Synapse RBAC 역할
이 문서에서는 기본 제공 Synapse RBAC(역할 기반 액세스 제어) 역할, 부여된 권한, 이 역할을 사용할 수 있는 범위에 관해 설명합니다.
Synapse 역할 멤버 자격을 검토하고 할당하는 방법에 대한 자세한 내용은 Synapse RBAC 역할 할당을 검토하는 방법 및 Synapse RBAC 역할을 할당하는 방법을 참조하세요.
기본 제공 Synapse RBAC 역할 및 범위
다음 표에서는 기본 제공 역할 및 해당 역할을 사용할 수 있는 범위에 대해 설명합니다.
참고 항목
어떤 범위에서든 Synapse RBAC 역할을 가진 사용자는 작업 영역 범위의 Synapse 사용자 역할도 자동으로 포함합니다.
Important
Synapse RBAC 역할은 Azure Synapse 작업 영역에서 SQL 풀, Apache Spark 풀 및 통합 런타임을 만들거나 관리할 수 있는 권한을 부여하지 않습니다. 이러한 작업에는 리소스 그룹에 대한 Azure 소유자 또는 Azure 기여자 역할이 필요합니다.
| 역할 | 사용 권한 | 범위 |
|---|---|---|
| Synapse 관리자 | 서버리스 및 전용 SQL 풀, Data Explorer 풀, Apache Spark 풀 및 통합 런타임에 대한 전체 Synapse 액세스 권한이 제공됩니다. 게시된 모든 코드 아티팩트에 대한 만들기, 읽기, 업데이트, 삭제 액세스를 포함합니다. 작업 영역 시스템 ID 자격 증명에 대한 컴퓨팅 운영자, 연결된 데이터 관리자, 자격 증명 사용자 권한을 포함합니다. Synapse RBAC 역할 할당을 포함합니다. Synapse 관리자 외에도 Azure 소유자는 Synapse RBAC 역할을 할당할 수 있습니다. 컴퓨팅 리소스를 만들고, 삭제하고, 관리하려면 Azure 권한이 필요합니다. 연관된 구독이 사용하지 않도록 설정된 경우에도 Synapse RBAC 역할을 할당할 수 있습니다. 아티팩트를 읽고 쓸 수 있음 Spark 작업에서 모든 작업을 수행할 수 있음. Spark 풀 로그를 볼 수 있음 저장된 Notebook 및 파이프라인 출력을 볼 수 있음 연결된 서비스 또는 자격 증명에서 저장한 비밀을 사용할 수 있음 현재 범위에서 Synapse RBAC 역할을 할당 및 철회할 수 있음 |
작업 영역 Spark 풀 통합 런타임 연결된 서비스 자격 증명 |
| Synapse Apache Spark 관리자 |
Apache Spark 풀에 대한 전체 Synapse 액세스입니다. 게시된 Spark 작업 정의, Notebooks 및 해당 출력, 라이브러리, 연결된 서비스, 자격 증명에 대한 액세스를 만들고, 읽고, 업데이트하고, 삭제합니다. 다른 모든 게시된 코드 아티팩트에 대한 읽기 권한을 포함합니다. 자격 증명을 사용하고 파이프라인을 실행할 수 있는 권한을 포함하지 않습니다. 액세스 부여는 포함하지 않습니다. Spark 아티팩트의 모든 작업을 수행할 수 있음 Spark 작업에 대한 모든 작업을 수행할 수 있음 |
작업 영역 Spark 풀 |
| Synapse SQL 관리자 | 서버리스 SQL 풀에 대한 전체 Synapse 액세스입니다. 게시된 SQL 스크립트, 자격 증명, 연결된 서비스에 대한 액세스를 만들고, 읽고, 업데이트하고, 삭제합니다. 다른 모든 게시된 코드 아티팩트에 대한 읽기 권한을 포함합니다. 자격 증명을 사용하고 파이프라인을 실행할 수 있는 권한을 포함하지 않습니다. 액세스 부여는 포함하지 않습니다. SQL 스크립트에서 모든 작업을 수행할 수 있음 SQL db_datareader, db_datawriter, connect 및 grant 권한으로 SQL 서버리스 엔드포인트에 연결할 수 있습니다. |
작업 영역 |
| Synapse Contributor | Apache Spark 풀 및 통합 런타임에 대한 전체 Synapse 액세스입니다. 예약된 파이프라인, 자격 증명 및 연결된 서비스를 포함하여 게시된 모든 코드 아티팩트와 해당 출력에 대한 만들기, 읽기, 업데이트 및 삭제 액세스가 포함됩니다. 컴퓨팅 운영자 권한을 포함합니다. 자격 증명을 사용하고 파이프라인을 실행할 수 있는 권한을 포함하지 않습니다. 액세스 부여는 포함하지 않습니다. 아티팩트를 읽고 쓸 수 있음 저장된 Notebook 및 파이프라인 출력을 볼 수 있음 Spark 작업에 대한 모든 작업을 수행할 수 있음 Spark 풀 로그를 볼 수 있음 |
작업 영역 Spark 풀 통합 런타임 |
| Synapse 아티팩트 게시자 | 예약된 파이프라인을 포함하여 게시된 코드 아티팩트 및 해당 출력에 대한 액세스를 만들기, 읽기, 업데이트 및 삭제합니다. 코드 또는 파이프라인을 실행하거나 액세스 권한을 부여할 수 있는 권한은 포함되지 않습니다. 게시된 아티팩트를 읽고 아티팩트를 게시할 수 있음 저장된 Notebook, Spark 작업, 파이프라인 출력을 볼 수 있음 |
작업 영역 |
| Synapse 아티팩트 사용자 | 게시된 코드 아티팩트 및 해당 출력에 대한 읽기 액세스입니다. 새 아티팩트를 만들 수 있지만 추가 권한이 없으면 변경 내용을 게시하거나 코드를 실행할 수 없습니다. | 작업 영역 |
| Synapse 컴퓨팅 운영자 | Spark 작업 및 Notebooks를 제출하고 로그를 봅니다. 사용자가 제출한 Spark 작업 취소를 포함합니다. 파이프라인을 실행하고, 파이프라인 실행 및 출력을 보려면 작업 영역 시스템 ID에 대한 다른 사용 자격 증명 권한이 필요합니다. 다른 사용자가 제출한 작업을 포함하여 작업을 제출하고 취소할 수 있음 Spark 풀 로그를 볼 수 있음 |
작업 영역 Spark 풀 통합 런타임 |
| Synapse 모니터링 연산자 | 파이프라인 실행 및 완료된 Notebook에 대한 로그 및 출력을 포함하여 게시된 코드 아티팩트를 읽습니다. Apache Spark 풀, Data Explorer 풀, 통합 런타임의 세부 정보를 나열하고 보는 기능을 포함합니다. 파이프라인, Spark Notebook, Spark 작업을 실행/취소하려면 다른 권한이 필요합니다. | 작업 영역 |
| Synapse 자격 증명 사용자 | 파이프라인 실행과 같은 활동에서 자격 증명 및 연결된 서비스 내 비밀의 런타임 및 구성 시간 사용입니다. 파이프라인을 실행하려면 작업 영역 시스템 ID로 범위가 지정된 해당 역할이 필요합니다. 자격 증명으로 범위가 지정되어 자격 증명으로 보호되는 연결된 서비스를 통해 데이터에 액세스할 수 있도록 허용(컴퓨팅 사용 권한도 필요할 수 있음) 작업 영역 시스템 ID 자격 증명으로 보호되는 파이프라인을 실행할 수 있음 |
작업 영역 연결된 서비스 자격 증명 |
| Synapse 연결된 데이터 관리자 | 관리형 프라이빗 엔드포인트, 연결된 서비스, 자격 증명을 만들고 관리합니다. 자격 증명으로 보호되고 연결된 서비스를 사용하는 관리형 프라이빗 엔드포인트를 만들 수 있습니다. | 작업 영역 |
| Synapse 사용자 | SQL 풀, Apache Spark 풀, 통합 런타임, 게시되고 연결된 서비스와 자격 증명에 대한 세부 정보를 나열하고 표시합니다. 다른 게시된 코드 아티팩트를 포함하지 않습니다. 새 아티팩트를 만들 수 있지만 추가 권한이 없으면 실행하거나 게시할 수 없습니다. Spark 풀, 통합 런타임을 나열하고 읽을 수 있습니다. |
작업 영역, Spark 풀 연결된 서비스 자격 증명 |
Synapse RBAC 역할 및 해당 역할에서 허용하는 작업
참고 항목
- 아래 표에 나열된 모든 작업에는 “Microsoft.Synapse/...”라는 접두사가 붙습니다.
- 모든 아티팩트 읽기, 쓰기, 삭제 작업은 라이브 서비스의 게시된 아티팩트와 관련이 있습니다. 해당 권한은 연결된 Git 리포지토리의 아티팩트에 대한 액세스에 영향을 주지 않습니다.
다음 표에서는 기본 제공 역할 및 각 역할이 지원하는 작업/권한을 보여 줍니다.
| 역할 | actions |
|---|---|
| Synapse 관리자 | workspaces/read workspaces/roleAssignments/write, delete workspaces/managedPrivateEndpoint/write, workspaces /bigDataPool/useCompute/action workspaces/bigDataPool/viewLogs/action workspaces/scopePool/useCompute/action workspaces/scopePool/viewLogs/action workspaces/integrationRuntime/useCompute/action workspaces/integrationRuntime/viewLogs/action workspaces/artifacts/read workspaces/notebooks/write workspaces/sparkJobDefinitions/write, delete workspaces/scopeJobDefinitions/write, 작업 영역/sqlScripts/쓰기 삭제, 작업 영역/dataFlows/쓰기 삭제 , 작업 영역/dataMappers/쓰기 삭제 , 작업 영역/파이프라인/쓰기 삭제 , 작업 영역/트리거/쓰기 삭제 , 작업 영역/데이터 세트/쓰기 삭제 , 작업 영역/linkedServices/쓰기 삭제 , 작업 영역/자격 증명/쓰기 삭제 , 작업 영역/Notebooks 삭제 / workspaces /cancelPipelineRun/action workspaces/notebooksViewOutputs/action workspaces/pipelinesViewOutputs/action workspaces/linkedServicesUseSecret/action workspaces/credentialsUseSecret/action workspaces/libraries/write, 작업 영역/kQLScripts/쓰기 삭제, 작업 영역/sparkConfigurations/write 삭제 , 작업 영역/synapseLinkConnections/읽기, 쓰기, 작업 영역 삭제 /synapseLinkConnections/ useCompute/action |
| Synapse Apache Spark 관리자 | workspaces/read orkspaces/bigDataPoolUseCompute/action orkspaces/bigDataPoolViewLogs/action orkspaces/artifacts/read orkspaces/notebooks/write, orkspaces/sparkJobDefinitions/write, delete orkspaces/linkedServices/write, delete orkspaces/credentials/write, delete orkspaces/libraries/write, delete orkspaces/notebooksViewOutputs/action |
| Synapse SQL 관리자 | 작업 영역/읽기 workspaces/artifacts/read workspaces/sqlScripts/write, 삭제 workspaces/linkedServices/write, 삭제 workspaces/credentials/write, 삭제 |
| Synapse 범위 관리자 | workspaces/read workspaces/scopePoolUseCompute/action workspaces/scopePoolViewLogs/action workspaces/linkedServices/write, delete workspaces/credentials/write, delete workspaces/scopeJobDefinitions/write, delete |
| Synapse 프라이빗 엔드포인트 관리자 | 작업 영역/읽기 workspaces/managedPrivateEndpoint/write, 삭제 workspaces/linkedServices/write, 삭제 workspaces/credentials/write, 삭제 |
| Synapse Contributor | workspaces/read workspaces/bigDataPool/useCompute/action workspaces/bigDataPool/viewLogs/action workspaces/scopePool/useCompute/action workspaces/scopePool/viewLogs/action workspaces/integrationRuntime/useCompute/action workspaces/integrationRuntime/viewLogs/actionspaces /artifacts/read workspaces/notebooks/write, 작업 영역/sparkJobDefinitions/write 삭제, 작업 영역 삭제 /sqlScripts/쓰기, 삭제 workspaces/dataFlows/write, delete workspaces/dataMappers/write, 작업 영역/파이프라인/쓰기 삭제, 작업 영역/트리거/쓰기 삭제 , 작업 영역/데이터 세트/쓰기 삭제 , workspaces/linkedServices/쓰기 삭제 , 작업 영역/자격 증명/쓰기 삭제 , 작업 영역/cancelPipelineRun/action 작업 영역/notebooksViewOutputs/action workspaces/pipelinesViewOutputs/action workspaces/libraries/write, delete workspaces/kQLScripts/write, workspaces /sparkConfigurations/write 삭제 , 작업 영역/synapseLinkConnections/read,write, delete workspaces/synapseLinkConnections/useComputeAction |
| Synapse 아티팩트 게시자 | workspaces/read workspaces/artifacts/read workspaces/notebooks/write, workspaces/sparkJobDefinitions/write, workspaces/scopeJobDefinitions/write 삭제 , 작업 영역/sqlScripts/쓰기 삭제 , 작업 영역/dataFlows/쓰기 삭제 , 작업 영역/dataMappers/쓰기 삭제 , 작업 영역/파이프라인/쓰기 삭제 , 작업 영역/트리거/쓰기 삭제 , 작업 영역/데이터 세트/쓰기 삭제 , 작업 영역/linkedServices/write 삭제 작업 영역/자격 증명/쓰기 삭제, 작업 영역 삭제 /notebooksViewOutputs/action workspaces/pipelinesViewOutputs/action workspaces/libraries/write, delete workspaces/kQLScripts/write, delete workspaces/sparkConfigurations/write, delete |
| Synapse 아티팩트 사용자 | 작업 영역/읽기 workspaces/artifacts/read workspaces/notebooks/viewOutputs/action workspaces/pipelines/viewOutputs/action |
| Synapse 컴퓨팅 운영자 | workspaces/read workspaces/bigDataPools/useCompute/action workspaces/bigDataPools/viewLogs/action workspaces/scopePool/useCompute/action workspaces/scopePool/viewLogs/action 작업 영역/integrationRuntimes/useCompute/action workspaces/integrationRuntimes/viewLogs/action workspaces/cancelPipelineRun/action workspaces/linkConnections/read workspaces/linkConnections/useCompute/action |
| Synapse 모니터링 연산자 | workspaces/read workspaces/artifacts/read workspaces/notebooks/viewOutputs/action workspaces/pipelines/viewOutputs/action workspaces/integrationRuntimes/viewLogs/action workspaces/bigDataPools/viewLogs/action |
| Synapse 자격 증명 사용자 | 작업 영역/읽기 workspaces/linkedServices/useSecret/action workspaces/credentials/useSecret/action |
| Synapse 연결된 데이터 관리자 | 작업 영역/읽기 workspaces/managedPrivateEndpoint/write, 삭제 workspaces/linkedServices/write, 삭제 workspaces/credentials/write, 삭제 |
| Synapse 사용자 | workspaces/read |
Synapse RBAC 작업 및 해당 작업을 허용하는 역할
다음 표는 Synapse 작업 및 해당 작업을 허용하는 기본 제공 역할을 보여 줍니다.
| 작업 | 역할 |
|---|---|
| workspaces/read | Synapse 관리자 Synapse Apache Spark 관리자 Synapse SQL 관리자 Synapse 기여자 Synapse 아티팩트 게시자 Synapse 아티팩트 사용자 Synapse Compute Operator Synapse Monitoring Operator Synapse 자격 증명 사용자 Synapse Linked Data Manager Synapse 사용자 |
| workspaces/roleAssignments/write, delete | Synapse 관리자 |
| workspaces/managedPrivateEndpoint/write, delete | Synapse 관리자 Synapse Linked Data Manager |
| workspaces/bigDataPools/useCompute/action | Synapse 관리자 Synapse Apache Spark 관리자 Synapse 기여자 Synapse Compute Operator Synapse Monitoring Operator |
| workspaces/bigDataPools/viewLogs/action | Synapse 관리자 Synapse Apache Spark 관리자 Synapse 기여자 Synapse Compute Operator |
| workspaces/integrationRuntimes/useCompute/action | Synapse 관리자 Synapse 기여자 Synapse Compute Operator Synapse Monitoring Operator |
| workspaces/integrationRuntimes/viewLogs/action | Synapse 관리자 Synapse 기여자 Synapse Compute Operator Synapse Monitoring Operator |
| workspaces/linkConnections/read | Synapse 관리자 Synapse 기여자 Synapse Compute Operator |
| workspaces/linkConnections/useCompute/action | Synapse 관리자 Synapse 기여자 Synapse Compute Operator |
| workspaces/artifacts/read | Synapse 관리자 Synapse Apache Spark 관리자 Synapse SQL 관리자 Synapse 기여자 Synapse 아티팩트 게시자 Synapse 아티팩트 사용자 |
| workspaces/notebooks/write, delete | Synapse 관리자 Synapse Apache Spark 관리자 Synapse 기여자 Synapse 아티팩트 게시자 |
| workspaces/sparkJobDefinitions/write, delete | Synapse 관리자 Synapse Apache Spark 관리자 Synapse 기여자 Synapse 아티팩트 게시자 |
| workspaces/sqlScripts/write, delete | Synapse 관리자 Synapse SQL 관리자 Synapse 기여자 Synapse 아티팩트 게시자 |
| workspaces/kqlScripts/write, 삭제 | Synapse 관리자 Synapse 기여자 Synapse 아티팩트 게시자 |
| workspaces/dataFlows/write, delete | Synapse 관리자 Synapse 기여자 Synapse 아티팩트 게시자 |
| workspaces/pipelines/write, delete | Synapse 관리자 Synapse 기여자 Synapse 아티팩트 게시자 |
| workspaces/linkConnections/write, delete | Synapse 관리자 Synapse 기여자 |
| workspaces/triggers/write, delete | Synapse 관리자 Synapse 기여자 Synapse 아티팩트 게시자 |
| workspaces/datasets/write, delete | Synapse 관리자 Synapse 기여자 Synapse 아티팩트 게시자 |
| workspaces/libraries/write, delete | Synapse 관리자 Synapse Apache Spark 관리자 Synapse 기여자 Synapse 아티팩트 게시자 |
| workspaces/linkedServices/write, delete | Synapse 관리자 Synapse Apache Spark 관리자 Synapse SQL 관리자 Synapse 기여자 Synapse 아티팩트 게시자 Synapse Linked Data Manager |
| workspaces/credentials/write, delete | Synapse 관리자 Synapse Apache Spark 관리자 Synapse SQL 관리자 Synapse 기여자 Synapse 아티팩트 게시자 Synapse Linked Data Manager |
| workspaces/notebooks/viewOutputs/action | Synapse 관리자 Synapse Apache Spark 관리자 Synapse 기여자 Synapse 아티팩트 게시자 Synapse 아티팩트 사용자 |
| workspaces/pipelines/viewOutputs/action | Synapse 관리자 Synapse 기여자 Synapse 아티팩트 게시자 Synapse 아티팩트 사용자 |
| workspaces/linkedServices/useSecret/action | Synapse 관리자 Synapse 자격 증명 사용자 |
| workspaces/credentials/useSecret/action | Synapse 관리자 Synapse 자격 증명 사용자 |
Synapse RBAC 범위 및 지원되는 역할
아래 표는 Synapse RBAC 범위와 각 범위에서 할당할 수 있는 역할을 나열합니다.
참고 항목
개체를 만들거나 삭제하려면 더 높은 수준 범위의 권한이 있어야 합니다.
| 범위 | 역할 |
|---|---|
| 작업 영역 | Synapse 관리자 Synapse Apache Spark 관리자 Synapse SQL 관리자 Synapse 기여자 Synapse 아티팩트 게시자 Synapse 아티팩트 사용자 Synapse Compute Operator Synapse Monitoring Operator Synapse 자격 증명 사용자 Synapse Linked Data Manager Synapse 사용자 |
| Apache Spark 풀 | Synapse 관리자 Synapse 기여자 Synapse Compute Operator |
| 통합 런타임 | Synapse 관리자 Synapse 기여자 Synapse Compute Operator |
| 연결된 서비스 | Synapse 관리자 Synapse 자격 증명 사용자 |
| 자격 증명 | Synapse 관리자 Synapse 자격 증명 사용자 |
참고 항목
모든 아티팩트 역할 및 작업은 작업 영역 수준에서 범위가 지정됩니다.
다음 단계
- 작업 영역에 대한 Synapse RBAC 역할 할당을 검토하는 방법을 알아봅니다.
- Synapse RBAC 역할을 할당하는 방법을 알아봅니다.