovním prostoru SQL | Žádná |
| Vytvoření skriptu SQL |
Uživatel Synapse nebo vlastník Azure nebo přispěvatel v pracovním prostoru. K spuštění skriptu SQL, publikování nebo potvrzení změn se vyžadují další oprávnění SQL. |
|
| Zobrazení seznamu a otevření libovolného publikovaného skriptu SQL | Uživatel artefaktu Synapse nebo Vydavatel artefaktů nebo Přispěvatel Synapse | artefakty/čtení |
| Spuštění skriptu SQL v bezserverovém fondu SQL | Oprávnění SQL ve fondu (udělená automaticky správci Synapse) | Žádná |
| Spuštění skriptu SQL ve vyhrazeném fondu SQL | Oprávnění SQL ve fondu (udělená automaticky správci Synapse) | Žádná |
| Publikování nového nebo aktualizovaného nebo odstraněného skriptu SQL | Vydavatel artefaktů Synapse nebo Přispěvatel Synapse | sqlScripts/write, delete |
| Potvrzení změn do skriptu SQL do úložiště Git | Vyžaduje oprávnění Gitu v úložišti. | |
| Přiřazení správce Active Directory v pracovním prostoru (prostřednictvím vlastností pracovního prostoru na webu Azure Portal) | Vlastník nebo přispěvatel Azure v pracovním prostoru | |
| FONDY PRŮZKUMNÍKA DAT | ||
| Vytvoření fondu Průzkumníka dat | Vlastník nebo přispěvatel Azure ve skupině prostředků | Žádná |
| Správa (pozastavení nebo škálování nebo odstranění) fondu Průzkumníka dat | Vlastník nebo přispěvatel Azure ve fondu nebo pracovním prostoru Průzkumníka dat | Žádná |
| Vytvoření skriptu KQL |
Uživatel Synapse. K spuštění skriptu, publikování nebo potvrzení změn se vyžadují další oprávnění Průzkumníka dat. |
|
| Zobrazení seznamu a otevření libovolného publikovaného skriptu KQL | Uživatel artefaktu Synapse nebo Vydavatel artefaktů nebo Přispěvatel Synapse | artefakty/čtení |
| Spuštění skriptu KQL ve fondu Průzkumníka dat | Oprávnění Průzkumníka dat ve fondu (udělená automaticky správci Synapse) | Žádná |
| Publikování nového, aktualizačního nebo odstranění skriptu KQL | Vydavatel artefaktů Synapse nebo Přispěvatel Synapse | kqlScripts/write, delete |
| Potvrzení změn do skriptu KQL do úložiště Git | Vyžaduje oprávnění Gitu v úložišti. | |
| FONDY APACHE SPARKU | ||
| Vytvoření fondu Apache Sparku | Vlastník nebo přispěvatel Azure ve skupině prostředků | |
| Monitorování aplikací Apache Spark | Uživatel Synapse | přečteno |
| Zobrazení protokolů pro dokončený poznámkový blok a spuštění úlohy | Operátor monitorování Synapse | |
| Zrušení všech úloh poznámkového bloku nebo Sparku spuštěných ve fondu Apache Spark | Operátor Synapse Compute ve fondu Apache Spark. | bigDataPools/useCompute |
| Vytvoření poznámkového bloku nebo definice úlohy | Ke spuštění, publikování nebo potvrzení změn v pracovním prostoru se vyžadují další oprávnění uživatele Synapse nebo vlastníka Nebo přispěvatele Azure nebo čtenáře v pracovním prostoru . |
číst |
| Zobrazení seznamu a otevření publikovaného poznámkového bloku nebo definice úlohy, včetně kontroly uložených výstupů | Uživatel artefaktu Synapse nebo operátor monitorování Synapse v pracovním prostoru | artefakty/čtení |
| Spuštění poznámkového bloku a kontrola výstupu nebo odeslání úlohy Sparku | Správce Synapse Apache Sparku nebo operátor služby Synapse Compute ve vybraném fondu Apache Spark | bigDataPools/useCompute |
| Publikování nebo odstranění definice poznámkového bloku nebo úlohy (včetně výstupu) do služby | Vydavatel artefaktů v pracovním prostoru nebo správce Synapse Apache Sparku | poznámkové bloky/ zápis, odstranění |
| Potvrzení změn do poznámkového bloku nebo definice úlohy do úložiště Git | Oprávnění Gitu | Žádná |
| KANÁLY, PROSTŘEDÍ INTEGRATION RUNTIME, TOKY DAT, DATOVÉ SADY A TRIGGERY | ||
| Vytvoření, aktualizace nebo odstranění prostředí Integration Runtime | Vlastník nebo přispěvatel Azure v pracovním prostoru | |
| Monitorování stavu prostředí Integration Runtime | Operátor monitorování Synapse | read, integrationRuntimes/viewLogs |
| Kontrola spuštění kanálu | Operátor monitorování Synapse | read, pipelines/viewOutputs |
| Vytvořit kanál | K ladění, přidávání triggerů, publikování nebo potvrzení změn se vyžadují další oprávnění Synapse uživatele Synapse. |
přečteno |
| Vytvoření toku dat nebo datové sady | K publikování nebo potvrzení změn se vyžadují další oprávnění Synapse uživatele Synapse. |
přečteno |
| Zobrazení seznamu a otevření publikovaného kanálu | Uživatel artefaktu Synapse nebo operátor monitorování Synapse | artefakty/čtení |
| Náhled dat datové sady | Uživatel Synapse a uživatel přihlašovacích údajů Synapse ve službě WorkspaceSystemIdentity | |
| Ladění kanálu pomocí výchozího prostředí Integration Runtime | Uživatel Synapse a uživatel pověření Synapse na přihlašovacích údajích WorkspaceSystemIdentity | read, credentials/useSecret |
| Vytvoření triggeru včetně triggeru (vyžaduje oprávnění ke spuštění kanálu) | Uživatel Synapse a uživatel přihlašovacích údajů Synapse ve službě WorkspaceSystemIdentity | read, credentials/useSecret/action |
| Spuštění nebo spuštění kanálu | Uživatel Synapse a uživatel přihlašovacích údajů Synapse ve službě WorkspaceSystemIdentity | read, credentials/useSecret/action |
| Kopírování dat pomocí nástroje Pro kopírování dat | Uživatel Synapse a uživatel pověření Synapse v systémové identitě pracovního prostoru | read, credentials/useSecret/action |
| Příjem dat (pomocí plánu) | Autor Synapse a uživatel přihlašovacích údajů Synapse v systémové identitě pracovního prostoru | read, credentials/useSecret/action |
| Publikování nového, aktualizovaného nebo odstraněného kanálu, toku dat nebo triggeru do služby | Vydavatel artefaktů Synapse v pracovním prostoru | pipelines/write, delete dataflows/write, delete triggers/write, delete |
| Potvrzení změn v kanálech, tocích dat, datových sadách nebo triggerech do úložiště Git | Oprávnění Gitu | Žádná |
| PROPOJENÉ SLUŽBY | ||
| Vytvoření propojené služby (včetně přiřazení přihlašovacích údajů) | K použití propojené služby s přihlašovacími údaji nebo k publikování nebo potvrzení změn se vyžadují další oprávnění uživatele Synapse. |
přečteno |
| Zobrazení seznamu a otevření publikované propojené služby | Uživatel artefaktu Synapse | linkedServices/write, delete |
| Testování připojení propojené služby zabezpečené přihlašovacími údaji | Uživatel Synapse a uživatel pověření Synapse | credentials/useSecret/action |
| Publikování propojené služby | Synapse Artifact Publisher nebo Synapse Linked Data Manager | linkedServices/write, delete |
| Potvrzení definic propojené služby do úložiště Git | Oprávnění Gitu | Žádná |
| SPRÁVA PŘÍSTUPU | ||
| Kontrola přiřazení rolí Synapse RBAC v libovolném oboru | Uživatel Synapse | přečteno |
| Přiřazení a odebrání přiřazení rolí Synapse RBAC pro uživatele, skupiny a instanční objekty | Správce Synapse v pracovním prostoru nebo v konkrétním oboru položky pracovního prostoru | roleAssignments/write, delete |