次の方法で共有


Synapse RBAC ロール

この記事では、組み込みの Synapse RBAC (ロールベースのアクセス制御) ロール、それらに付与されているアクセス許可、それらを使用できるスコープについて説明します。

Synapse ロール メンバーシップの確認と割り当ての詳細については、「Synapse RBAC ロールの割り当てを確認する方法」と、Synapse RBAC ロールの割り当て方法に関するページを参照してください。

組み込みの Synapse RBAC ロールとスコープ

次の表では、組み込みロールと、それらを使用できるスコープについて説明します。

Note

任意のスコープの任意の Synapse RBAC ロールを持つユーザーには、ワークスペース スコープの Synapse ユーザー ロールが自動的に割り当てられます。

重要

Synapse RBAC ロールでは、Azure Synapse ワークスペースで SQL プール、Apache Spark プール、および統合ランタイムを作成または管理するためのアクセス許可は付与されません。 これらのアクションには、リソース グループの Azure 所有者ロールまたは Azure 共同作成者ロールが必要です。

Role アクセス許可 スコープ
Synapse 管理者 サーバーレスおよび専用 SQL プール、Data Explorer プール、Apache Spark プール、統合ランタイムへの Synapse のフル アクセス。 公開されているすべてのコード成果物への作成、読み取り、更新、削除のアクセスが含まれます。 ワークスペース システム ID の資格情報に対するコンピューティング オペレーター、リンクされた Data Manager、資格情報ユーザーのアクセス許可が含まれます。 Synapse RBAC ロールの割り当てが含まれます。 Synapse 管理者だけでなく、Azure 所有者も Synapse RBAC ロールを割り当てることができます。 コンピューティング リソースを作成、削除、管理するには、Azure のアクセス許可が必要です。 関連付けられているサブスクリプションが無効になっている場合でも、Synapse RBAC ロールを割り当てることができます。

成果物の読み取りと書き込みができる
Spark アクティビティに対するすべてのアクションを実行できる
Spark プールのログを表示できる
保存されたノートブックとパイプライン出力を表示できる
リンクされたサービスまたは資格情報によって格納されたシークレットを使用できる
現在のスコープの Synapse RBAC ロールを割り当てたり、取り消したりできる
ワークスペース
Spark プール
統合ランタイム
リンクされたサービス
資格情報
Synapse Apache Spark 管理者
Apache Spark プールへの Synapse のフル アクセス。 公開されている Spark ジョブ定義、ノートブック、その出力、およびライブラリ、リンクされたサービス、資格情報への作成、読み取り、更新、削除のアクセス。 その他の公開されているすべてのコード成果物への読み取りアクセスが含まれます。 資格情報を使用したり、パイプラインを実行したりするためのアクセス許可は含まれません。 アクセス権の付与は含まれません。

Spark 成果物に対するすべてのアクションを実行できる
Spark 成果物に対するすべてのアクションを実行できる
ワークスペース
Spark プール
Synapse SQL 管理者 サーバーレス SQL プールへの Synapse のフル アクセス。 公開されている SQL スクリプト、資格情報、リンクされたサービスへの作成、読み取り、更新、削除のアクセス。 その他の公開されているすべてのコード成果物への読み取りアクセスが含まれます。 資格情報を使用したり、パイプラインを実行したりするためのアクセス許可は含まれません。 アクセス権の付与は含まれません。

SQL スクリプトに対するすべてのアクションを実行できる
SQL の db_datareaderdb_datawriterconnectgrant アクセス許可を使用して SQL サーバーレス エンドポイントに接続できる
ワークスペース
Synapse 共同作成者 Apache Spark プールと統合ランタイムへの Synapse のフル アクセス。 公開されているすべてのコード成果物とその出力 (スケジュールされたパイプライン、資格情報やリンクされたサービスを含む) への作成、読み取り、更新、削除のアクセス権が含まれます。 コンピューティング オペレーターのアクセス許可が含まれます。 資格情報を使用したり、パイプラインを実行したりするためのアクセス許可は含まれません。 アクセス権の付与は含まれません。

成果物の読み取りと書き込みができる
保存されたノートブックとパイプライン出力を表示できる
Spark アクティビティに対するすべてのアクションを実行できる
Spark プールのログを表示できる
ワークスペース
Spark プール
統合ランタイム
Synapse 成果物発行元 公開されているコード成果物とその出力 (スケジュールされたパイプラインを含む) への作成、読み取り、更新、削除のアクセス権。 コードまたはパイプラインを実行したり、アクセス権を付与したりするためのアクセス許可は含まれません。

公開されている成果物を読み取ったり、成果物を公開したりできる
保存されたノートブック、Spark ジョブ、パイプライン出力を表示できる
ワークスペース
Synapse 成果物ユーザー 公開されているコード成果物とその出力への読み取りアクセス。 新しい成果物を作成できますが、追加のアクセス許可なしに変更を公開したり、コードを実行したりすることはできません。 ワークスペース
Synapse コンピューティング オペレーター Spark ジョブおよびノートブックを送信したり、ログを表示したりします。 任意のユーザーから送信された Spark ジョブの取り消しが含まれます。 パイプラインを実行し、パイプライン実行および出力を表示するには、ワークスペース システム ID に対する資格情報使用の追加のアクセス許可が必要です。

ジョブ (他のユーザーから送信されたジョブを含む) を送信したり、取り消したりできる
Spark プールのログを表示できる
ワークスペース
Spark プール
統合ランタイム
Synapse 監視オペレーター 発行されたコード成果物を読み取ります。これには、パイプライン実行のログや出力、完了したノートブックなどが含まれます。 Apache Spark プール、Data Explorer プール、統合ランタイムの一覧表示およびその詳細の表示を行う機能が含まれます。 パイプライン、Spark ノートブック、Spark ジョブを実行またはキャンセルするための追加のアクセス許可が必要です。 ワークスペース
Synapse 資格情報ユーザー パイプライン実行などのアクティビティでの資格情報やリンクされたサービス内での、シークレットのランタイムと構成時の使用。 パイプラインを実行するには、ワークスペース システム ID にスコープ指定されたこのロールが必要です。

資格情報にスコープ指定されているため、資格情報によって保護されているリンクされたサービス経由でデータにアクセスできる (コンピューティング使用のアクセス許可も必要になる場合があります)
ワークスペース システム ID の資格情報によって保護されているパイプラインを実行できる
ワークスペース
リンクされたサービス
資格情報
Synapse のリンクされた Data Manager マネージド プライベート エンドポイント、リンクされたサービス、資格情報の作成と管理。 資格情報によって保護されているリンクされたサービスを使用するマネージド プライベート エンドポイントを作成できる ワークスペース
Synapse ユーザー SQL プール、Apache Spark プール、統合ランタイム、公開されているリンクされたサービスと資格情報の詳細を一覧表示および表示します。 その他の公開されているコード成果物は含まれません。 新しい成果物を作成できますが、追加のアクセス許可なしに実行したり公開したりすることはできません。

Spark プール、統合ランタイムを一覧表示したり、読み取ったりできる
ワークスペース、Spark プール
リンクされたサービス
資格情報

Synapse RBAC ロールとそれによって許可されるアクション

Note

  • 下の表に一覧表示されているすべてのアクションの前に "Microsoft.Synapse/..." が付加されます。
  • 成果物の読み取り、書き込み、削除のアクションはすべて、ライブ サービスで公開されている成果物に関するものです。 これらのアクセス許可は、接続されている Git リポジトリ内の成果物へのアクセスには影響を与えません。

次の表は、組み込みロールと、それぞれによってサポートされるアクションおよびアクセス許可の一覧を示しています。

Role アクション
Synapse 管理者 workspaces/read
workspaces/roleAssignments/write, delete
workspaces/managedPrivateEndpoint/write, delete
workspaces/bigDataPool/useCompute/action
workspaces/bigDataPool/viewLogs/action
workspaces/scopePool/useCompute/action
workspaces/scopePool/viewLogs/action
workspaces/integrationRuntime/useCompute/action
workspaces/integrationRuntime/viewLogs/action
workspaces/artifacts/read
workspaces/notebooks/write
workspaces/sparkJobDefinitions/write, delete
workspaces/scopeJobDefinitions/write, delete
workspaces/sqlScripts/write, delete
workspaces/dataFlows/write, delete
workspaces/dataMappers/write, delete
workspaces/pipelines/write, delete
workspaces/triggers/write, delete
workspaces/datasets/write, delete
workspaces/linkedServices/write, delete
workspaces/credentials/write, delete
workspaces/notebooks/delete
workspaces/cancelPipelineRun/action
workspaces/notebooksViewOutputs/action
workspaces/pipelinesViewOutputs/action
workspaces/linkedServicesUseSecret/action
workspaces/credentialsUseSecret/action
workspaces/libraries/write, delete
workspaces/kQLScripts/write, delete
workspaces/sparkConfigurations/write, delete
workspaces/synapseLinkConnections/read, write, delete
workspaces/synapseLinkConnections/useCompute/action
Synapse Apache Spark 管理者 workspaces/read
orkspaces/bigDataPoolUseCompute/action
orkspaces/bigDataPoolViewLogs/action
orkspaces/artifacts/read
orkspaces/notebooks/write, delete
orkspaces/sparkJobDefinitions/write, delete
orkspaces/linkedServices/write, delete
orkspaces/credentials/write, delete
orkspaces/libraries/write, delete
orkspaces/notebooksViewOutputs/action
Synapse SQL 管理者 workspaces/read
workspaces/artifacts/read
workspaces/sqlScripts/write、delete
workspaces/linkedServices/write、delete
workspaces/credentials/write、delete
Synapse スコープ管理者 workspaces/read
workspaces/scopePoolUseCompute/action
workspaces/scopePoolViewLogs/action
workspaces/linkedServices/write, delete
workspaces/credentials/write, delete
workspaces/scopeJobDefinitions/write, delete
Synapse プライベート エンドポイント マネージャー workspaces/read
workspaces/managedPrivateEndpoint/write、delete
workspaces/linkedServices/write、delete
workspaces/credentials/write、delete
Synapse 共同作成者 workspaces/read
workspaces/bigDataPool/useCompute/action
workspaces/bigDataPool/viewLogs/action
workspaces/scopePool/useCompute/action
workspaces/scopePool/viewLogs/action
workspaces/integrationRuntime/useCompute/action
workspaces/integrationRuntime/viewLogs/action
workspaces/artifacts/read
workspaces/notebooks/write, delete
workspaces/sparkJobDefinitions/write, delete
workspaces/sqlScripts/write, delete
workspaces/dataFlows/write, delete
workspaces/dataMappers/write, delete
workspaces/pipelines/write, delete
workspaces/triggers/write, delete
workspaces/datasets/write, delete
workspaces/linkedServices/write, delete
workspaces/credentials/write, delete
workspaces/cancelPipelineRun/action
workspaces/notebooksViewOutputs/action
workspaces/pipelinesViewOutputs/action
workspaces/libraries/write, delete
workspaces/kQLScripts/write, delete
workspaces/sparkConfigurations/write, delete
workspaces/synapseLinkConnections/read,write, delete
workspaces/synapseLinkConnections/useComputeAction
Synapse 成果物発行元 workspaces/read
workspaces/artifacts/read
workspaces/notebooks/write, delete
workspaces/sparkJobDefinitions/write, delete
workspaces/scopeJobDefinitions/write, delete
workspaces/sqlScripts/write, delete
workspaces/dataFlows/write, delete
workspaces/dataMappers/write, delete
workspaces/pipelines/write, delete
workspaces/triggers/write, delete
workspaces/datasets/write, delete
workspaces/linkedServices/write, delete
workspaces/credentials/write, delete
workspaces/notebooksViewOutputs/action
workspaces/pipelinesViewOutputs/action
workspaces/libraries/write, delete
workspaces/kQLScripts/write, delete
workspaces/sparkConfigurations/write, delete
Synapse 成果物ユーザー workspaces/read
workspaces/artifacts/read
workspaces/notebooks/viewOutputs/action
workspaces/pipelines/viewOutputs/action
Synapse コンピューティング オペレーター workspaces/read
workspaces/bigDataPools/useCompute/action
workspaces/bigDataPools/viewLogs/action
workspaces/scopePool/useCompute/action
workspaces/scopePool/viewLogs/action
workspaces/integrationRuntimes/useCompute/action
workspaces/integrationRuntimes/viewLogs/action
workspaces/cancelPipelineRun/action
workspaces/linkConnections/read
workspaces/linkConnections/useCompute/action
Synapse 監視オペレーター workspaces/read
workspaces/artifacts/read
workspaces/notebooks/viewOutputs/action
workspaces/pipelines/viewOutputs/action
workspaces/integrationRuntimes/viewLogs/action
workspaces/bigDataPools/viewLogs/action
Synapse 資格情報ユーザー workspaces/read
workspaces/linkedServices/useSecret/action
workspaces/credentials/useSecret/action
Synapse のリンクされた Data Manager workspaces/read
workspaces/managedPrivateEndpoint/write、delete
workspaces/linkedServices/write、delete
workspaces/credentials/write、delete
Synapse ユーザー workspaces/read

Synapse RBAC アクションとそれを許可するロール

次の表は、Synapse アクションとこのアクションを許可する組み込みロールの一覧を示しています。

アクション Role
workspaces/read Synapse 管理者
Synapse Apache Spark 管理者
Synapse SQL 管理者
Synapse 共同作成者
Synapse 成果物発行元
Synapse 成果物ユーザー
Synapse コンピューティング オペレーター
Synapse 監視オペレーター
Synapse 資格情報ユーザー
Synapse のリンクされた Data Manager
Synapse ユーザー
workspaces/roleAssignments/write、delete Synapse 管理者
workspaces/managedPrivateEndpoint/write、delete Synapse 管理者
Synapse のリンクされた Data Manager
workspaces/bigDataPools/useCompute/action Synapse 管理者
Synapse Apache Spark 管理者
Synapse 共同作成者
Synapse コンピューティング オペレーター
Synapse 監視オペレーター
workspaces/bigDataPools/viewLogs/action Synapse 管理者
Synapse Apache Spark 管理者
Synapse 共同作成者
Synapse コンピューティング オペレーター
workspaces/integrationRuntimes/useCompute/action Synapse 管理者
Synapse 共同作成者
Synapse コンピューティング オペレーター
Synapse 監視オペレーター
workspaces/integrationRuntimes/viewLogs/action Synapse 管理者
Synapse 共同作成者
Synapse コンピューティング オペレーター
Synapse 監視オペレーター
workspaces/linkConnections/read Synapse 管理者
Synapse 共同作成者
Synapse コンピューティング オペレーター
workspaces/linkConnections/useCompute/action Synapse 管理者
Synapse 共同作成者
Synapse コンピューティング オペレーター
workspaces/artifacts/read Synapse 管理者
Synapse Apache Spark 管理者
Synapse SQL 管理者
Synapse 共同作成者
Synapse 成果物発行元
Synapse 成果物ユーザー
workspaces/notebooks/write、delete Synapse 管理者
Synapse Apache Spark 管理者
Synapse 共同作成者
Synapse 成果物発行元
workspaces/sparkJobDefinitions/write、delete Synapse 管理者
Synapse Apache Spark 管理者
Synapse 共同作成者
Synapse 成果物発行元
workspaces/sqlScripts/write、delete Synapse 管理者
Synapse SQL 管理者
Synapse 共同作成者
Synapse 成果物発行元
workspaces/kqlScripts/write、delete Synapse 管理者
Synapse 共同作成者
Synapse 成果物発行元
workspaces/dataFlows/write、delete Synapse 管理者
Synapse 共同作成者
Synapse 成果物発行元
workspaces/pipelines/write、delete Synapse 管理者
Synapse 共同作成者
Synapse 成果物発行元
workspaces/linkConnections/write, delete Synapse 管理者
Synapse 共同作成者
workspaces/triggers/write、delete Synapse 管理者
Synapse 共同作成者
Synapse 成果物発行元
workspaces/datasets/write、delete Synapse 管理者
Synapse 共同作成者
Synapse 成果物発行元
workspaces/libraries/write、delete Synapse 管理者
Synapse Apache Spark 管理者
Synapse 共同作成者
Synapse 成果物発行元
workspaces/linkedServices/write、delete Synapse 管理者
Synapse Apache Spark 管理者
Synapse SQL 管理者
Synapse 共同作成者
Synapse 成果物発行元
Synapse のリンクされた Data Manager
workspaces/credentials/write、delete Synapse 管理者
Synapse Apache Spark 管理者
Synapse SQL 管理者
Synapse 共同作成者
Synapse 成果物発行元
Synapse のリンクされた Data Manager
workspaces/notebooks/viewOutputs/action Synapse 管理者
Synapse Apache Spark 管理者
Synapse 共同作成者
Synapse 成果物発行元
Synapse 成果物ユーザー
workspaces/pipelines/viewOutputs/action Synapse 管理者
Synapse 共同作成者
Synapse 成果物発行元
Synapse 成果物ユーザー
workspaces/linkedServices/useSecret/action Synapse 管理者
Synapse 資格情報ユーザー
workspaces/credentials/useSecret/action Synapse 管理者
Synapse 資格情報ユーザー

Synapse RBAC スコープとそれによってサポートされるロール

次の表は、Synapse RBAC スコープと各スコープで割り当てることができるロールの一覧を示しています。

Note

オブジェクトを作成または削除するには、より高いレベルのスコープのアクセス許可が必要です。

Scope ロール
ワークスペース Synapse 管理者
Synapse Apache Spark 管理者
Synapse SQL 管理者
Synapse 共同作成者
Synapse 成果物発行元
Synapse 成果物ユーザー
Synapse コンピューティング オペレーター
Synapse 監視オペレーター
Synapse 資格情報ユーザー
Synapse のリンクされた Data Manager
Synapse ユーザー
Apache Spark プール Synapse 管理者
Synapse 共同作成者
Synapse コンピューティング オペレーター
統合ランタイム Synapse 管理者
Synapse 共同作成者
Synapse コンピューティング オペレーター
リンクされたサービス Synapse 管理者
Synapse 資格情報ユーザー
資格情報 Synapse 管理者
Synapse 資格情報ユーザー

Note

成果物のロールとアクションはすべて、ワークスペース レベルでスコープ指定されます。

次のステップ