Comprendre les rôles requis pour effectuer des tâches courantes dans Azure Synapse
Cet article vous aidera à comprendre les différents rôles de type de contrôle d’accès en fonction du rôle (RBAC) Azure nécessaires pour effectuer vos tâches dans Synapse Studio. Pour gérer l’appartenance à un rôle, consultez Gérer les attributions de rôles RBAC Synapse.
Résumé du contrôle d’accès et du flux de travail Synapse Studio
Accéder à Synapse Studio
Vous pouvez ouvrir Synapse Studio, afficher les détails de l’espace de travail et lister l’une de ses ressources Azure : pools SQL, pools Spark, runtimes d’intégration, etc. Vous verrez si un rôle RBAC Synapse vous a été attribué ou si vous avez le rôle Propriétaire, Contributeur ou Lecteur Azure sur l’espace de travail.
Gestion des ressources
Vous pouvez créer des pools SQL, Data Explorer et Apache Spark si vous disposez du statut Propriétaire ou Contributeur Azure sur le groupe de ressources. Vous pouvez créer un runtime d'intégration si vous disposez du statut Propriétaire ou Contributeur Azure sur l’espace de travail. Lorsque vous utilisez des modèles ARM pour un déploiement automatisé, vous devez être un contributeur Azure sur le groupe de ressources.
Vous pouvez suspendre ou mettre à l’échelle un pool SQL dédié, configurer un pool Spark ou un runtime d’intégration si vous êtes un Propriétaire ou un Contributeur Azure sur l’espace de travail ou cette ressource.
Afficher et modifier les artefacts de code
L’accès à Synapse Studio vous permet de créer des artefacts de code, par exemple des scripts SQL, des scripts KQL, des notebooks, des travaux Spark, des services liés, des pipelines, des flux de données, des déclencheurs et des informations d’identification. Ces artefacts peuvent être publiés ou enregistrés avec des autorisations supplémentaires.
Si vous êtes un utilisateur d’artefact Synapse, un éditeur d’artefact Synapse, un contributeur Synapse ou un administrateur Synapse, vous pouvez répertorier, ouvrir et modifier des artefacts de code déjà publiés, y compris des pipelines planifiés.
Exécuter votre code
Vous pouvez exécuter des scripts SQL sur des pools SQL si vous avez défini les autorisations SQL nécessaires dans les pools SQL. Vous pouvez exécuter des scripts KQL sur des pools Data Explorer si vous disposez des autorisations nécessaires.
Vous pouvez exécuter des notebooks et des travaux Spark si vous disposez d’autorisations de type Opérateur de capacité de calcul Synapse sur l’espace de travail ou sur des pools Apache Spark spécifiques.
Avec les autorisations Opérateur de capacité de calcul sur l’espace de travail ou des runtimes d’intégration spécifiques, ainsi que les autorisations d’informations d’identification appropriées, vous pouvez exécuter des pipelines.
Surveiller et gérer l’exécution
Vous pouvez consulter l’état des notebooks et des travaux en cours d’exécution dans les pools Apache Spark si vous êtes un utilisateur Synapse.
Vous pouvez consulter les journaux et annuler les travaux et pipelines en cours d’exécution si vous êtes un opérateur de capacité de calcul Synapse sur l’espace de travail, ou pour un pool ou un pipeline Spark spécifique.
Débogage de pipelines
Vous pouvez vérifier les pipelines et y apporter des modifications en tant qu’utilisateur Synapse. Si toutefois vous souhaitez pouvoir les déboguer, vous devez également disposer du rôle Utilisateur d’informations d’identification Synapse.
Publier et enregistrer votre code
Vous pouvez publier des artefacts de code nouveaux ou mis à jour sur le service si vous êtes un Éditeur d’artefact Synapse, un Contributeur Synapse ou un Administrateur Synapse.
Vous pouvez valider des artefacts de code dans une branche de travail d’un référentiel Git si l’espace de travail est compatible Git et que vous disposez d’autorisations Git. Si Git est activé, la publication est uniquement autorisée à partir de la branche de collaboration.
Si vous fermez Synapse Studio sans publier ni valider les modifications apportées aux artefacts de code, ces modifications seront perdues.
Tâches et rôles requis
Le tableau ci-dessous répertorie les tâches courantes et, pour chaque tâche, le RBAC Synapse ou les rôles RBAC Azure requis.
Notes
L’administrateur Synapse n’est pas indiqué pour chaque tâche, sauf s’il s’agit du seul rôle qui fournit l’autorisation nécessaire. Un administrateur Synapse peut effectuer toutes les tâches activées par d’autres rôles RBAC Synapse.
Notes
Les utilisateurs invités d’un autre locataire peuvent aussi consulter, ajouter ou modifier les attributions de rôles une fois que l’administrateur Synapse leur a attribué un rôle.
Le rôle RBAC Synapse minimal requis est indiqué.
Tous les rôles RBAC Synapse dans toutes les étendues fournissent des autorisations de type Utilisateur Synapse pour l’espace de travail.
Toutes les autorisations/actions RBAC Synapse présentées dans le tableau sont préfixées avec Microsoft/Synapse/workspaces/....
| Tâche (je souhaite...) | Rôle (je dois être...) | Autorisation/action RBAC Synapse |
|---|---|---|
| Ouvrir Synapse Studio sur un espace de travail | Utilisateur Synapse, ou | lire |
| Propriétaire, Contributeur ou Lecteur Azure sur l’espace de travail | aucun | |
| Répertorier des pools SQL, des pools Data Explorer, des runtimes d’intégration et accéder à leurs détails de configuration | Utilisateur Synapse, ou | lire |
| Propriétaire, Contributeur ou Lecteur Azure sur l’espace de travail | aucun | |
| Répertorier les services liés, les informations d’identification ou les points de terminaison privés managés | Utilisateur Synapse | lire |
| POOLS SQL | ||
| Créer un pool SQL dédié ou un pool SQL serverless | Propriétaire ou Contributeur Azure sur le groupe de ressources | aucun |
| Gérer (suspendre, mettre à l’échelle ou supprimer) un pool SQL dédié | Propriétaire ou Contributeur Azure sur le pool SQL ou l’espace de travail | aucun |
| Créer un script SQL |
Utilisateur Synapse ou Propriétaire, Contributeur ou Lecteur Azure sur l’espace de travail. Des autorisations SQL supplémentaires sont requises pour exécuter un script SQL ou pour publier ou valider des modifications. |
|
| Répertorier et ouvrir tout script SQL publié | Utilisateur d’artefact Synapse, Éditeur d’artefacts ou Contributor Synapse | artifacts/read |
| Exécuter un script SQL sur un pool SQL serverless | Autorisations SQL sur le pool (accordées automatiquement à un Administrateur Synapse) | aucun |
| Exécuter un script SQL sur un pool SQL dédié | Autorisations SQL sur le pool (accordées automatiquement à un Administrateur Synapse) | aucun |
| Publier un script SQL nouveau, mis à jour ou supprimé | Éditeur d’artefacts Synapse/Contributor Synapse | sqlScripts/write, delete |
| Valider les modifications apportées à un script SQL dans le référentiel Git | Nécessite des autorisations Git sur le référentiel | |
| Attribuer des droits Administrateur Active Directory sur l’espace de travail (via les propriétés de l’espace de travail dans le portail Azure) | Propriétaire ou Contributeur Azure sur l’espace de travail | |
| POOLS DATA EXPLORER | ||
| Créer un pool Data Explorer | Propriétaire ou Contributeur Azure sur le groupe de ressources | aucun |
| Gérer (suspendre, mettre à l’échelle ou supprimer) un pool Data Explorer | Propriétaire ou Contributeur Azure sur le pool ou l’espace de travail Data Explorer | aucun |
| Créer un script KQL |
Utilisateur Synapse. Des autorisations Data Explorer supplémentaires sont requises pour exécuter un script ou pour publier ou valider des modifications. |
|
| Répertorier et ouvrir tout script KQL publié | Utilisateur d’artefact Synapse, Éditeur d’artefacts ou Contributor Synapse | artifacts/read |
| Exécuter un script KQL sur un pool Data Explorer | Autorisations Data Explorer sur le pool (accordées automatiquement à un Administrateur Synapse) | aucun |
| Publier, mettre à jour ou supprimer un script KQL | Éditeur d’artefacts Synapse/Contributor Synapse | kqlScripts/write, delete |
| Valider les modifications apportées à un script KQL dans le référentiel Git | Nécessite des autorisations Git sur le référentiel | |
| POOLS APACHE SPARK | ||
| Créer un pool Apache Spark | Propriétaire ou Contributeur Azure sur le groupe de ressources | |
| Surveiller les applications Apache Spark | Utilisateur Synapse | lire |
| Afficher les journaux pour l’exécution des notebooks complétés et des travaux | Opérateur de surveillance Synapse | |
| Annuler un notebook ou un travail Spark en cours d’exécution sur un pool Apache Spark | Opérateur de capacité de calcul Synapse sur le pool Apache Spark. | bigDataPools/useCompute |
| Créer une définition de notebook ou de travail | Utilisateur Synapse, ou Propriétaire, Contributeur ou Lecteur Azure sur l’espace de travail Des autorisations supplémentaires sont requises pour exécuter, publier ou valider des modifications |
read |
| Répertorier et ouvrir une définition de notebook ou de travail publiée, y compris la révision des sorties enregistrées | Utilisateur d’artefact Synapse ou Opérateur de surveillance Synapse sur l’espace de travail | artifacts/read |
| Exécuter un notebook et examiner sa sortie, ou envoyer un travail Spark | Administrateur Apache Spark Synapse ou Opérateur de capacité de calcul Synapse sur le pool Apache Spark sélectionné | bigDataPools/useCompute |
| Publier ou supprimer une définition de notebook ou de travail (y compris la sortie) dans le service | Éditeur d’artefacts sur l’espace de travail ou Administrateur Apache Spark Synapse | notebooks/write, delete |
| Valider les modifications apportées à une définition de notebook ou de tâche dans le référentiel Git | Autorisations Git | Aucune |
| PIPELINES, RUNTIMES D’INTÉGRATION, DATAFLOWS, JEUX DE DONNÉES ET DÉCLENCHEURS | ||
| Créer, mettre à jour ou supprimer un runtime d’intégration | Propriétaire ou Contributeur Azure sur l’espace de travail | |
| Superviser l’état du runtime d’intégration | Opérateur de surveillance Synapse | read, integrationRuntimes/viewLogs |
| Passer en revue les exécutions de pipeline | Opérateur de surveillance Synapse | read, pipelines/viewOutputs |
| Créer un pipeline | Utilisateur Synapse Des autorisations Synapse supplémentaires sont requises pour déboguer, ajouter des déclencheurs ou publier ou valider des modifications |
lire |
| Créer un dataflow ou un jeu de données | Utilisateur Synapse Des autorisations Synapse supplémentaires sont requises pour publier ou valider des modifications |
lire |
| Répertorier et ouvrir un pipeline publié | Utilisateur d’artefact Synapse ou Opérateur de surveillance Synapse | artifacts/read |
| Afficher un aperçu des données d’un jeu de données | Utilisateur Synapse et Utilisateur d’informations d’identification Synapse sur WorkspaceSystemIdentity | |
| Déboguer un pipeline à l’aide du runtime d’intégration par défaut | Utilisateur Synapse et Utilisateur d’informations d’identification Synapse sur WorkspaceSystemIdentity | read, credentials/useSecret |
| Créer un déclencheur, y compris un déclencheur immédiat (nécessite l’autorisation d’exécuter le pipeline) | Utilisateur Synapse et Utilisateur d’informations d’identification Synapse sur WorkspaceSystemIdentity | read, credentials/useSecret/action |
| Exécuter un pipeline | Utilisateur Synapse et Utilisateur d’informations d’identification Synapse sur WorkspaceSystemIdentity | read, credentials/useSecret/action |
| Copier des données à l’aide de l’outil Copier des données | Utilisateur Synapse et Utilisateur d’informations d’identification Synapse sur l’identité du système de l’espace de travail | read, credentials/useSecret/action |
| Ingérer des données (à l’aide d’une planification) | Auteur Synapse et Utilisateur d’informations d’identification Synapse sur l’identité du système de l’espace de travail | read, credentials/useSecret/action |
| Publier un pipeline, un dataflow ou un déclencheur nouveau, mis à jour ou supprimé dans le service | Éditeur d’artefact Synapse sur l’espace de travail | pipelines/write, delete dataflows/write, delete triggers/write, delete |
| Valider les modifications apportées aux pipelines, dataflows, jeux de données ou déclencheurs du référentiel Git | Autorisations Git | aucun |
| SERVICES LIÉS | ||
| Créer un service lié (y compris l’attribution d’informations d’identification) | Utilisateur Synapse Des autorisations supplémentaires sont requises pour utiliser un service lié avec des informations d’identification ou pour publier ou valider des modifications |
lire |
| Répertorier et ouvrir un service lié publié | Utilisateur d'artefact Synapse | linkedServices/write, delete |
| Tester la connexion sur un service lié sécurisé par des informations d’identification | Utilisateur Synapse et Utilisateur d’informations d’identification Synapse | credentials/useSecret/action |
| Publier un service lié | Éditeur d’artefact Synapse ou Gestionnaire de données lié Synapse | linkedServices/write, delete |
| Valider les définitions de service lié dans le référentiel Git | Autorisations Git | aucun |
| GESTION DES ACCÈS | ||
| Passer en revue les attributions de rôles RBAC Synapse dans n’importe quelle étendue | Utilisateur Synapse | lire |
| Attribuer et supprimer des rôles RBAC Synapse pour des utilisateurs, groupes et principaux de service | Administrateur Synapse dans l’espace de travail ou au niveau d’une étendue d’élément d’espace de travail spécifique | roleAssignments/write, delete |