Partilhar via


Compreender as funções necessárias para executar tarefas comuns no Azure Synapse

Este artigo ajudará você a entender quais funções Synapse RBAC (controle de acesso baseado em função) ou funções RBAC do Azure você precisa para trabalhar no Synapse Studio. Para gerenciar a associação de funções, consulte Gerenciar atribuições de função RBAC do Synapse.

Controle de acesso Synapse Studio e resumo do fluxo de trabalho

Acesso Synapse Studio

Você pode abrir o Synapse Studio e exibir detalhes do espaço de trabalho e listar qualquer um de seus recursos do Azure, como pools SQL, pools Spark ou tempos de execução de integração. Você verá se lhe foi atribuída alguma função Synapse RBAC ou se tem a função de Proprietário, Colaborador ou Leitor do Azure no espaço de trabalho.

Gestão de recursos

Você pode criar pools SQL, pools do Data Explorer e pools do Apache Spark se for um Proprietário ou Colaborador do Azure no grupo de recursos. Você pode criar um Tempo de Execução de Integração se for um Proprietário ou Colaborador do Azure no espaço de trabalho. Ao usar modelos ARM para implantação automatizada, você precisa ser um Colaborador do Azure no grupo de recursos.

Você pode pausar ou dimensionar um pool SQL dedicado, configurar um pool do Spark ou um tempo de execução de integração se for um Proprietário ou Colaborador do Azure no espaço de trabalho ou nesse recurso.

Visualizar e editar artefatos de código

Com acesso ao Synapse Studio, você pode criar novos artefatos de código, como scripts SQL, scripts KQL, notebooks, trabalhos de faísca, serviços vinculados, pipelines, fluxos de dados, gatilhos e credenciais. Esses artefatos podem ser publicados ou salvos com permissões adicionais.

Se você for um Usuário de Artefato Synapse, Synapse Artifact Publisher, Synapse Contributor ou Synapse Administrator, você pode listar, abrir e editar artefatos de código já publicados, incluindo pipelines agendados.

Execute o seu código

Você pode executar scripts SQL em pools SQL se tiver as permissões SQL necessárias definidas nos pools SQL. Você pode executar scripts KQL em pools do Data Explorer se tiver as permissões necessárias.

Você pode executar blocos de anotações e trabalhos do Spark se tiver permissões do Synapse Compute Operator no espaço de trabalho ou em pools específicos do Apache Spark.

Com permissões de Operador de Computação no espaço de trabalho ou tempos de execução de integração específicos e permissões de credenciais apropriadas, você pode executar pipelines.

Monitorar e gerenciar a execução

Você pode revisar o status da execução de blocos de anotações e trabalhos em pools do Apache Spark se for um usuário Synapse.

Você pode revisar logs e cancelar trabalhos e pipelines em execução se for um Operador de Computação Synapse no espaço de trabalho ou para um pool ou pipeline específico do Spark.

Depurar pipelines

Você pode revisar e fazer alterações em pipelines como um usuário Synapse, mas se você quiser ser capaz de depurá-lo, você também precisa ter Synapse Credential User.

Publique e salve seu código

Você pode publicar artefatos de código novos ou atualizados no serviço se for um Synapse Artifact Publisher, Synapse Contributor ou Synapse Administrator.

Você pode confirmar artefatos de código em uma ramificação em funcionamento de um repositório Git se o espaço de trabalho estiver habilitado para Git e você tiver permissões Git. Com o Git habilitado, a publicação só é permitida a partir da ramificação de colaboração.

Se você fechar o Synapse Studio sem publicar ou confirmar alterações em artefatos de código, essas alterações serão perdidas.

Tarefas e funções necessárias

A tabela abaixo lista as tarefas comuns e, para cada tarefa, as funções Synapse RBAC ou Azure RBAC necessárias.

Nota

Synapse Administrator não está listado para cada tarefa, a menos que seja a única função que fornece a permissão necessária. Um administrador Synapse pode executar todas as tarefas habilitadas por outras funções Synapse RBAC.

Nota

Os usuários convidados de outro locatário também podem revisar, adicionar ou alterar atribuições de função depois de terem sido atribuídos como Administrador Sinapse.

A função mínima Synapse RBAC exigida é mostrada.

Todas as funções Synapse RBAC em qualquer escopo fornecem permissões de Usuário Synapse no espaço de trabalho.

Todas as permissões/ações Synapse RBAC mostradas na tabela são prefixadas Microsoft/Synapse/workspaces/....

Tarefa (Eu quero...) Papel (eu preciso ser...) Permissão/ação Synapse RBAC
Abra o Synapse Studio em um espaço de trabalho Synapse User ou lido
Proprietário ou Colaborador do Azure ou Leitor no espaço de trabalho nenhum
Liste pools SQL ou pools do Data Explorer ou pools do Apache Spark ou runtimes de integração e acesse seus detalhes de configuração Synapse User ou lido
Proprietário ou Colaborador do Azure ou Leitor no espaço de trabalho nenhum
Listar serviços vinculados ou credenciais ou pontos de extremidade privados gerenciados Usuário Synapse lido
SQL POOLS
Criar um pool SQL dedicado ou um pool SQL sem servidor Proprietário ou Colaborador do Azure no grupo de recursos nenhum
Gerenciar (pausar, dimensionar ou excluir) um pool SQL dedicado Proprietário ou Colaborador do Azure no pool ou espaço de trabalho SQL nenhum
Criar um script SQL
Synapse Usuário ou
Proprietário ou Colaborador do Azure no espaço de trabalho.

São necessárias permissões SQL adicionais para executar um script SQL, publicar ou confirmar alterações.
Listar e abrir qualquer script SQL publicado Usuário do Artefato Synapse ou Editor de Artefatos, ou Colaborador do Synapse artefactos/leitura
Executar um script SQL em um pool SQL sem servidor Permissões SQL no pool (concedidas automaticamente a um administrador Sinapse) nenhum
Executar um script SQL em um pool SQL dedicado Permissões SQL no pool (concedidas automaticamente a um administrador Sinapse) nenhum
Publicar um script SQL novo, atualizado ou excluído Synapse Artifact Publisher ou Colaborador Synapse sqlScripts/write, excluir
Confirmar alterações em um script SQL para o repositório Git Requer permissões do Git no repositório
Atribuir administrador do Ative Directory no espaço de trabalho (por meio das propriedades do espaço de trabalho no Portal do Azure) Proprietário ou Colaborador do Azure no espaço de trabalho
DATA EXPLORER POOLS
Criar um pool do Data Explorer Proprietário ou Colaborador do Azure no grupo de recursos nenhum
Gerenciar (pausar, dimensionar ou excluir) um pool do Data Explorer Proprietário ou Colaborador do Azure no pool ou espaço de trabalho do Data Explorer nenhum
Criar um script KQL
Usuário Sinapse.

São necessárias permissões adicionais do Data Explorer para executar um script, publicar ou confirmar alterações.
Listar e abrir qualquer script KQL publicado Usuário do Artefato Synapse ou Editor de Artefatos, ou Colaborador do Synapse artefactos/leitura
Executar um script KQL em um pool do Data Explorer Permissões do Data Explorer no pool (concedidas automaticamente a um administrador do Sinapse) nenhum
Publicar novo, atualizar ou excluir script KQL Synapse Artifact Publisher ou Colaborador Synapse kqlScripts/write, excluir
Confirmar alterações em um script KQL no repositório Git Requer permissões do Git no repositório
PISCINAS DE FAÍSCA APACHE;
Criar um pool do Apache Spark Proprietário ou Colaborador do Azure no grupo de recursos
Monitore aplicativos Apache Spark Usuário Synapse lido
Exibir os logs para o bloco de anotações concluído e a execução do trabalho Operador de Monitoramento Sinapse
Cancelar qualquer bloco de anotações ou trabalho do Spark em execução em um pool do Apache Spark Synapse Compute Operator no pool do Apache Spark. bigDataPools/useCompute
Criar um bloco de anotações ou definição de trabalho Synapse Usuário ou
Proprietário ou Colaborador do Azure ou Leitor no espaço de trabalho

São necessárias permissões adicionais para executar, publicar ou confirmar alterações
Leia




Listar e abrir um bloco de anotações ou definição de trabalho publicado, incluindo a revisão de saídas salvas Usuário do Artefato Synapse ou Operador de Monitoramento Synapse no espaço de trabalho artefactos/leitura
Executar um bloco de anotações e revisar sua saída, ou enviar um trabalho do Spark Synapse Apache Spark Administrator ou Synapse Compute Operator no pool selecionado do Apache Spark bigDataPools/useCompute
Publicar ou excluir um bloco de anotações ou definição de trabalho (incluindo saída) para o serviço Artifact Publisher no espaço de trabalho ou Synapse Apache Spark Administrator blocos de notas/escrever, eliminar
Confirmar alterações em um bloco de anotações ou definição de trabalho no repositório Git Permissões do Git nenhum
PIPELINES, TEMPOS DE EXECUÇÃO DE INTEGRAÇÃO, FLUXOS DE DADOS, CONJUNTOS DE DADOS & TRIGGERS
Criar, atualizar ou excluir um tempo de execução de integração Proprietário ou Colaborador do Azure no espaço de trabalho
Monitorar o status do tempo de execução da integração Operador de Monitoramento Sinapse leitura, integrationRuntimes/viewLogs
Execução do pipeline de revisão Operador de Monitoramento Sinapse leitura, pipelines/viewOutputs
Criar um pipeline Usuário do Synapse

As permissões adicionais do Synapse são necessárias para depurar, adicionar gatilhos, publicar ou confirmar alterações
lido
Criar um fluxo de dados ou conjunto de dados Usuário do Synapse

As permissões adicionais do Synapse são necessárias para publicar ou confirmar alterações
lido
Listar e abrir um pipeline publicado Usuário do Artefato Synapse ou Operador de Monitoramento Synapse artefactos/leitura
Visualizar dados do conjunto de dados Usuário Synapse e Usuário de Credencial Synapse no WorkspaceSystemIdentity
Depurar um pipeline usando o tempo de execução de integração padrão Usuário Synapse e Usuário de Credencial Synapse na credencial WorkspaceSystemIdentity ler,
credenciais/useSecret
Criar um gatilho, incluindo gatilho agora (requer permissão para executar o pipeline) Usuário Synapse e Usuário de Credencial Synapse no WorkspaceSystemIdentity ler, credenciais/usarSegredo/ação
Executar/executar um pipeline Usuário Synapse e Usuário de Credencial Synapse no WorkspaceSystemIdentity ler, credenciais/usarSegredo/ação
Copiar dados usando a ferramenta Copiar dados Usuário Synapse e Usuário de Credenciais Synapse na identidade do sistema de espaço de trabalho ler, credenciais/usarSegredo/ação
Ingerir dados (usando uma programação) Synapse Author e Synapse Credential User na identidade do sistema de espaço de trabalho ler, credenciais/usarSegredo/ação
Publicar um pipeline, fluxo de dados ou gatilho novo, atualizado ou excluído no serviço Synapse Artifact Publisher no espaço de trabalho pipelines/gravação, excluir
fluxos de dados/gravação, excluir
gatilhos/gravação, excluir
Confirmar alterações em pipelines, fluxos de dados, conjuntos de dados ou gatilhos no repositório Git Permissões do Git nenhum
SERVIÇOS LIGADOS
Criar um serviço vinculado (inclui a atribuição de uma credencial) Usuário Synapse

Permissões adicionais são necessárias para usar um serviço vinculado com credenciais, ou para publicar, ou confirmar alterações
lido
Listar e abrir um serviço vinculado publicado Usuário do Artefato Sinapse linkedServices/gravar, excluir
Testar conexão em um serviço vinculado protegido por uma credencial Usuário Synapse e Usuário Credencial Synapse credenciais/useSecret/action
Publicar um serviço vinculado Synapse Artifact Publisher ou Synapse Linked Data Manager linkedServices/gravar, excluir
Confirmar definições de serviço vinculado ao repositório Git Permissões do Git nenhum
GESTÃO DE ACESSOS
Revise as atribuições de função do Synapse RBAC em qualquer escopo Usuário Synapse lido
Atribuir e remover atribuições de função Synapse RBAC para usuários, grupos e entidades de serviço Synapse Administrator no espaço de trabalho ou em um escopo de item de espaço de trabalho específico funçãoAtribuições/gravação, exclusão

Próximos passos