Descripción de los roles necesarios para realizar tareas comunes en Azure Synapse
Este artículo le ayudará a comprender qué roles RBAC (control de acceso basado en rol) de Synapse o de Azure necesita para realizar el trabajo en Synapse Studio. Para administrar la pertenencia a roles, consulte Administración de las asignaciones de roles RBAC de Synapse.
Resumen del control de acceso y flujo de trabajo de Synapse Studio
Acceso a Synapse Studio
Puede abrir Synapse Studio y ver los detalles del área de trabajo y enumerar cualquiera de sus recursos de Azure, como grupos de SQL, grupos de Spark o entornos de ejecución de integración. Verá si ha asignado algún rol de RBAC de Synapse o tiene el rol Propietario, Colaborador o Lector de Azure en el área de trabajo.
Administración de recursos
Puede crear grupos de SQL, grupos de Data Explorer y grupos de Apache Spark si es propietario o colaborador de Azure en el grupo de recursos. Puede crear una instancia de Integration Runtime si es propietario o colaborador de Azure en el área de trabajo. Al usar plantillas de ARM para la implementación automatizada, debe ser colaborador de Azure en el grupo de recursos.
Puede pausar o escalar un grupo de SQL dedicado y configurar un grupo de Spark o un entorno de ejecución de integración si es propietario o colaborador de Azure en el área de trabajo o en ese recurso.
Visualización y edición de artefactos de código
Con el acceso a Synapse Studio, puede crear nuevos artefactos de código, como scripts SQL, scripts KQL, cuadernos, trabajos de Spark, servicios vinculados, canalizaciones, flujos de trabajo, desencadenadores y credenciales. Estos artefactos se pueden publicar o guardar con permisos adicionales.
Si es un usuario o editor de artefactos de Synapse, o bien un colaborador o administrador de Synapse, puede mostrar, abrir y editar los artefactos de código ya publicados, incluidas las canalizaciones programadas.
Ejecución del código
Puede ejecutar scripts SQL en grupos de SQL si tiene los permisos SQL necesarios definidos en los grupos de SQL. Puede ejecutar scripts KQL en grupos de Data Explorer si tiene los permisos necesarios.
Puede ejecutar cuadernos y trabajos de Spark si tiene permisos de operador de proceso de Synapse en el área de trabajo o en grupos de Apache Spark específicos.
Con los permisos de operador de proceso en el área de trabajo o en entornos de ejecución de integración específicos y los permisos de credenciales adecuados, puede ejecutar canalizaciones.
Supervisión y administración de la ejecución
Puede revisar el estado de los cuadernos y trabajos en ejecución en los grupos de Apache Spark si es un usuario de Synapse.
Puede revisar los registros y cancelar los trabajos y las canalizaciones en ejecución si es un operador de proceso de Synapse en el área de trabajo o para un grupo o canalización de Spark específico.
Depuración de canalizaciones
Puede revisar y realizar cambios en canalizaciones como usuario de Synapse, pero si desea poder depurarlas, también debe tener el usuario de credenciales de Synapse.
Publicar y guardar el código
Puede publicar artefactos de código nuevos o actualizados en el servicio si es un editor de artefactos de Synapse o bien un colaborador o administrador de Synapse.
Puede confirmar los artefactos de código en una rama de trabajo de un repositorio de GIT si el área de trabajo está habilitada para GIT y usted tiene permisos de Git. Con GIT habilitado, solo se permite la publicación desde la rama de colaboración.
Si cierra Synapse Studio sin publicar o confirmar los cambios en los artefactos de código, se perderán dichos cambios.
Tareas y roles necesarios
En la tabla siguiente se muestran las tareas comunes y, para cada tarea, los roles RBAC de Synapse o Azure necesarios.
Nota
El administrador de Synapse no se muestra para cada tarea a menos que sea el único rol que proporciona el permiso necesario. Un administrador de Synapse puede realizar todas las tareas que habilitan otros roles RBAC de Synapse.
Nota
Los usuarios invitados de otro inquilino también podrán revisar, agregar o cambiar las asignaciones de roles cuando se hayan asignado como administradores de Synapse.
Se muestra el rol RBAC de Synapse mínimo requerido.
Todos los roles RBAC de Synapse de cualquier ámbito le proporcionan permisos de usuario de Synapse en el área de trabajo.
Todos los permisos o acciones RBAC de Synapse que se muestran en la tabla tienen el prefijo Microsoft/Synapse/workspaces/....
| Tarea (quiero...) | Rol (necesito ser...) | Permiso/acción de RBAC de Synapse |
|---|---|---|
| Abrir Synapse Studio en un área de trabajo | Usuario de Synapse o | leer |
| propietario, colaborador o lector de Azure en el área de trabajo | ninguno | |
| Enumeración de grupos de SQL, grupos de Data Explorer, grupos de Apache Spark, entornos de ejecución de integración y acceso a los detalles de configuración | Usuario de Synapse o | leer |
| propietario, colaborador o lector de Azure en el área de trabajo | ninguno | |
| Enumeración de servicios vinculados, credenciales o puntos de conexión privados administrados | Usuario de Synapse | leer |
| GRUPOS DE SQL | ||
| Crear un grupo de SQL dedicado o un grupo de SQL sin servidor | Propietario o colaborador de Azure en el grupo de recursos | ninguno |
| Administración (pausa, escalado o eliminación) de un grupo de SQL dedicado | Propietario o colaborador de Azure en el grupo de SQL o el área de trabajo | ninguno |
| Crear un script de SQL |
Usuario de Synapse o propietario o colaborador de Azure en el área de trabajo. Se requieren permisos SQL adicionales para ejecutar o publicar un script de SQL, o confirmar sus cambios. |
|
| Mostrar y abrir cualquier script de SQL publicado | Usuario de artefactos, editor de artefactos o colaborador de Synapse | artefactos/lectura |
| Ejecutar un script de SQL en un grupo de SQL sin servidor | Permisos SQL en el grupo (concedidos automáticamente a un administrador de Synapse) | ninguno |
| Ejecutar un script de SQL en un grupo de SQL dedicado | Permisos SQL en el grupo (concedidos automáticamente a un administrador de Synapse) | ninguno |
| Publicación de script de SQL nuevo, actualizado o eliminado | Editor de artefactos o colaborador de Synapse | sqlScripts/escritura, eliminación |
| Confirmar cambios en un script de SQL el un repositorio de Git | Requiere permisos de GIT en el repositorio. | |
| Asignar un administrador de Active Directory en el área de trabajo (mediante las propiedades del área de trabajo de Azure Portal) | Propietario o colaborador de Azure en el área de trabajo | |
| GRUPOS DE DATA EXPLORER | ||
| Crear un grupo de Data Explorer | Propietario o colaborador de Azure en el grupo de recursos | ninguno |
| Administración (pausa, escalado o eliminación) de un grupo de Data Explorer | Propietario o colaborador de Azure en el área de trabajo o el grupo de Data Explorer | ninguno |
| Crear un script KQL |
Usuario de Synapse. Se requieren permisos de Data Explorer adicionales para ejecutar o publicar un script, o confirmar sus cambios. |
|
| Mostrar y abrir cualquier script KQL publicado | Usuario de artefactos, editor de artefactos o colaborador de Synapse | artefactos/lectura |
| Ejecutar un script KQL en un grupo de Data Explorer | Permisos de Data Explorer en el grupo (concedidos automáticamente a un administrador de Synapse) | ninguno |
| Publicar un script KQL nuevo, actualizarlo o eliminarlo | Editor de artefactos o colaborador de Synapse | kqlScripts/escritura, eliminación |
| Confirmar cambios en un script KQL en un repositorio de Git | Requiere permisos de GIT en el repositorio. | |
| GRUPOS DE APACHE SPARK | ||
| Creación de un grupo de Apache Spark | Propietario o colaborador de Azure en el grupo de recursos | |
| Supervisión de aplicaciones de Apache Spark | Usuario de Synapse | leer |
| Ver los registros de la ejecución completada del cuaderno y el trabajo | Operador de supervisión de Synapse | |
| Cancelar cualquier trabajo del cuaderno o de Spark que se ejecute en un grupo de Apache Spark | Operador de proceso de Synapse en el grupo de Apache Spark. | bigDataPools/useCompute |
| Crear un cuaderno o una definición de trabajo | Usuario de Synapse, o Propietario, colaborador o lector de Azure en el área de trabajo Se requieren permisos adicionales para ejecutar o publicar o confirmar cambios |
leer |
| Mostrar y abrir una definición de trabajo o un cuaderno publicado, incluida la revisión de las salidas guardadas | Un usuario de artefactos de Synapse o un operador de supervisión de Synapse ubicado en el área de trabajo | artefactos/lectura |
| Ejecutar un cuaderno y revisar su salida, o bien enviar un trabajo de Spark | Administrator de Apache Spark de Synapse, operador de proceso de Synapse en el grupo de Apache Spark seleccionado | bigDataPools/useCompute |
| Publicar o eliminar una definición de trabajo o un cuaderno (incluida la salida) en el servicio | Editor de artefactos en el área de trabajo, administrador de Apache Spark de Synapse | cuadernos/escritura, eliminación |
| Confirmar cambios en una definición de trabajo o un cuaderno en el repositorio de Git | Permisos de Git | None |
| CANALIZACIONES, ENTORNOS DE EJECUCIÓN, FLUJOS DE DATOS, CONJUNTOS DE DATOS Y DESENCADENADORES | ||
| Crear, actualizar o eliminar un entorno de ejecución de integración | Propietario o colaborador de Azure en el área de trabajo | |
| Supervisar el estado del entorno de ejecución de integración | Operador de supervisión de Synapse | read, integrationRuntimes/viewLogs |
| Revisar las ejecuciones de canalización | Operador de supervisión de Synapse | lectura, canalizaciones/viewOutputs |
| Crear una canalización | Usuario de Synapse Se requieren permisos adicionales de Synapse para depurar, agregar desencadenadores, publicar o confirmar cambios |
leer |
| Crear un flujo de datos o un conjunto de datos | Usuario de Synapse Se requieren permisos adicionales de Synapse para publicar o confirmar cambios |
leer |
| Mostrar y abrir una canalización publicada | Un usuario de artefactos de Synapse o un operador de supervisión de Synapse | artefactos/lectura |
| Obtener una vista previa de los datos del conjunto de datos | Usuario de Synapse y usuario de credenciales de Synapse en WorkspaceSystemIdentity | |
| Depurar una canalización mediante el entorno de ejecución de integración predeterminado | Usuario de Synapse y usuario de credenciales de Synapse en la credencial de WorkspaceSystemIdentity | read, credentials/useSecret |
| Crear un desencadenador, incluido el de desencadenar ahora (requiere permiso para ejecutar la canalización) | Usuario de Synapse y usuario de credenciales de Synapse en WorkspaceSystemIdentity | lectura, credenciales/useSecret/acción |
| Ejecutar una canalización | Usuario de Synapse y usuario de credenciales de Synapse en WorkspaceSystemIdentity | lectura, credenciales/useSecret/acción |
| Copiar datos mediante la herramienta Copiar datos | Usuario de Synapse y usuario de credenciales de Synapse en la identidad del sistema del área de trabajo | lectura, credenciales/useSecret/acción |
| Ingerir datos (mediante una programación) | Autor de Synapse y usuario de credenciales de Synapse en la identidad del sistema del área de trabajo | lectura, credenciales/useSecret/acción |
| Publicar una canalización, un flujo de datos o un desencadenador nuevo, actualizado o eliminado en el servicio | Editor de artefactos de Synapse en el área de trabajo | pipelines/write, delete dataflows/write, delete triggers/write, delete |
| Confirmar cambios en canalizaciones, flujos de datos, conjuntos de datos y desencadenadores en el repositorio de Git | Permisos de Git | ninguno |
| SERVICIOS VINCULADOS | ||
| Crear un servicio vinculado (incluye la asignación de una credencial) | Usuario de Synapse Se requieren permisos adicionales para usar un servicio vinculado con credenciales, o para publicar o confirmar cambios |
leer |
| Mostrar y abrir un servicio vinculado publicado | Usuario de artefactos de Synapse | linkedServices/escritura, eliminación |
| Probar la conexión en un servicio vinculado protegido por una credencial | Usuario de Synapse y usuario de credenciales Synapse | credenciales/useSecret/acción |
| Publicar un servicio vinculado | Editor de artefactos de Synapse o Data Manager de Synapse Link | linkedServices/escritura, eliminación |
| Confirmar definiciones de servicios vinculados en el repositorio de Git | Permisos de Git | ninguno |
| ADMINISTRACIÓN DE ACCESO | ||
| Revisar asignaciones de roles RBAC de Synapse en cualquier ámbito | Usuario de Synapse | leer |
| Asignar y quitar asignaciones de roles RBAC de Synapse para usuarios, grupos y entidades de servicio | Administrador de Synapse en el área de trabajo o en un ámbito de elemento de área de trabajo específico | roleAssignments/escritura, eliminación |