Роли RBAC в Synapse
В статье описаны встроенные роли RBAC (управление доступом на основе ролей) в Synapse, предоставляемые ими разрешения и области, в которых их можно использовать.
Дополнительные сведения о проверке и назначении членства в ролях Synapse см. в разделах Проверка назначений ролей RBAC Synapse и Назначение ролей RBAC Synapse.
Встроенные роли и области RBAC для Synapse
В приведенной ниже таблице описаны встроенные роли и области, в которых их можно использовать.
Примечание.
Пользователь с любой ролью RBAC для Synapse в любой области автоматически получает роль пользователя Synapse в рабочей области.
Внимание
Роли RBAC Synapse не предоставляют разрешения на создание пулов SQL и Apache Spark, а также сред выполнения интеграции в рабочих областях Azure Synapse, а также на управление ими. Эти действия доступны владельцу Azure или участнику Azure в группе ресурсов.
| Роль | Разрешения | Области |
|---|---|---|
| Администратор Synapse | Полный доступ Synapse к бессерверным и выделенным пулам SQL, пулам Data Explorer, пулам Apache Spark и средам выполнения интеграции. Включает доступ для создания, чтения, обновления и удаления ко всем опубликованным артефактам кода. Включает разрешения "Оператор вычислительной среды", "Диспетчер связанных данных" и "Пользователь учетных данных" для учетных данных в системе рабочей области. Включает назначение ролей RBAC в Synapse. Кроме администратора Synapse, назначать роли RBAC в Synapse также могут владельцы Azure. Для создания вычислительных ресурсов, их удаления и управления ими требуются разрешения Azure. Роли RBAC Synapse можно назначать, даже если связанная подписка отключена. Может читать и записывать артефакты , которые могут выполнять все действия в действиях Spark. Может просматривать журналы пула Spark Может просматривать сохраненные записные книжки и выходные данные конвейера Может использовать секреты, сохраненные связанными службами, или учетные данные Может назначать и отзывать роли RBAC для Synapse в текущей области |
Рабочая область пул Spark Среда выполнения интеграции Связанная служба Учетные данные |
| Администратор Apache Spark Synapse |
Полный доступ в Synapse к пулам Apache Spark. Создание, чтение, обновление и удаление доступа к опубликованным определениям заданий Spark, записным книжкам и их выходным данным, а также к библиотекам, связанным службам и учетным данным. Включает доступ на чтение ко всем остальным опубликованным артефактам кода. Не включает разрешение на использование учетных данных и запуск конвейеров. Не включает предоставление доступа. Может выполнять любые действия с артефактами Spark Может выполнять любые действия в Spark |
Рабочая область пул Spark |
| Администратор Synapse SQL | Полный доступ в Synapse к бессерверным пулам SQL. Доступ для создания, чтения, обновления и удаления к опубликованным скриптам SQL, учетным данным и связанным службам. Включает доступ на чтение ко всем остальным опубликованным артефактам кода. Не включает разрешение на использование учетных данных и запуск конвейеров. Не включает предоставление доступа. Может выполнять любые действия в скриптах SQL Может подключаться к бессерверным конечным точкам SQL с помощью разрешений SQL db_datareader, db_datawriter, connect и grant |
Рабочая область |
| Участник Synapse | Полный доступ в Synapse к пулам Apache Spark и средам выполнения интеграции. Включает создание, чтение, обновление и удаление доступа ко всем опубликованным артефактам кода и их выходным данным, включая запланированные конвейеры, учетные данные и связанные службы. Включает разрешения оператора вычислительной среды. Не включает разрешение на использование учетных данных и запуск конвейеров. Не включает предоставление доступа. Может читать и записывать артефакты Может просматривать сохраненные записные книжки и выходные данные конвейера Может выполнять любые действия Spark Может просматривать журналы пула Spark |
Рабочая область пул Spark Среда выполнения интеграции |
| Издатель артефакта Synapse | Создание, чтение, обновление и удаление доступа к опубликованным артефактам кода и их выходным данным, включая запланированные конвейеры. Не включает в себя разрешение на выполнение кода или конвейеров, а также предоставление доступа. Может публиковать артефакты и читать опубликованные артефакты Может просматривать сохраненные записные книжки, задания Spark и выходные данные конвейера |
Рабочая область |
| Пользователь артефакта Synapse | Доступ для чтения к опубликованным артефактам кода и их выходным данным. Может создавать новые артефакты, но не может публиковать изменения или запускать код без дополнительных разрешений. | Рабочая область |
| Оператор вычислительной среды Synapse | Отправка заданий и записных книжек Spark и просмотр журналов. Включает отмену заданий Spark, отправленных любым пользователем. Требуется другие разрешения на использование учетных данных для удостоверения системы рабочей области для запуска конвейеров, просмотра запусков конвейера и выходных данных. Может отправлять и отменять задания, в том числе отправленные другими пользователями Может просматривать журналы пула Spark |
Рабочая область пул Spark среда выполнения интеграции |
| Оператор мониторинга Synapse | Чтение опубликованных артефактов кода, включая журналы и выходные данные для выполнения конвейера и завершенных записных книжек. Включает возможность перечислять и просматривать сведения о пулах Apache Spark, пулах Обозревателя данных и средах выполнения интеграции. Требуется другие разрешения для запуска и отмены конвейеров, записных книжек Spark и заданий Spark. | Рабочая область |
| Пользователь учетных данных Synapse | Использование секретов учетных данных и связанных служб во время выполнения и настройки для таких действий, как запуск конвейера. Для выполнения конвейеров требуется эта роль в области системного удостоверения рабочей области. В области учетных данных разрешает доступ к данным через связанную службу, которая защищена учетными данными (может также потребоваться разрешение на использование вычислений). Разрешает выполнение конвейеров, защищенных учетными данными идентификатора системы рабочей области. |
Рабочая область связанная служба Учетные данные |
| Диспетчер связанных данных Synapse | Создание управляемых частных конечных точек, связанных служб и учетных данных и управление ими. Может создавать управляемые частные конечные точки, использующие связанные службы, защищенные учетными данными | Рабочая область |
| Пользователь Synapse | Вывод списков и просмотр сведений о пулах SQL, пулах Apache Spark, средах выполнения интеграции, опубликованных связанных службах и учетных данных. Не включает другие опубликованные артефакты кода. Может создавать новые артефакты, но не может выполняться или публиковаться без дополнительных разрешений. Может получать списки и читать пулы Spark и среды выполнения интеграции. |
Рабочая область, пул Spark связанная служба учетные данные |
Роли RBAC для Synapse и действия, которые они позволяют выполнять
Примечание.
- Все действия, перечисленные в приведенных ниже таблицах, имеют префикс "Microsoft.Synapse/..."
- Все действия чтения, записи и удаления артефактов относятся с опубликованным артефактам в активной службе. Эти разрешения не влияют на доступ к артефактам в подключенном репозитории GIT.
В приведенной ниже таблице перечислены встроенные роли и поддерживаемые ими действия и разрешения.
| Роль | Действия |
|---|---|
| Администратор Synapse | workspaces/read workspaces/roleAssignments/write, delete workspaces/managedPrivateEndpoint/write, delete workspaces/bigDataPool/useCompute /action workspaces/bigDataPool/viewLogs /action workspaces/scopePool/useCompute /action workspaces/scopePool/viewLogs /action Workspaces/integrationRuntime/useCompute/ actionRuntime/integrationRuntime/viewRuntime/viewLogs /action workspaces/artifacts/read workspaces/notebooks/write workspaces/sparkJobDefinitions/write, delete workspaces/scopeJobDefinitions/write, delete workspaces/sqlScripts/ write, delete workspaces/dataFlows/ write, delete workspaces/dataMappers/write , delete workspaces/pipelines/write, delete workspaces/triggers /write, delete workspaces/datasets/write, delete workspaces/linkedServices /write, delete workspaces/credentials/write, delete workspaces/notebooks / delete workspaces/cancelPipelineRun/action workspaces/notebooksViewOutputs/ action workspaces/pipelinesViewOutputs/ action workspaces/linkedServicesUseSecret/action workspaces/credentialsUseSecret/action workspaces/action workspaces/libraries/write, delete workspaces/kQLScripts/write, delete workspaces/sparkConfigurations/write, delete workspaces/synapseLinkConnections/read, write, delete workspaces/synapseLinkConnections/ useCompute/action |
| Администратор Synapse Apache Spark | workspaces/read orkspaces/bigDataPoolUseCompute/action orkspaces/bigDataPoolViewLogs/action orkspaces/artifacts/read orkspaces/notebooks/write, delete orkspaces/sparkJobDefinitions/write, delete orkspaces/linkedServices/write, delete orkspaces/credentials/write, delete orkspaces/libraries/write, delete orkspaces/notebooksViewOutputs/action |
| Администратор Synapse SQL | workspaces/read workspaces/artifacts/read workspaces/sqlScripts/write, delete workspaces/linkedServices/write, delete workspaces/credentials/write, delete |
| Администратор области Synapse | workspaces/read workspaces/scopePoolUseCompute/action workspaces/scopePoolViewLogs/action workspaces/linkedServices/write, delete workspaces/credentials/write, delete workspaces/scopeJobDefinitions/write, delete |
| Synapse Private Endpoint Manager | workspaces/read workspaces/managedPrivateEndpoint/write, delete workspaces/linkedServices/write, delete workspaces/credentials/write, delete |
| Участник Synapse | workspaces/read workspaces/bigDataPool/useCompute/action workspaces/bigDataPool/viewLogs /action workspaces/scopePool/useCompute/ action workspaces/scopePool/viewLogs /actionRuntime/useCompute /action Workspaces/integrationRuntime/viewLogs /action Workspaces/artifacts/read workspaces/notebooks/write, delete workspaces/sparkJobDefinitions/write, delete workspaces/sqlScripts/write, delete workspaces/dataFlows/write, delete workspaces/dataMappers/write, delete workspaces/pipelines /write, delete workspaces/triggers /write, delete workspaces/datasets/write, delete workspaces/linkedServices/write, delete workspaces/credentials/write, delete workspaces/cancelPipelineRun/action workspaces/notebooksViewOutputs/action workspaces/pipelinesViewOutputs/action Workspaces/actionViewOutputs /action workspaces/action workspaces/libraries/write workspaces/kQLScripts/write, delete workspaces/sparkConfigurations/write, delete workspaces/synapseLinkConnections/read,write, delete workspaces/synapseLinkConnections/useComputeAction |
| Издатель артефакта Synapse | workspaces/read workspaces/artifacts/read workspaces/notebooks/write, delete workspaces/sparkJobDefinitions/write, delete workspaces/scopeJobDefinitions/ write, delete workspaces/sqlScripts/write, delete workspaces/dataFlows/write, delete workspaces/dataMappers/write, delete workspaces/pipelines/write , delete workspaces/triggers /write, delete workspaces/datasets/write, delete workspaces/linkedServices/write, delete workspaces/credentials/write, delete workspaces/notebooksViewOutputs/action workspaces/pipelinesViewOutputs/action workspaces/libraries/write, delete workspaces/kQLScripts/write, delete workspaces/sparkConfigurations/write, delete |
| Пользователь артефакта Synapse | workspaces/read workspaces/artifacts/read workspaces/notebooks/viewOutputs/action workspaces/pipelines/viewOutputs/action |
| Оператор вычислительной среды Synapse | workspaces/read workspaces/bigDataPools/useCompute/action workspaces/bigDataPools/viewLogs /action workspaces/scopePool/useCompute/action workspaces/scopePool/viewLogs/action workspaces/integrationRuntimes/useCompute/action workspaces/integrationRuntimes/viewLogs/ action workspaces/cancelPipelineRun/action Workspaces/linkConnections/read workspaces/linkConnections/useCompute/action |
| Оператор мониторинга Synapse | workspaces/read workspaces/artifacts/read workspaces/notebooks/viewOutputs/action workspaces/pipelines/viewOutputs/action workspaces/integrationRuntimes/viewLogs/action workspaces/bigDataPools/viewLogs/action |
| Пользователь учетных данных Synapse | workspaces/read workspaces/linkedServices/useSecret/action workspaces/credentials/useSecret/action |
| Диспетчер связанных данных Synapse | workspaces/read workspaces/managedPrivateEndpoint/write, delete workspaces/linkedServices/write, delete workspaces/credentials/write, delete |
| Пользователь Synapse | workspaces/read |
Действия RBAC в Synapse и роли, которые позволяют их выполнять
В приведенной ниже таблице перечислены действия в Synapse и встроенные роли, которые позволяют их выполнять.
| Действие | Роль |
|---|---|
| workspaces/read | Synapse Administrator Synapse Apache Spark Administrator Synapse SQL Administrator Synapse Contributor Synapse Artifact Publisher Synapse Artifact User Synapse Compute Operator Synapse Monitoring Operator Synapse Credential User Synapse Linked Data Manager Synapse User |
| workspaces/roleAssignments/write, delete | Администратор Synapse |
| workspaces/managedPrivateEndpoint/write, delete | Synapse Administrator Synapse Linked Data Manager |
| workspaces/bigDataPools/useCompute/action | Synapse Administrator Synapse Apache Spark Administrator Synapse Contributor Synapse Compute Operator Synapse Monitoring Operator |
| workspaces/bigDataPools/viewLogs/action | Synapse Administrator Synapse Apache Spark Administrator Synapse Contributor Synapse Compute Operator |
| workspaces/integrationRuntimes/useCompute/action | Synapse Administrator Synapse Contributor Synapse Compute Operator Synapse Monitoring Operator |
| workspaces/integrationRuntimes/viewLogs/action | Synapse Administrator Synapse Contributor Synapse Compute Operator Synapse Monitoring Operator |
| workspaces/linkConnections/read | Synapse Administrator Synapse Contributor Synapse Compute Operator |
| workspaces/linkConnections/useCompute/action | Synapse Administrator Synapse Contributor Synapse Compute Operator |
| workspaces/artifacts/read | Администратор Synapse Администратор Synapse Apache Spark Администратор Synapse SQL Участник Synapse Издатель артефактов Synapse Пользователь артефактов Synapse |
| workspaces/notebooks/write, delete | Synapse Administrator Synapse Apache Spark Administrator Synapse Contributor Synapse Artifact Publisher |
| workspaces/sparkJobDefinitions/write, delete | Synapse Administrator Synapse Apache Spark Administrator Synapse Contributor Synapse Artifact Publisher |
| workspaces/sqlScripts/write, delete | Synapse Administrator Synapse SQL Administrator Synapse Contributor Synapse Artifact Publisher |
| workspaces/kqlScripts/write, delete | Synapse Administrator Synapse Contributor Synapse Artifact Publisher |
| workspaces/dataFlows/write, delete | Synapse Administrator Synapse Contributor Synapse Artifact Publisher |
| workspaces/pipelines/write, delete | Synapse Administrator Synapse Contributor Synapse Artifact Publisher |
| workspaces/linkConnections/write, delete | Synapse Administrator Synapse Contributor |
| workspaces/triggers/write, delete | Synapse Administrator Synapse Contributor Synapse Artifact Publisher |
| workspaces/datasets/write, delete | Synapse Administrator Synapse Contributor Synapse Artifact Publisher |
| workspaces/libraries/write, delete | Synapse Administrator Synapse Apache Spark Administrator Synapse Contributor Synapse Artifact Publisher |
| workspaces/linkedServices/write, delete | Synapse Administrator Synapse Apache Spark Administrator Synapse SQL Administrator Synapse Contributor Synapse Artifact Publisher Synapse Linked Data Manager |
| workspaces/credentials/write, delete | Synapse Administrator Synapse Apache Spark Administrator Synapse SQL Administrator Synapse Contributor Synapse Artifact Publisher Synapse Linked Data Manager |
| workspaces/notebooks/viewOutputs/action | Администратор Synapse Администратор Synapse Apache Spark Участник Synapse Издатель артефактов Synapse Пользователь артефактов Synapse |
| workspaces/pipelines/viewOutputs/action | Администратор Synapse Участник Synapse Издатель артефактов Synapse Пользователь артефактов Synapse |
| workspaces/linkedServices/useSecret/action | Synapse Administrator Synapse Credential User |
| workspaces/credentials/useSecret/action | Synapse Administrator Synapse Credential User |
Области RBAC в Synapse и поддерживаемые ими роли
В приведенной ниже таблице перечислены области RBAC в Synapse и роли, которые можно назначать в каждой области.
Примечание.
Для создания или удаления объекта необходимо иметь разрешения в области более высокого уровня.
| Область | Роли |
|---|---|
| Рабочая область | Synapse Administrator Synapse Apache Spark Administrator Synapse SQL Administrator Synapse Contributor Synapse Artifact Publisher Synapse Artifact User Synapse Compute Operator Synapse Monitoring Operator Synapse Credential User Synapse Linked Data Manager Synapse User |
| Пул Apache Spark | Synapse Administrator Synapse Contributor Synapse Compute Operator |
| Среда выполнения интеграции | Synapse Administrator Synapse Contributor Synapse Compute Operator |
| Связанная служба | Synapse Administrator Synapse Credential User |
| Подтверждение компетенции | Synapse Administrator Synapse Credential User |
Примечание.
Все роли и действия артефактов ограничены на уровне рабочей области.
Следующие шаги
- Узнайте, как просматривать назначения ролей RBAC в Synapse для рабочей области.
- Узнайте, как назначать роли RBAC в Synapse.