Inzicht in de rollen die vereist zijn voor het uitvoeren van algemene taken in Azure Synapse
In dit artikel wordt uitgelegd welke Synapse RBAC-rollen (op rollen gebaseerd toegangsbeheer) of Azure RBAC-rollen u nodig hebt om werk uit te voeren in Synapse Studio. Zie Synapse RBAC-roltoewijzingen beheren om het rollidmaatschap te beheren.
Synapse Studio-toegangsbeheer en werkstroomoverzicht
Toegang tot Synapse Studio
U kunt Synapse Studio openen en details van de werkruimte bekijken en een lijst weergeven van alle Bijbehorende Azure-resources, zoals SQL-pools, Spark-pools of Integration Runtimes. U kunt zien of u een Synapse RBAC-rol hebt toegewezen of de rol Azure-eigenaar, Inzender of Lezer in de werkruimte hebt.
Resourcebeheer
U kunt SQL-pools, Data Explorer-pools en Apache Spark-pools maken als u een Azure-eigenaar of -inzender bent voor de resourcegroep. U kunt een Integration Runtime maken als u een Azure-eigenaar of -inzender bent in de werkruimte. Wanneer u ARM-sjablonen gebruikt voor geautomatiseerde implementatie, moet u een Azure-inzender voor de resourcegroep zijn.
U kunt een toegewezen SQL-pool onderbreken of schalen, een Spark-pool of een integratieruntime configureren als u een Azure-eigenaar of -inzender bent in de werkruimte of die resource.
Codeartefacten weergeven en bewerken
Met toegang tot Synapse Studio kunt u nieuwe codeartefacten maken, zoals SQL-scripts, KQL-scripts, notebooks, Spark-taken, gekoppelde services, pijplijnen, gegevensstromen, triggers en referenties. Deze artefacten kunnen worden gepubliceerd of opgeslagen met extra machtigingen.
U kunt al gepubliceerde codeartefacten weergeven, openen en bewerken, inclusief geplande pijplijnen, als u een Synapse Artifact-gebruiker, Synapse Artifact Publisher, Synapse-inzender of Synapse-beheerder bent.
Uw code uitvoeren
U kunt SQL-scripts uitvoeren op SQL-pools als u de benodigde SQL-machtigingen hebt gedefinieerd in de SQL-pools. U kunt KQL-scripts uitvoeren op Data Explorer-pools als u over de benodigde machtigingen beschikt.
U kunt notebooks en Spark-taken uitvoeren als u Synapse Compute Operator-machtigingen hebt voor de werkruimte of specifieke Apache Spark-pools.
Met machtigingen voor compute-operatoren voor de werkruimte of specifieke integratieruntimes en de juiste referentiemachtigingen kunt u pijplijnen uitvoeren.
Uitvoering bewaken en beheren
U kunt de status van actieve notebooks en taken in Apache Spark-pools bekijken als u een Synapse-gebruiker bent.
U kunt logboeken bekijken en actieve taken en pijplijnen annuleren als u een Synapse Compute-operator bent in de werkruimte of voor een specifieke Spark-pool of pijplijn.
Fouten opsporen in pijplijnen
U kunt pijplijnen bekijken en wijzigen als synapse-gebruiker. Als u fouten in pijplijnen wilt kunnen opsporen, moet u ook de Synapse-referentiegebruiker hebben.
Uw code publiceren en opslaan
U kunt nieuwe of bijgewerkte codeartefacten publiceren naar de service als u een Synapse Artifact Publisher, Synapse-inzender of Synapse-beheerder bent.
U kunt codeartefacten doorvoeren naar een werkvertakking van een Git-opslagplaats als de werkruimte is ingeschakeld voor Git en u beschikt over Git-machtigingen. Als Git is ingeschakeld, is publiceren alleen toegestaan vanuit de samenwerkingsbranch.
Als u Synapse Studio sluit zonder wijzigingen in codeartefacten te publiceren of door te voeren, gaan deze wijzigingen verloren.
Taken en vereiste rollen
De volgende tabel bevat algemene taken en de Synapse RBAC- of Azure RBAC-rollen die vereist zijn voor elke taak.
Notitie
Synapse-beheerder wordt niet vermeld voor elke taak, tenzij dit de enige rol is die de benodigde machtiging biedt. Een Synapse-beheerder kan alle taken uitvoeren die zijn ingeschakeld door andere Synapse RBAC-rollen.
Notitie
Gastgebruikers van een andere tenant kunnen ook roltoewijzingen controleren, toevoegen of wijzigen nadat ze zijn toegewezen als Synapse-beheerder.
De minimaal vereiste Synapse RBAC-rol wordt weergegeven. Alle Synapse RBAC-rollen in elk bereik bieden u synapse-gebruikersmachtigingen voor de werkruimte.
Alle Synapse RBAC-machtigingen/-acties die in de tabel worden weergegeven, worden voorafgegaan door Microsoft/Synapse/workspaces/....
| Taak (ik wil...) | Rol (ik moet zijn...) | Synapse RBAC-machtiging/actie |
|---|---|---|
| Synapse Studio openen in een werkruimte | Synapse-gebruiker of Azure-eigenaar, -inzender of -lezer in de werkruimte |
lees geen |
| Een lijst weergeven met SQL-pools of Data Explorer-pools of Apache Spark-pools, of Integratieruntimes en toegang krijgen tot de configuratiegegevens | Synapse-gebruiker of Azure-eigenaar, -inzender of -lezer in de werkruimte |
lees geen |
| Gekoppelde services of referenties of beheerde privé-eindpunten weergeven | Synapse-gebruiker | gelezen |
| SQL-POOLS | ||
| Een toegewezen SQL-pool of een serverloze SQL-pool maken | Azure-eigenaar of -inzender voor de resourcegroep | Geen |
| Een toegewezen SQL-pool beheren (onderbreken of schalen of verwijderen) | Azure-eigenaar of -inzender in de SQL-pool of -werkruimte | Geen |
| Een SQL-script maken |
Synapse-gebruiker of Azure-eigenaar of -inzender in de werkruimte Aanvullende SQL-machtigingen zijn vereist om een SQL-script uit te voeren, wijzigingen te publiceren of door te voeren |
|
| Een gepubliceerd SQL-script weergeven en openen | Synapse Artifact User of Artifact Publisher, of Synapse-inzender | artefacten/lezen |
| Een SQL-script uitvoeren op een serverloze SQL-pool | SQL-machtigingen voor de pool (automatisch verleend aan een Synapse-beheerder) | Geen |
| Een SQL-script uitvoeren op een toegewezen SQL-pool | SQL-machtigingen voor de pool (automatisch verleend aan een Synapse-beheerder) | Geen |
| Een nieuw of bijgewerkt SQL-script publiceren of verwijderen | Synapse Artifact Publisher of Synapse-inzender | sqlScripts/write, delete |
| Wijzigingen doorvoeren in een SQL-script in de Git-opslagplaats | Git-machtigingen voor de opslagplaats vereist | |
| Active Directory-beheerder toewijzen aan de werkruimte (via werkruimte-eigenschappen in Azure Portal) | Azure-eigenaar of -inzender in de werkruimte | |
| DATA EXPLORER-POOLS | ||
| Een Data Explorer-pool maken | Azure-eigenaar of -inzender voor de resourcegroep | Geen |
| Een Data Explorer-pool beheren (onderbreken of schalen of verwijderen) | Azure-eigenaar of -inzender in de Data Explorer-pool of -werkruimte | Geen |
| Een KQL-script maken | Aanvullende Data Explorer-machtigingen voor Synapse-gebruikers zijn vereist om een script uit te voeren, wijzigingen te publiceren of door te voeren |
|
| Een gepubliceerd KQL-script weergeven en openen | Synapse Artifact User of Artifact Publisher, of Synapse-inzender | artefacten/lezen |
| Een KQL-script uitvoeren in een Data Explorer-pool | Data Explorer-machtigingen voor de pool (automatisch verleend aan een Synapse-beheerder) | Geen |
| Nieuw KQL-script publiceren, bijwerken of verwijderen | Synapse Artifact Publisher of Synapse-inzender | kqlScripts/write, delete |
| Wijzigingen doorvoeren in een KQL-script naar de Git-opslagplaats | Git-machtigingen voor de opslagplaats vereist | |
| APACHE SPARK-POOLS | ||
| Een Apache Spark-pool maken | Azure-eigenaar of -inzender voor de resourcegroep | |
| Apache Spark-toepassingen bewaken | Synapse-gebruiker | Read |
| De logboeken voor voltooide notebook- en taakuitvoering weergeven | Synapse Monitoring Operator | |
| Een notebook of Spark-taak annuleren die wordt uitgevoerd in een Apache Spark-pool | Synapse Compute Operator in de Apache Spark-pool | bigDataPools/useCompute |
| Een notebook of taakdefinitie maken | Synapse-gebruiker of Azure-eigenaar of -inzender of Lezer in de werkruimte Aanvullende machtigingen zijn vereist voor het uitvoeren, publiceren of doorvoeren van wijzigingen |
gelezen |
| Een gepubliceerde notebook of taakdefinitie weergeven en openen, inclusief het controleren van opgeslagen uitvoer | Synapse Artifact User of Synapse Monitoring Operator in de werkruimte | artefacten/lezen |
| Een notebook uitvoeren en de uitvoer ervan controleren of een Spark-taak verzenden | Synapse Apache Spark-beheerder of Synapse Compute-operator in de geselecteerde Apache Spark-pool | bigDataPools/useCompute |
| Een notebook of taakdefinitie publiceren of verwijderen (inclusief uitvoer) naar de service | Artifact Publisher in de werkruimte of Synapse Apache Spark-beheerder | notebooks/schrijven, verwijderen |
| Wijzigingen doorvoeren in een notebook of taakdefinitie in de Git-opslagplaats | Git-machtigingen | Geen |
| PIJPLIJNEN, INTEGRATIERUNTIMES, GEGEVENSSTROMEN, GEGEVENSSETS EN TRIGGERS | ||
| Een Integration Runtime maken, bijwerken of verwijderen | Azure-eigenaar of -inzender in de werkruimte | |
| Status van Integratieruntime bewaken | Synapse Monitoring Operator | read, integrationRuntimes/viewLogs |
| Pijplijnuitvoeringen controleren | Synapse Monitoring Operator | read, pipelines/viewOutputs |
| Een pipeline maken | Aanvullende Synapse-gebruikersmachtigingen voor Synapse zijn vereist om fouten op te sporen, triggers toe te voegen, wijzigingen te publiceren of door te voeren |
gelezen |
| Een gegevensstroom of gegevensset maken | Aanvullende Synapse-gebruikersmachtigingen voor Synapse zijn vereist voor het publiceren of doorvoeren van wijzigingen |
gelezen |
| Een gepubliceerde pijplijn weergeven en openen | Synapse Artifact User of Synapse Monitoring Operator | artefacten/lezen |
| Voorbeeldgegevens van gegevensset | Synapse User and Synapse Credential User on the WorkspaceSystemIdentity | |
| Fouten opsporen in een pijplijn met behulp van de standaard Integration Runtime | Synapse User en Synapse Credential User on the WorkspaceSystemIdentity credential | lezen, referenties/useSecret |
| Een trigger maken, inclusief nu activeren (hiervoor is toestemming vereist om de pijplijn uit te voeren) | Synapse User and Synapse Credential User on the WorkspaceSystemIdentity | lezen, referenties/useSecret/action |
| Een pijplijn uitvoeren/uitvoeren | Synapse User and Synapse Credential User on the WorkspaceSystemIdentity | lezen, referenties/useSecret/action |
| Gegevens kopiëren met het hulpprogramma Gegevens kopiëren | Synapse User en Synapse Credential User on the Workspace System Identity | lezen, referenties/useSecret/action |
| Gegevens opnemen (met behulp van een schema) | Synapse Author en Synapse Credential User on the Workspace System Identity | lezen, referenties/useSecret/action |
| Een nieuwe, bijgewerkte of verwijderde pijplijn, gegevensstroom of trigger publiceren naar de service | Synapse Artifact Publisher in de werkruimte | pijplijnen/schrijven, gegevensstromen/schrijven verwijderen , triggers verwijderen /schrijven, verwijderen |
| Wijzigingen doorvoeren in pijplijnen, gegevensstromen, gegevenssets of triggers in de Git-opslagplaats | Git-machtigingen | Geen |
| GEKOPPELDE SERVICES | ||
| Een gekoppelde service maken (inclusief het toewijzen van een referentie) | Aanvullende machtigingen voor Synapse-gebruikers zijn vereist voor het gebruik van een gekoppelde service met referenties, of voor het publiceren of doorvoeren van wijzigingen |
gelezen |
| Een gepubliceerde gekoppelde service weergeven en openen | Synapse Artifact-gebruiker | linkedServices/write, delete |
| Verbinding testen op een gekoppelde service die is beveiligd met een referentie | Synapse-gebruiker en Synapse-referentiegebruiker | referenties/useSecret/action |
| Een gekoppelde service publiceren | Synapse Artifact Publisher of Synapse Linked Data Manager | linkedServices/write, delete |
| Gekoppelde servicedefinities doorvoeren naar de Git-opslagplaats | Git-machtigingen | Geen |
| TOEGANGSBEHEER | ||
| Synapse RBAC-roltoewijzingen controleren op elk bereik | Synapse-gebruiker | gelezen |
| Synapse RBAC-roltoewijzingen toewijzen en verwijderen voor gebruikers, groepen en service-principals | Synapse Administrator in de werkruimte of op een specifiek bereik voor werkruimte-items | roleAssignments/write, delete |