Omówienie ról wymaganych do wykonywania typowych zadań w usłudze Azure Synapse
Ten artykuł pomoże Ci zrozumieć, które role kontroli dostępu opartej na rolach usługi Synapse (kontrola dostępu oparta na rolach) lub role RBAC platformy Azure należy wykonać w programie Synapse Studio. Aby zarządzać członkostwem w rolach, zobacz Zarządzanie przypisaniami ról RBAC usługi Synapse.
Podsumowanie kontroli dostępu i przepływu pracy programu Synapse Studio
Uzyskiwanie dostępu do programu Synapse Studio
Możesz otworzyć program Synapse Studio i wyświetlić szczegóły obszaru roboczego oraz wyświetlić listę dowolnych zasobów platformy Azure, takich jak pule SQL, pule platformy Spark lub środowiska Integration Runtime. Zobaczysz, czy masz przypisaną rolę RBAC usługi Synapse lub masz rolę Właściciela, Współautora lub Czytelnika platformy Azure w obszarze roboczym.
Zarządzanie zasobami
Pule SQL, pule eksploratora danych i pule platformy Apache Spark można tworzyć, jeśli jesteś właścicielem platformy Azure lub współautorem w grupie zasobów. Możesz utworzyć środowisko Integration Runtime, jeśli jesteś właścicielem platformy Azure lub współautorem w obszarze roboczym. W przypadku korzystania z szablonów usługi ARM do automatycznego wdrażania musisz być współautorem platformy Azure w grupie zasobów.
Możesz wstrzymać lub skalować dedykowaną pulę SQL, skonfigurować pulę platformy Spark lub środowisko Integration Runtime, jeśli jesteś właścicielem platformy Azure lub współautorem w obszarze roboczym lub zasobie.
Wyświetlanie i edytowanie artefaktów kodu
Za pomocą dostępu do programu Synapse Studio można tworzyć nowe artefakty kodu, takie jak skrypty SQL, skrypty KQL, notesy, zadania spark, połączone usługi, potoki, przepływy danych, wyzwalacze i poświadczenia. Te artefakty można opublikować lub zapisać z dodatkowymi uprawnieniami.
Jeśli jesteś użytkownikiem artefaktu usługi Synapse, wydawcą artefaktów usługi Synapse, współautorem usługi Synapse lub administratorem usługi Synapse, możesz wyświetlić listę, otworzyć i edytować już opublikowane artefakty kodu, w tym zaplanowane potoki.
Wykonywanie kodu
Skrypty SQL można wykonywać w pulach SQL, jeśli masz niezbędne uprawnienia SQL zdefiniowane w pulach SQL. Jeśli masz odpowiednie uprawnienia, możesz wykonywać skrypty KQL w pulach eksploratora danych.
Notesy i zadania platformy Spark można uruchamiać, jeśli masz uprawnienia operatora obliczeniowego usługi Synapse w obszarze roboczym lub określonych pulach platformy Apache Spark.
Przy użyciu uprawnień operatora obliczeniowego w obszarze roboczym lub określonych środowiskach Integration Runtime oraz odpowiednich uprawnień poświadczeń można wykonywać potoki.
Monitorowanie wykonywania i zarządzanie nim
Jeśli jesteś użytkownikiem usługi Synapse, możesz przejrzeć stan uruchomionych notesów i zadań w pulach platformy Apache Spark.
Możesz przejrzeć dzienniki i anulować uruchomione zadania i potoki, jeśli jesteś operatorem obliczeniowym usługi Synapse w obszarze roboczym lub dla określonej puli platformy Spark lub potoku.
Debugowanie potoków
Możesz przeglądać potoki i wprowadzać zmiany w potokach jako użytkownik usługi Synapse, ale jeśli chcesz mieć możliwość debugowania go, musisz również mieć użytkownika poświadczeń usługi Synapse.
Publikowanie i zapisywanie kodu
Możesz opublikować nowe lub zaktualizowane artefakty kodu w usłudze, jeśli jesteś wydawcą artefaktów synapse, współautorem usługi Synapse lub administratorem usługi Synapse.
Artefakty kodu można zatwierdzić w gałęzi roboczej repozytorium Git, jeśli obszar roboczy jest włączony w usłudze Git i masz uprawnienia usługi Git. Po włączeniu usługi Git publikowanie jest dozwolone tylko z gałęzi współpracy.
Jeśli zamkniesz program Synapse Studio bez publikowania lub zatwierdzania zmian w artefaktach kodu, te zmiany zostaną utracone.
Zadania i wymagane role
W poniższej tabeli wymieniono typowe zadania i dla każdego zadania wymagane role RBAC usługi Synapse lub RBAC platformy Azure.
Uwaga
Administrator usługi Synapse nie jest wymieniony dla każdego zadania, chyba że jest to jedyna rola, która zapewnia niezbędne uprawnienia. Administrator usługi Synapse może wykonywać wszystkie zadania włączone przez inne role RBAC usługi Synapse.
Uwaga
Użytkownicy-goście z innej dzierżawy mogą również przeglądać, dodawać lub zmieniać przypisania ról po przypisaniu ich jako administrator usługi Synapse.
Wyświetlana jest minimalna wymagana rola RBAC usługi Synapse.
Wszystkie role RBAC usługi Synapse w dowolnym zakresie zapewniają uprawnienia użytkownika usługi Synapse w obszarze roboczym.
Wszystkie uprawnienia/akcje kontroli dostępu opartej na rolach usługi Synapse wyświetlane w tabeli mają prefiks Microsoft/Synapse/workspaces/....
| Zadanie (chcę...) | Rola (muszę być...) | Uprawnienie/akcja kontroli dostępu opartej na rolach usługi Synapse |
|---|---|---|
| Otwieranie programu Synapse Studio w obszarze roboczym | Użytkownik usługi Synapse lub | odczyt |
| Właściciel lub współautor platformy Azure lub czytelnik w obszarze roboczym | Brak | |
| Wyświetlanie listy pul SQL lub pul eksploratora danych lub pul platformy Apache Spark lub środowisk Integration Runtime i uzyskiwanie dostępu do ich szczegółów konfiguracji | Użytkownik usługi Synapse lub | odczyt |
| Właściciel lub współautor platformy Azure lub czytelnik w obszarze roboczym | Brak | |
| Wyświetlanie listy połączonych usług lub poświadczeń lub zarządzanych prywatnych punktów końcowych | Użytkownik usługi Synapse | odczyt |
| PULE SQL | ||
| Tworzenie dedykowanej puli SQL lub bezserwerowej puli SQL | Właściciel lub współautor platformy Azure w grupie zasobów | Brak |
| Zarządzanie dedykowaną pulą SQL (wstrzymywanie lub skalowanie lub usuwanie) | Właściciel lub współautor platformy Azure w puli SQL lub obszarze roboczym | Brak |
| Tworzenie skryptu SQL |
Użytkownik usługi Synapse lub właściciel platformy Azure lub współautor w obszarze roboczym. Do uruchamiania skryptu SQL, publikowania lub zatwierdzania zmian wymagane są dodatkowe uprawnienia SQL. |
|
| Wyświetlanie listy i otwieranie dowolnego opublikowanego skryptu SQL | Artefakt usługi Synapse User lub Artifact Publisher lub Współautor synapse | artefakty/odczyt |
| Uruchamianie skryptu SQL w bezserwerowej puli SQL | Uprawnienia SQL w puli (przyznawane automatycznie administratorowi usługi Synapse) | Brak |
| Uruchamianie skryptu SQL w dedykowanej puli SQL | Uprawnienia SQL w puli (przyznawane automatycznie administratorowi usługi Synapse) | Brak |
| Publikowanie nowego lub zaktualizowanego lub usuniętego skryptu SQL | Wydawca artefaktów usługi Synapse lub współautor usługi Synapse | sqlScripts/write, delete |
| Zatwierdzanie zmian skryptu SQL w repozytorium Git | Wymaga uprawnień usługi Git w repozytorium | |
| Przypisywanie administratora usługi Active Directory w obszarze roboczym (za pośrednictwem właściwości obszaru roboczego w witrynie Azure Portal) | Właściciel lub współautor platformy Azure w obszarze roboczym | |
| PULE EKSPLORATORA DANYCH | ||
| Tworzenie puli eksploratora danych | Właściciel lub współautor platformy Azure w grupie zasobów | Brak |
| Zarządzanie (wstrzymywanie lub skalowanie lub usuwanie) puli eksploratora danych | Właściciel lub współautor platformy Azure w puli lub obszarze roboczym Eksploratora danych | Brak |
| Tworzenie skryptu KQL |
Użytkownik usługi Synapse. Do uruchamiania skryptu, publikowania lub zatwierdzania zmian wymagane są dodatkowe uprawnienia Eksploratora danych. |
|
| Wyświetlanie listy i otwieranie dowolnego opublikowanego skryptu KQL | Artefakt usługi Synapse User lub Artifact Publisher lub Współautor synapse | artefakty/odczyt |
| Uruchamianie skryptu KQL w puli eksploratora danych | Uprawnienia Eksploratora danych w puli (przyznawane automatycznie administratorowi usługi Synapse) | Brak |
| Publikowanie nowego, aktualizacji lub usuwania skryptu KQL | Wydawca artefaktów usługi Synapse lub współautor usługi Synapse | kqlScripts/write, delete |
| Zatwierdzanie zmian skryptu języka KQL w repozytorium Git | Wymaga uprawnień usługi Git w repozytorium | |
| PULE PLATFORMY APACHE SPARK | ||
| Tworzenie puli platformy Apache Spark | Właściciel lub współautor platformy Azure w grupie zasobów | |
| Monitorowanie aplikacji platformy Apache Spark | Użytkownik usługi Synapse | odczyt |
| Wyświetlanie dzienników ukończonego notesu i wykonywania zadania | Operator monitorowania usługi Synapse | |
| Anulowanie dowolnego notesu lub zadania platformy Spark uruchomionego w puli platformy Apache Spark | Operator usługi Synapse Compute w puli platformy Apache Spark. | bigDataPools/useCompute |
| Tworzenie notesu lub definicji zadania | Użytkownik usługi Synapse, właściciel platformy Azure lub współautor albo czytelnik w obszarze roboczym Dodatkowe uprawnienia są wymagane do uruchamiania, publikowania lub zatwierdzania zmian |
czytać |
| Wyświetlanie listy i otwieranie opublikowanego notesu lub definicji zadania, w tym przeglądanie zapisanych danych wyjściowych | Operator monitorowania artefaktu usługi Synapse w usłudze Synapse w obszarze roboczym | artefakty/odczyt |
| Uruchamianie notesu i przeglądanie jego danych wyjściowych lub przesyłanie zadania platformy Spark | Administrator usługi Synapse Apache Spark lub operator obliczeniowy synapse w wybranej puli platformy Apache Spark | bigDataPools/useCompute |
| Publikowanie lub usuwanie notesu lub definicji zadania (w tym danych wyjściowych) w usłudze | Wydawca artefaktów w obszarze roboczym lub administrator usługi Synapse Apache Spark | notesy/zapis, usuwanie |
| Zatwierdzanie zmian w definicji notesu lub zadania w repozytorium Git | Uprawnienia usługi Git | Brak |
| POTOKI, ŚRODOWISKA INTEGRATION RUNTIME, PRZEPŁYWY DANYCH, ZESTAWY DANYCH I WYZWALACZE | ||
| Tworzenie, aktualizowanie lub usuwanie środowiska Integration Runtime | Właściciel lub współautor platformy Azure w obszarze roboczym | |
| Monitorowanie stanu środowiska Integration Runtime | Operator monitorowania usługi Synapse | read, integrationRuntimes/viewLogs |
| Przeglądanie przebiegów potoków | Operator monitorowania usługi Synapse | odczyt, potoki/widokOutputs |
| Tworzenie potoku | Dodatkowe uprawnienia usługi Synapse użytkownika usługi Synapse są wymagane do debugowania, dodawania wyzwalaczy, publikowania lub zatwierdzania zmian |
odczyt |
| Tworzenie przepływu danych lub zestawu danych | Aby opublikować lub zatwierdzić zmiany, wymagane są dodatkowe uprawnienia usługi Synapse użytkownika usługi Synapse |
odczyt |
| Wyświetlanie listy i otwieranie opublikowanego potoku | Operator monitorowania artefaktu usługi Synapse lub synapse | artefakty/odczyt |
| Podgląd danych zestawu danych | Użytkownik usługi Synapse i użytkownik poświadczeń usługi Synapse w obszarze roboczymSystemIdentity | |
| Debugowanie potoku przy użyciu domyślnego środowiska Integration Runtime | Użytkownik usługi Synapse i użytkownik poświadczeń usługi Synapse w obszarze roboczymUświadczenieSystemIdentity | odczyt, poświadczenia/useSecret |
| Utwórz wyzwalacz, w tym teraz wyzwalacz (wymaga uprawnień do wykonywania potoku) | Użytkownik usługi Synapse i użytkownik poświadczeń usługi Synapse w obszarze roboczymSystemIdentity | odczyt, poświadczenia/useSecret/action |
| Wykonywanie/uruchamianie potoku | Użytkownik usługi Synapse i użytkownik poświadczeń usługi Synapse w obszarze roboczymSystemIdentity | odczyt, poświadczenia/useSecret/action |
| Kopiowanie danych przy użyciu narzędzia do kopiowania danych | Użytkownik usługi Synapse i użytkownik poświadczeń usługi Synapse w tożsamości systemu obszaru roboczego | odczyt, poświadczenia/useSecret/action |
| Pozyskiwanie danych (przy użyciu harmonogramu) | Użytkownik poświadczeń usługi Synapse Author i Synapse w tożsamości systemu obszaru roboczego | odczyt, poświadczenia/useSecret/action |
| Publikowanie nowego, zaktualizowanego lub usuniętego potoku, przepływu danych lub wyzwalacza w usłudze | Program Synapse Artifact Publisher w obszarze roboczym | pipelines/write, delete dataflows/write, delete triggers/write, delete triggers/write, delete |
| Zatwierdzanie zmian potoków, przepływów danych, zestawów danych lub wyzwalaczy w repozytorium Git | Uprawnienia usługi Git | Brak |
| POŁĄCZONE USŁUGI | ||
| Tworzenie połączonej usługi (obejmuje przypisywanie poświadczeń) | Dodatkowe uprawnienia użytkownika usługi Synapse są wymagane do korzystania z połączonej usługi z poświadczeniami lub do publikowania lub zatwierdzania zmian |
odczyt |
| Wyświetlanie listy i otwieranie opublikowanej połączonej usługi | Użytkownik artefaktu usługi Synapse | linkedServices/write, delete |
| Testowanie połączenia w połączonej usłudze zabezpieczonej przy użyciu poświadczeń | Użytkownik usługi Synapse i użytkownik poświadczeń usługi Synapse | credentials/useSecret/action |
| Publikowanie połączonej usługi | Program Synapse Artifact Publisher lub Połączony menedżer danych usługi Synapse | linkedServices/write, delete |
| Zatwierdzanie definicji połączonej usługi w repozytorium Git | Uprawnienia usługi Git | Brak |
| ZARZĄDZANIE DOSTĘPEM | ||
| Przejrzyj przypisania ról RBAC usługi Synapse w dowolnym zakresie | Użytkownik usługi Synapse | odczyt |
| Przypisywanie i usuwanie przypisań ról RBAC usługi Synapse dla użytkowników, grup i jednostek usługi | Administrator usługi Synapse w obszarze roboczym lub w określonym zakresie elementu obszaru roboczego | roleAssignments/write, delete |