Riconoscere i ruoli necessari per eseguire attività comuni in Azure Synapse
Questo articolo spiega quali ruoli Controllo degli accessi in base al ruolo (RBAC) di Synapse o di Azure, sono necessari per svolgere il proprio lavoro in Synapse Studio. Per gestire l'appartenenza ai ruoli, vedere Gestire le assegnazioni di ruolo Controllo degli accessi in base al ruolo di Synapse.
Riepilogo del flusso di lavoro e del controllo di accesso di Synapse Studio
Accedere a Synapse Studio
È possibile aprire Synapse Studio, visualizzare i dettagli dell'area di lavoro ed elencare qualsiasi risorsa di Azure, ad esempio pool SQL, pool di Spark o runtime di integrazione. Si potrà vedere se è stato assegnato un ruolo Controllo degli accessi in base al ruolo di Synapse, oppure, se si ha il ruolo Proprietario, Collaboratore o Lettore di Azure nell'area di lavoro.
Gestione delle risorse
È possibile creare pool SQL, pool di Esplora dati e pool di Apache Spark se si è Proprietario o Collaboratore di Azure nel gruppo di risorse. È possibile creare un runtime di integrazione se si è Proprietario o Collaboratore di Azure nell'area di lavoro. Se si usano i modelli di ARM per la distribuzione automatizzata, è necessario essere un Collaboratore di Azure nel gruppo di risorse.
È possibile sospendere o dimensionare un pool SQL dedicato, configurare un pool Spark o un runtime di integrazione se si è Proprietario o Collaboratore di Azure nell'area di lavoro o nella risorsa.
Visualizzare e modificare gli artefatti di codice
Con l'accesso a Synapse Studio, è possibile creare nuovi artefatti di codice, ad esempio script SQL, script KQL, notebook, processi Spark, servizi collegati, pipeline, flussi di dati, trigger e credenziali. Tali artefatti possono essere pubblicati o salvati con autorizzazioni aggiuntive.
Se si è un utente artefatti di Synapse, autore di artefatti di Synapse, Collaboratore o Amministratore di Synapse, è possibile elencare, aprire e modificare artefatti di codice già pubblicati, incluse le pipeline pianificate.
Eseguire il codice
È possibile eseguire script SQL nei pool SQL se si hanno le autorizzazioni SQL necessarie definite nei pool SQL. È possibile eseguire script KQL nei pool di Esplora dati se si hanno le autorizzazioni necessarie.
È possibile eseguire notebook e processi Spark se si hanno le autorizzazioni di Operatore di calcolo di Synapse nell'area di lavoro o in pool specifici di Apache Spark.
Con le autorizzazioni di Operatore di calcolo per l'area di lavoro o runtime di integrazione specifici e le autorizzazioni per credenziali appropriate, è possibile eseguire le pipeline.
Monitorare e gestire l'esecuzione
È possibile esaminare lo stato dei notebook e dei processi in esecuzione nei pool di Apache Spark se si è un utente di Synapse.
È possibile esaminare i log e annullare i processi e le pipeline in esecuzione se si è Operatore di calcolo di Synapse nell'area di lavoro o per una pipeline o un pool di Spark specifici.
Eseguire il debug delle pipeline
È possibile esaminare e apportare modifiche nelle pipeline in qualità di utente di Synapse, tuttavia, se si desidera eseguirne il debug, è necessario essere anche utente credenziali di Synapse.
Pubblicare e salvare il codice
È possibile pubblicare artefatti di codice nuovi o aggiornati nel servizio se si è autore di artefatti di Synapse, Collaboratore o Amministratore di Synapse.
È possibile eseguire il commit degli artefatti di codice in un ramo di lavoro di un repository Git, se l'area di lavoro è abilitata per Git e si dispone delle autorizzazioni Git. Con Git abilitato, la pubblicazione è consentita soltanto dal ramo di collaborazione.
Se si chiude Synapse Studio senza pubblicare o eseguire il commit delle modifiche per gli artefatti di codice, tali modifiche andranno perse.
Attività e ruoli richiesti
Nella tabella seguente sono elencate le attività comuni e, per ogni attività, il controllo degli accessi in base al ruolo di Synapse o i ruoli Controllo degli accessi in base al ruolo di Azure necessari.
Nota
L'amministratore di Synapse non è elencato per ogni attività, a meno che non sia l'unico ruolo che fornisca l'autorizzazione necessaria. Un Amministratore di Synapse può eseguire tutte le attività abilitate da altri ruoli Controllo degli accessi in base al ruolo di Synapse.
Nota
Anche gli utenti guest di un altro tenant possono esaminare, aggiungere o modificare le assegnazioni di ruolo dopo avere ricevuto l'assegnazione del ruolo di Amministratore di Synapse.
Viene visualizzato il ruolo RBAC di Synapse minimo richiesto.
Tutti i ruoli Controllo degli accessi in base al ruolo di Synapse in qualsiasi ambito, forniscono le autorizzazioni Utente di Synapse nell'area di lavoro.
Tutte le autorizzazioni/azioni Controllo degli accessi in base al ruolo di Synapse visualizzate nella tabella hanno il prefisso Microsoft/Synapse/workspaces/....
| Attività (Si vuole...) | Ruolo (Si deve essere...) | Autorizzazione/azione Controllo degli accessi in base al ruolo di Synapse |
|---|---|---|
| Aprire Synapse Studio in un'area di lavoro | Utente di Synapse oppure | lettura |
| Proprietario, Collaboratore o Lettore di Azure nell'area di lavoro | Nessuno | |
| Elencare i pool SQL, i pool di Esplora dati o i pool di Apache Spark, oppure il runtime di integrazione, quindi accedere ai relativi dettagli di configurazione | Utente di Synapse oppure | lettura |
| Proprietario, Collaboratore o Lettore di Azure nell'area di lavoro | Nessuno | |
| Elencare i servizi collegati, le credenziali o gli endpoint privati gestiti | Utente di Synapse | lettura |
| POOL SQL | ||
| Creare un pool SQL dedicato o un pool SQL serverless | Proprietario o Collaboratore di Azure nel gruppo di risorse | Nessuno |
| Gestire (sospendere, dimensionare o eliminare) un pool SQL dedicato | Proprietario o Collaboratore di Azure nel pool SQL o nell'area di lavoro | Nessuno |
| Creare uno script SQL |
Utente di Synapse o Proprietario o Collaboratore di Azure nell'area di lavoro. Sono necessarie autorizzazioni SQL aggiuntive per eseguire, pubblicare o eseguire il commit delle modifiche di uno script SQL. |
|
| Elencare e aprire qualsiasi script SQL pubblicato | Utente o Autore di artefatti di Synapse o Collaboratore di Synapse | artifacts/read |
| Eseguire uno script SQL in un pool SQL serverless | Autorizzazioni SQL nel pool (concesse automaticamente a un Amministratore di Synapse) | Nessuno |
| Eseguire uno script SQL in un pool SQL dedicato | Autorizzazioni SQL nel pool (concesse automaticamente a un Amministratore di Synapse) | Nessuno |
| Pubblicare uno script SQL nuovo, aggiornato o eliminato | Autore di artefatti di Synapse o Collaboratore di Synapse | sqlScripts/write, delete |
| Eseguire il commit delle modifiche apportate a uno script SQL nel repository Git | Richiede autorizzazioni Git nel repository | |
| Assegnare l'Amministratore di Active Directory nell'area di lavoro (tramite le proprietà dell'area di lavoro nel portale di Azure) | Proprietario o Collaboratore di Azure nell'area di lavoro | |
| POOL DI ESPLORA DATI | ||
| Creare un pool di Esplora dati | Proprietario o Collaboratore di Azure nel gruppo di risorse | Nessuno |
| Gestire (sospendere, dimensionare o eliminare) un pool di Esplora dati | Proprietario o Collaboratore di Azure nel pool o nell'area di lavoro di Esplora dati | Nessuno |
| Creare uno script KQL |
Utente di Synapse. Sono necessarie autorizzazioni aggiuntive di Esplora dati per eseguire, pubblicare o eseguire il commit delle modifiche di uno script. |
|
| Elencare e aprire qualsiasi script KQL pubblicato | Utente o Autore di artefatti di Synapse o Collaboratore di Synapse | artifacts/read |
| Eseguire uno script KQL in un pool di Esplora dati | Autorizzazioni di Esplora dati nel pool (concesse automaticamente a un Amministratore di Synapse) | Nessuno |
| Pubblicare uno script KQL nuovo, aggiornarlo o eliminarlo | Autore di artefatti di Synapse o Collaboratore di Synapse | kqlScripts/write, delete |
| Eseguire il commit delle modifiche a uno script KQL nel repository Git | Richiede autorizzazioni Git nel repository | |
| POOL DI APACHE SPARK | ||
| Creare un pool di Apache Spark | Proprietario o Collaboratore di Azure nel gruppo di risorse | |
| Monitorare le applicazioni Apache Spark | Utente di Synapse | lettura |
| Visualizzare i log di esecuzione completata del notebook e del processo | Operatore monitoraggio Synapse | |
| Annullare l'esecuzione di qualsiasi notebook o processo Spark in un pool di Apache Spark | Operatore di calcolo di Synapse nel pool di Apache Spark. | bigDataPools/useCompute |
| Creare la definizione di un notebook o di un processo | Per un utente di Synapse o un Proprietario, Collaboratore o Lettore di Azure nell'area di lavoro È necessario disporre di autorizzazioni aggiuntive per l'esecuzione, la pubblicazione o il commit delle modifiche |
lettura |
| Elencare e aprire una definizione di un notebook o processo pubblicata, inclusa la revisione degli output salvati | Utente di artefatti di Synapse od Operatore monitoraggio di Synapse nell'area di lavoro | artifacts/read |
| Eseguire un notebook e rivederne l'output, o inviare un processo Spark | Amministratore di Apache Spark di Synapse oppure Operatore di calcolo di Synapse nel pool di Apache Spark selezionato | bigDataPools/useCompute |
| Pubblicare o eliminare la definizione di un notebook o di un processo (incluso l'output) nel servizio | Autore di artefatti nell'area di lavoro o Amministratore di Apache Spark di Synapse | notebooks/write, delete |
| Eseguire il commit delle modifiche apportate a una definizione del notebook o del processo nel repository Git | Autorizzazioni Git | Nessuno |
| PIPELINE, RUNTIME DI INTEGRAZIONE, FLUSSI DI DATI, SET DI DATI E TRIGGER | ||
| Creare, aggiornare o eliminare un runtime di integrazione | Proprietario o Collaboratore di Azure nell'area di lavoro | |
| Monitorare il runtime di integrazione | Operatore monitoraggio Synapse | read, integrationRuntimes/viewLogs |
| Esaminare le esecuzioni della pipeline | Operatore monitoraggio Synapse | read, pipelines/viewOutputs |
| Creare una pipeline | Utente di Synapse Sono richieste autorizzazioni aggiuntive per eseguire il debug, aggiungere trigger, pubblicare o eseguire il commit delle modifiche |
lettura |
| Creare un flusso di dati o un set di dati | Utente di Synapse Sono richieste autorizzazioni aggiuntive per pubblicare o eseguire il commit delle modifiche |
lettura |
| Elencare e aprire una pipeline pubblicata | Utente di artefatti di Synapse od Operatore monitoraggio di Synapse | artifacts/read |
| Anteprima dati del set di dati | Utente di Synapse e utente credenziali di Synapse in WorkspaceSystemIdentity | |
| Eseguire il debug di una pipeline usando il runtime di integrazione predefinito | Utente di Synapse e Utente credenziali di Synapse nella credenziale WorkspaceSystemIdentity | read, credentials/useSecret |
| Creare un trigger, inclusa l'opzione Attiva adesso (è richiesta l'autorizzazione per eseguire la pipeline) | Utente di Synapse e utente credenziali di Synapse in WorkspaceSystemIdentity | read, credentials/useSecret/action |
| Execute/run a pipeline | Utente di Synapse e utente credenziali di Synapse in WorkspaceSystemIdentity | read, credentials/useSecret/action |
| Copiare dati con lo strumento Copia dati | Utente di Synapse e Utente credenziali di Synapse in Workspace System Identity | read, credentials/useSecret/action |
| Inserire dati (usando una pianificazione) | Autore di Synapse e Utente credenziali di Synapse in Workspace System Identity | read, credentials/useSecret/action |
| Pubblicare una pipeline nuova, aggiornata o eliminata, un flusso di dati o un trigger nel servizio | Autore artefatti di Synapse nell'area di lavoro | pipelines/write, delete dataflows/write, delete triggers/write, delete |
| Eseguire il commit delle modifiche apportate a pipeline, flussi di dati, set di dati o trigger nel repository Git | Autorizzazioni Git | Nessuno |
| SERVIZI COLLEGATI | ||
| Creare un servizio collegato (include l'assegnazione di credenziali) | Utente di Synapse Sono necessarie autorizzazioni aggiuntive per utilizzare un servizio collegato con credenziali, oppure per pubblicare o eseguire il commit delle modifiche |
lettura |
| Elencare e aprire un servizio collegato pubblicato | Utente artefatti di Synapse | linkedServices/write, delete |
| Testare la connessione in un servizio collegato protetto da credenziali | Utente di Synapse e Utente credenziali di Synapse | credentials/useSecret/action |
| Pubblicare un servizio collegato | Autore di artefatti di Synapse o Data Manager collegato a Synapse | linkedServices/write, delete |
| Eseguire il commit delle definizioni del servizio collegato nel repository Git | Autorizzazioni Git | Nessuno |
| GESTIONE DEGLI ACCESSI | ||
| Rivedere le assegnazioni di ruolo Controllo degli accessi in base al ruolo di Synapse in qualsiasi ambito | Utente di Synapse | lettura |
| Assegnare e rimuovere le assegnazioni di ruolo Controllo degli accessi in base al ruolo di Synapse per utenti, gruppi ed entità servizio | Amministratore di Synapse nell'area di lavoro o in un ambito specifico dell'elemento dell'area di lavoro | roleAssignments/write, delete |