Funções RBAC do Synapse
O artigo descreve as funções RBAC (controle de acesso baseado em função) internas do Synapse, as permissões que elas concedem e os escopos nos quais elas podem ser usadas.
Para obter mais informações sobre como revisar e atribuir associações de função do Azure Synapse, confira como examinar as atribuições de função RBAC do Azure Synapse e como atribuir funções RBAC do Azure Synapse.
Funções RBAC e escopos internos do Synapse
A tabela a seguir descreve as funções internas e os escopos nos quais elas podem ser usadas.
Observação
Os usuários com qualquer função RBAC do Synapse em qualquer escopo têm automaticamente a função de usuário do Synapse no escopo do workspace.
Importante
As funções RBAC do Azure Synapse não concedem permissões para criar ou gerenciar pools de SQL, pools do Apache Spark e runtimes de integração em workspaces do Azure Synapse. As funções de Proprietário do Azure ou Colaborador do Azure no grupo de recursos são necessárias para essas ações.
| Função | Permissões | Escopos |
|---|---|---|
| Administrador do Azure Synapse | Acesso completo do Synapse a pools de SQL dedicados e sem servidor, pools do Data Explorer, pools do Apache Spark e runtimes de integração. Inclui criar, ler, atualizar e excluir o acesso a todos os artefatos de código publicados. Inclui permissões de operador de computação, Gerenciador de Dados Vinculados e de Usuário de Credencial na credencial de identidade do sistema do workspace. Inclui a atribuição de funções RBAC do Synapse. Além do Administrador do Synapse, os Proprietários do Azure também podem atribuir funções RBAC do Synapse. As permissões do Azure são necessárias para criar, excluir e gerenciar recursos de computação. As funções RBAC do Synapse podem ser atribuídas mesmo quando a assinatura associada está desabilitada. Pode ler e gravar artefatos Pode executar todas as ações em atividades do Spark. Pode exibir logs do pool do Spark Pode exibir o notebook salvo e a saída do pipeline Pode usar os segredos armazenados por serviços vinculados ou credenciais Pode atribuir e revogar funções RBAC do Synapse no escopo atual |
Workspace Pool do Spark Runtime de integração Serviço vinculado Credencial |
| Administrador do Spark do Azure Synapse |
Acesso total do Synapse a Pools do Apache Spark. Crie, leia, atualize e exclua o acesso às definições de trabalho e notebooks publicados do Spark e suas saídas, além de bibliotecas, serviços vinculados e credenciais. Inclui acesso de leitura a todos os outros artefatos de código publicados. Não inclui permissão para usar credenciais e executar pipelines. Não inclui concessão de acesso. Pode realizar todas as ações em artefatos do Spark Pode realizar todas as ações em atividades do Spark |
Workspace Pool do Spark |
| Administrador do SQL do Synapse | Acesso total do Synapse a pools de SQL sem servidor. Criar, ler, atualizar e excluir o acesso a scripts, credenciais e serviços vinculados do SQL publicados. Inclui acesso de leitura a todos os outros artefatos de código publicados. Não inclui permissão para usar credenciais e executar pipelines. Não inclui concessão de acesso. Pode realizar todas as ações em scripts de SQL Pode se conectar a pontos de extremidade SQL sem servidor com as permissões de SQL db_datareader, db_datawriter, connect e grant |
Workspace |
| Colaborador do Synapse | Acesso total do Synapse a pools do Apache Spark e runtimes de integração. Inclui a criação, leitura, atualização e exclusão de acesso a todos os artefatos de código publicados e suas saídas, incluindo pipelines agendados, credenciais e serviços vinculados. Inclui permissões de operador de computação. Não inclui permissão para usar credenciais e executar pipelines. Não inclui concessão de acesso. Pode ler e gravar artefatos Pode exibir o notebook salvo e a saída do pipeline Pode realizar todas as ações em atividades do Spark Pode exibir logs do pool do Spark |
Workspace Pool do Spark runtime de integração |
| Editor de Artefatos do Synapse | Crie, leia, atualize e exclua o acesso a artefatos de códigos publicados e suas saídas, incluindo pipelines agendados. Não inclui permissão para executar o código ou pipelines ou para conceder acesso. Pode ler artefatos publicados e publicar artefatos Pode exibir o notebook salvo, o trabalho do Spark e a saída do pipeline |
Workspace |
| Usuário de Artefato do Azure Synapse | Acesso de leitura a artefatos de código publicados e suas saídas. Pode criar novos artefatos, mas não pode publicar alterações nem executar código sem permissões a mais. | Workspace |
| Operador de Computação do Azure Synapse | Envie trabalhos e blocos de anotações do Spark e exiba logs. Inclui o cancelamento de trabalhos do Spark enviados por qualquer usuário. Requer outras permissões de credenciais de uso na identidade do sistema do workspace para executar pipelines e ver execuções e saídas do pipeline. Pode enviar e cancelar trabalhos, incluindo trabalhos enviados por outras pessoas Pode exibir logs do pool do Spark |
Workspace Pool do Spark Runtime de integração |
| Operador de monitoramento do Synapse | Leia artefatos de código publicados, incluindo logs e saídas de execuções de pipeline e notebooks concluídos. Inclui a capacidade de listar e ver detalhes dos pools do Apache Spark, dos pools do Data Explorer e dos runtimes de integração. Requer outras permissões para executar/cancelar pipelines, notebooks do Spark e trabalhos do Spark. | Workspace |
| Usuário de Credencial do Synapse | Uso de segredos de runtime e tempo de configuração dentro de credenciais e serviços vinculados em atividades como execuções de pipeline. Para executar pipelines, essa função é necessária, com escopo para a identidade do sistema do workspace. Com escopo para uma credencial, permite o acesso aos dados por meio de um serviço vinculado que é protegido pela credencial (também requer a permissão de uso de computação) permite a execução de pipelines protegidos pela credencial de identidade do sistema do workspace |
Workspace Serviço vinculado Credencial |
| Gerenciador de Dados Vinculados do Azure Synapse | Criação e gerenciamento de pontos de extremidade privados gerenciados, serviços vinculados e credenciais. Pode criar pontos de extremidade privados gerenciados que usam serviços vinculados protegidos por credenciais | Workspace |
| Usuário do Azure Synapse | Liste e exiba detalhes de pools de SQL, pools do Apache Spark, tempos de execução de integração e credenciais e serviços vinculados publicados. Não inclui outros artefatos de código publicados. Pode criar novos artefatos, mas não pode executar nem publicar sem permissões a mais. Pode listar e ler pools do Spark, assim como runtimes de integração. |
Workspace, Pool do Spark Serviço vinculado Credencial |
Funções RBAC do Synapse e as ações que elas permitem
Observação
- Todas as ações listadas nas tabelas abaixo são prefixadas, “Microsoft.Synapse/...”
- Todas as ações de leitura, gravação e exclusão de artefatos são relacionadas aos artefatos publicados no serviço ativo. Essas permissões não afetam o acesso a artefatos em um repositório Git conectado.
A tabela a seguir lista as funções internas e as ações/permissões a que cada uma dá suporte.
| Função | Ações |
|---|---|
| Administrador do Azure Synapse | espaços de trabalho/leitura de espaços de trabalho/roleAssignments/gravação, excluir de espaços de trabalho/managedPrivateEndpoint/gravação, excluir de espaços de trabalho/bigDataPool/useCompute/ação espaços de trabalho/bigDataPool/viewLogs/ação espaços de trabalho/scopePool/useCompute/ação espaços de trabalho/scopePool/viewLogs/ação espaços de trabalho/integrationRuntime/useCompute/ação espaços de trabalho/integrationRuntime/viewLogs/ação espaços de trabalho/artefatos/leitura de espaços de trabalho/notebooks/gravação espaços de trabalho/sparkJobDefinitions/gravação, excluir de espaços de trabalho/scopeJobDefinitions/gravação, excluir de espaços de trabalho/sqlScripts/gravação, excluir de espaços de trabalho/dataFlows/gravação, excluir de espaços de trabalho/dataMappers/gravação, excluir de espaços de trabalho/pipelines/gravação, excluir de espaços de trabalho/gatilhos/gravação, excluir de espaços de trabalho/conjuntos de dados/gravação, excluir de espaços de trabalho/linkedServices/gravação, excluir espaços de trabalho/credenciais/gravação, excluir espaços de trabalho/notebooks/excluir espaços de trabalho/cancelarPipelineRun/ação espaços de trabalho/notebooksViewOutputs/ação espaços de trabalho/pipelinesViewOutputs/ação espaços de trabalho/linkedServicesUseSecret/ação espaços de trabalho/credenciaisUseSecret/ação espaços de trabalho/bibliotecas/gravação, excluir espaços de trabalho/kQLScripts/gravação, excluir espaços de trabalho/sparkConfigurations/gravação, excluir espaços de trabalho/synapseLinkConnections/leitura, gravar, excluir espaços de trabalho/synapseLinkConnections/useCompute/ação |
| Administrador do Spark do Azure Synapse | espaços de trabalho/ler orkspaces/bigDataPoolUseCompute/ação orkspaces/bigDataPoolViewLogs/ação orkspaces/artefatos/ler orkspaces/notebooks/gravar, excluir orkspaces/sparkJobDefinitions/gravar, excluir orkspaces/linkedServices/gravar, excluir orkspaces/credenciais/gravar, excluir orkspaces/bibliotecas/gravar, excluir orkspaces/notebooksViewOutputs/ação |
| Administrador do SQL do Synapse | workspaces/read workspaces/artifacts/read workspaces/sqlScripts/write, delete workspaces/linkedServices/write, delete workspaces/credentials/write, delete |
| Administrador do escopo Synapse | espaços de trabalho/leitura espaços de trabalho/scopePoolUseCompute/ação espaços de trabalho/scopePoolViewLogs/ação espaços de trabalho/linkedServices/gravação, excluir espaços de trabalho/credenciais/gravação, excluir espaços de trabalho/scopeJobDefinitions/gravação, excluir |
| Gerenciador de ponto de extremidade privado Synapse | workspaces/read workspaces/managedPrivateEndpoint/write, delete workspaces/linkedServices/write, delete workspaces/credentials/write, delete |
| Colaborador do Synapse | espaços de trabalho/leitura espaços de trabalho/bigDataPool/useCompute/ação espaços de trabalho/bigDataPool/viewLogs/ação espaços de trabalho/scopePool/useCompute/ação espaços de trabalho/scopePool/viewLogs/ação espaços de trabalho/integrationRuntime/useCompute/ação espaços de trabalho/integrationRuntime/viewLogs/ação espaços de trabalho/artefatos/leitura espaços de trabalho/notebooks/gravação, excluir espaços de trabalho/sparkJobDefinitions/gravação, excluir espaços de trabalho/sqlScripts/gravação, excluir espaços de trabalho/dataFlows/gravação, excluir espaços de trabalho/dataMappers/gravação, excluir espaços de trabalho/pipelines/gravação, excluir espaços de trabalho/gatilhos/gravação, excluir espaços de trabalho/conjuntos de dados/gravação, excluir espaços de trabalho/linkedServices/gravação, excluir espaços de trabalho/credenciais/gravação, excluir espaços de trabalho/cancelPipelineRun/ação espaços de trabalho/notebooksViewOutputs/ação espaços de trabalho/pipelinesViewOutputs/ação espaços de trabalho/bibliotecas/gravar, excluir espaços de trabalho/kQLScripts/gravar, excluir espaços de trabalho/sparkConfigurations/gravar, excluir espaços de trabalho/synapseLinkConnections/ler,gravar, excluir espaços de trabalho/synapseLinkConnections/useComputeAction |
| Editor de Artefatos do Synapse | espaços de trabalho/leitura espaços de trabalho/artefatos/leitura espaços de trabalho/notebooks/gravação, excluir espaços de trabalho/sparkJobDefinitions/gravação, excluir espaços de trabalho/scopeJobDefinitions/gravação, excluir espaços de trabalho/sqlScripts/gravação, excluir espaços de trabalho/dataFlows/gravação, excluir espaços de trabalho/dataMappers/gravação, excluir espaços de trabalho/pipelines/gravação, excluir espaços de trabalho/gatilhos/gravação, excluir espaços de trabalho/conjuntos de dados/gravação, excluir espaços de trabalho/linkedServices/gravação, excluir espaços de trabalho/credenciais/gravação, excluir espaços de trabalho/notebooksViewOutputs/ação espaços de trabalho/pipelinesViewOutputs/ação espaços de trabalho/bibliotecas/gravação, excluir espaços de trabalho/kQLScripts/gravação, excluir espaços de trabalho/sparkConfigurations/gravação, excluir |
| Usuário de Artefato do Azure Synapse | workspaces/read workspaces/artifacts/read workspaces/notebooks/viewOutputs/action workspaces/pipelines/viewOutputs/action |
| Operador de Computação do Azure Synapse | espaços de trabalho/leitura de espaços de trabalho/bigDataPools/useCompute/ação espaços de trabalho/bigDataPools/viewLogs/ação espaços de trabalho/scopePool/useCompute/ação espaços de trabalho/scopePool/viewLogs/ação espaços de trabalho/integrationRuntimes/useCompute/ação espaços de trabalho/integrationRuntimes/viewLogs/ação espaços de trabalho/cancelPipelineRun/ação espaços de trabalho/linkConnections/leitura de espaços de trabalho/linkConnections/useCompute/ação |
| Operador de monitoramento do Synapse | espaços de trabalho/ler espaços de trabalho/artefatos/ler espaços de trabalho/notebooks/viewOutputs/ação espaços de trabalho/pipelines/viewOutputs/ ação espaços de trabalho/integrationRuntimes/viewLogs/ação espaços de trabalho/bigDataPools/viewLogs/ação |
| Usuário de Credencial do Synapse | workspaces/read workspaces/linkedServices/useSecret/action workspaces/credentials/useSecret/action |
| Gerenciador de Dados Vinculados do Azure Synapse | workspaces/read workspaces/managedPrivateEndpoint/write, delete workspaces/linkedServices/write, delete workspaces/credentials/write, delete |
| Usuário do Azure Synapse | workspaces/read |
Ações de RBAC do Synapse e as funções que as permitem
A tabela a seguir lista as ações do Synapse e as funções internas que permitem estas ações:
| Ação | Função |
|---|---|
| workspaces/read | Administrador do Synapse Administrador do Apache Spark do Synapse Administrador de SQL do Synapse Colaborador do Synapse Editor de Artefatos do Synapse Usuário de Artefatos do Synapse Operador de Computação do Synapse Operador de Monitoramento do Synapse Usuário de Credenciais do Synapse Gerenciador de Dados Vinculados do Synapse Usuário do Synapse |
| workspaces/roleAssignments/write, delete | Administrador do Azure Synapse |
| workspaces/managedPrivateEndpoint/write, delete | Administrador do Synapse Gerenciador de Dados Vinculados do Synapse |
| workspaces/bigDataPools/useCompute/action | Administrador do Synapse Administrador do Apache Spark do Synapse Colaborador do Synapse Operador de Computação do Synapse Operador de Monitoramento do Synapse |
| workspaces/bigDataPools/viewLogs/action | Administrador do Synapse Administrador do Apache Spark do Synapse Colaborador do Synapse Operador de Computação do Synapse |
| workspaces/integrationRuntimes/useCompute/action | Administrador do Synapse Colaborador do Synapse Operador de Computação do Synapse Operador de Monitoramento do Synapse |
| workspaces/integrationRuntimes/viewLogs/action | Administrador do Synapse Colaborador do Synapse Operador de Computação do Synapse Operador de Monitoramento do Synapse |
| workspaces/linkConnections/read | Administrador do Synapse Colaborador do Synapse Operador de Computação do Synapse |
| workspaces/linkConnections/useCompute/action | Administrador do Synapse Colaborador do Synapse Operador de Computação do Synapse |
| workspaces/artifacts/read | Administrador do Synapse Administrador do Apache Spark do Synapse Administrador de SQL do Synapse Colaborador do Synapse Editor de Artefatos do Synapse Usuário de Artefatos do Synapse |
| workspaces/notebooks/write, delete | Administrador do Synapse Administrador do Apache Spark do Synapse Colaborador do Synapse Editor de Artefatos do Synapse |
| workspaces/sparkJobDefinitions/write, delete | Administrador do Synapse Administrador do Apache Spark do Synapse Colaborador do Synapse Editor de Artefatos do Synapse |
| workspaces/sqlScripts/write, delete | Administrador do Synapse Administrador de SQL do Synapse Colaborador do Synapse Editor de Artefatos do Synapse |
| workspaces/kqlScripts/write, delete | Administrador do Synapse Colaborador do Synapse Editor de Artefatos do Synapse |
| workspaces/dataFlows/write, delete | Administrador do Synapse Colaborador do Synapse Editor de Artefatos do Synapse |
| workspaces/pipelines/write, delete | Administrador do Synapse Colaborador do Synapse Editor de Artefatos do Synapse |
| workspaces/linkConnections/write, delete | Administrador do Synapse Contribuidor do Synapse |
| workspaces/triggers/write, delete | Administrador do Synapse Colaborador do Synapse Editor de Artefatos do Synapse |
| workspaces/datasets/write, delete | Administrador do Synapse Colaborador do Synapse Editor de Artefatos do Synapse |
| workspaces/libraries/write, delete | Administrador do Synapse Administrador do Apache Spark do Synapse Colaborador do Synapse Editor de Artefatos do Synapse |
| workspaces/linkedServices/write, delete | Administrador do Synapse Administrador do Apache Spark do Synapse Administrador de SQL do Synapse Colaborador do Synapse Editor de Artefatos do Synapse Gerenciador de Dados Vinculados do Synapse |
| workspaces/credentials/write, delete | Administrador do Synapse Administrador do Apache Spark do Synapse Administrador de SQL do Synapse Colaborador do Synapse Editor de Artefatos do Synapse Gerenciador de Dados Vinculados do Synapse |
| workspaces/notebooks/viewOutputs/action | Administrador do Synapse Administrador do Apache Spark do Synapse Colaborador do Synapse Editor de Artefatos do Synapse Usuário de Artefatos do Synapse |
| workspaces/pipelines/viewOutputs/action | Administrador do Synapse Colaborador do Synapse Editor de Artefatos do Synapse Usuário de Artefatos do Synapse |
| workspaces/linkedServices/useSecret/action | Administrador do Synapse Usuário de Credenciais do Synapse |
| workspaces/credentials/useSecret/action | Administrador do Synapse Usuário de Credenciais do Synapse |
Escopos de RBAC do Synapse e suas funções com suporte
A tabela a seguir lista os escopos de RBAC do Synapse e as funções que podem ser atribuídas em cada escopo.
Observação
Para criar ou excluir um objeto, você deve ter permissões em um escopo de nível superior.
| Escopo | Funções |
|---|---|
| Workspace | Administrador do Synapse Administrador do Apache Spark do Synapse Administrador de SQL do Synapse Colaborador do Synapse Editor de Artefatos do Synapse Usuário de Artefatos do Synapse Operador de Computação do Synapse Operador de Monitoramento do Synapse Usuário de Credenciais do Synapse Gerenciador de Dados Vinculados do Synapse Usuário do Synapse |
| Pool do Apache Spark | Administrador do Synapse Colaborador do Synapse Operador de Computação do Synapse |
| runtime de integração | Administrador do Synapse Colaborador do Synapse Operador de Computação do Synapse |
| Serviço vinculado | Administrador do Synapse Usuário de Credenciais do Synapse |
| Credencial | Administrador do Synapse Usuário de Credenciais do Synapse |
Observação
Todas as funções de artefato e ações são delimitadas no nível do workspace.
Próximas etapas
- Saiba como examinar as atribuições de função RBAC do Azure Synapse para um workspace.
- Saiba como atribuir funções RBAC do Azure Synapse