Роли, необходимые для выполнения стандартных задач в Azure Synapse
В этой статье объясняется, какие роли Synapse RBAC (управление доступом на основе ролей) или роли RBAC Azure необходимо выполнить в Synapse Studio. Сведения об управлении членством в роли см. в статье "Управление назначениями ролей Synapse RBAC".
Краткие сведения об управлении доступом и рабочих процессах Synapse Studio
Доступ к Synapse Studio
Вы можете открыть Synapse Studio и просмотреть сведения о рабочей области и вывести список ее ресурсов Azure, таких как пулы SQL, пулы Spark или среды выполнения интеграции. Вы можете узнать, назначена ли вам какая-либо роль Synapse RBAC или роль владельца Azure, участника или читателя в рабочей области.
Управление ресурсами
Пулы SQL, пулы Data Explorer и пулы Apache Spark можно создать, если вы являетесь владельцем Или участником Azure в группе ресурсов. Вы можете создать среду выполнения интеграции, если вы являетесь владельцем Или участником Azure в рабочей области. При использовании шаблонов ARM для автоматического развертывания необходимо быть участником Azure в группе ресурсов.
Вы можете приостанавливать или масштабировать выделенный пул SQL, а также настраивать пул Spark или среду выполнения интеграции, если являетесь владельцем или участником Azure рабочей области или соответствующего ресурса.
Просмотр и изменение артефактов кода
Доступ к Synapse Studio позволяет создавать артефакты кода, такие как скрипты SQL, скрипты KQL, записные книжки, задания Spark, связанные службы, конвейеры, потоки данных, триггеры и учетные данные. При наличии дополнительных разрешений эти артефакты можно также публиковать или сохранять.
Вы можете перечислить, открыть и изменить уже опубликованные артефакты кода, включая запланированные конвейеры, если вы являетесь пользователем Synapse Artifact, издателем Synapse Artifact, Synapse Участником или администратором Synapse.
Выполнение кода
Вы можете выполнять сценарии SQL в пулах SQL, если у вас есть необходимые разрешения SQL, определенные в этих пулах. Вы можете выполнять сценарии KQL в пулах Data Explorer, если у вас есть необходимые разрешения.
Вы можете запускать записные книжки и задания Spark, если у вас есть разрешения оператора вычислительной среды Synapse для данной рабочей области или конкретных пулов Apache Spark.
С разрешениями оператора вычислений в рабочей области или определенных средах выполнения интеграции и соответствующими разрешениями учетных данных можно выполнять конвейеры.
Мониторинг выполнения и управление им
Вы можете проверять состояние выполнения записных книжек и заданий в пулах Apache Spark, если являетесь пользователем Synapse.
Вы можете просматривать журналы и отменять выполнение заданий и конвейеров, если вы являетесь оператором вычислений Synapse в рабочей области или для определенного пула Spark или конвейера.
Отладка конвейеров
Вы можете просматривать и вносить изменения в конвейеры в качестве пользователя Synapse. Если вы хотите иметь возможность отладки конвейеров, необходимо также иметь пользователя Учетных данных Synapse.
Публикация и сохранение кода
Вы можете публиковать в службе новые или измененные артефакты кода, если являетесь издателем артефактов Synapse, участником Synapse или администратором Synapse.
Вы можете фиксировать артефакты кода в рабочей ветви репозитория Git, если в рабочей области включена поддержка Git и у вас есть разрешения Git. При включенной поддержке Git публикация разрешена только из ветви совместной работы.
При закрытии Synapse Studio без публикации или фиксации изменений в артефактах кода эти изменения будут потеряны.
Задачи и необходимые роли
В следующей таблице перечислены распространенные задачи и роли Synapse RBAC или Azure RBAC, необходимые для каждой задачи.
Примечание.
Администратор Synapse не указан для каждой задачи, если только это единственная роль, предоставляющая необходимые разрешения. Администратор Synapse может выполнять все задачи, которые разрешено выполнять в других ролях Synapse RBAC.
Примечание.
Гостевые пользователи из другого клиента также могут просматривать, добавлять или изменять назначения ролей, если им назначена роль администратора Synapse.
Указана минимально необходимая роль RBAC Synapse. Все роли RBAC Synapse в любой области предоставляют разрешения пользователя Synapse в рабочей области.
Все разрешения и действия Synapse RBAC, показанные в таблице, префиксируются Microsoft/Synapse/workspaces/....
| Задача (что нужно сделать) | Роль (кем необходимо быть) | Разрешение или действие RBAC Synapse |
|---|---|---|
| Открытие Synapse Studio в рабочей области | Пользователь Synapse или владелец Azure или участник или читатель в рабочей области |
чтение нет |
| Получение списка пулов SQL, пулов Data Explorer, пулов Apache Spark или сред выполнения интеграции и доступ к сведениям об их конфигурации | Пользователь Synapse или владелец Azure или участник или читатель в рабочей области |
чтение нет |
| Получение списка связанных служб, учетных данных или управляемых частных конечных точек | Пользователь Synapse | чтение |
| Пулы SQL | ||
| Создание выделенного или бессерверного пула SQL | Владелец Или участник Azure в группе ресурсов | ничего |
| Управление выделенным пулом SQL (приостановка, масштабирование или удаление) | Владелец или участник Azure в пуле SQL или рабочей области | ничего |
| Создание скрипта SQL |
Для выполнения скрипта SQL, публикации или фиксации изменений требуются пользователи Synapse или владелец Azure или участник рабочей области Дополнительные разрешения SQL |
|
| Получение списка опубликованных сценариев SQL и открытие любого из них | Пользователь артефакта Synapse, издатель артефакта или участник Synapse | artifacts/read |
| Выполнение сценария SQL в бессерверном пуле SQL | Разрешения SQL для пула (автоматически предоставляются администратору Synapse) | ничего |
| Выполнение сценария SQL в выделенном пуле SQL | Разрешения SQL для пула (автоматически предоставляются администратору Synapse) | ничего |
| Публикация нового сценария SQL, обновление или удаление существующего сценария SQL | Издатель артефакта Synapse или участник Synapse | sqlScripts/write, delete |
| Фиксация изменений в сценарии SQL в репозитории Git | Необходимы разрешения Git на репозиторий | |
| Назначение администратора Active Directory в рабочей области (с помощью свойств рабочей области на портале Azure) | Владелец или участник Azure в рабочей области | |
| ПУЛЫ DATA EXPLORER | ||
| Создание пула Data Explorer | Владелец Или участник Azure в группе ресурсов | ничего |
| Управление пулом Data Explorer (приостановка, масштабирование или удаление) | Владелец или участник Azure в пуле SQL или рабочей области | ничего |
| Создание сценария KQL | Разрешения Synapse User Additional Data Explorer необходимы для запуска скрипта, публикации или фиксации изменений. |
|
| Получение списка опубликованных сценариев KQL и открытие любого из них | Пользователь артефакта Synapse, издатель артефакта или участник Synapse | artifacts/read |
| Выполнение сценария KQL в пуле Data Explorer | Разрешения Data Explorer для пула (автоматически предоставляются администратору Synapse) | ничего |
| Публикация нового сценария KQL, обновление или удаление существующего сценария KQL | Издатель артефакта Synapse или участник Synapse | kqlScripts/write, delete |
| Фиксация изменений в сценарии KQL в репозитории Git | Необходимы разрешения Git на репозиторий | |
| Пулы Apache Spark | ||
| Создание пула Apache Spark | Владелец Или участник Azure в группе ресурсов | |
| Мониторинг приложений Apache Spark | Пользователь Synapse | Читать |
| Просмотр журналов для завершенной записной книжки и выполнения заданий | Оператор мониторинга Synapse | |
| Отмена любой записной книжки или задания Spark, выполняющихся в пуле Apache Spark | Оператор вычислений Synapse в пуле Apache Spark | bigDataPools/useCompute |
| Создание определения записной книжки или задания | Для выполнения, публикации или фиксации изменений в рабочей области требуются дополнительные разрешения пользователя Synapse или владельца Azure или читателя в рабочей области |
чтение |
| Получение списка определений опубликованных записных книжек или заданий, а также их открытие, включая просмотр сохраненных выходных данных | Пользователь артефакта Synapse или оператор мониторинга Synapse в рабочей области | artifacts/read |
| Выполнение записной книжки и просмотр ее выходных данных или отправка задания Spark | Администратор Synapse Apache Spark или оператор вычислительной среды Synapse в выбранном пуле Apache Spark | bigDataPools/useCompute |
| Публикация или удаление определения записной книжки или задания (включая выходные данные) в службе | Издатель артефакта в рабочей области или администратор Synapse Apache Spark | notebooks/write, delete |
| Фиксация изменений в определении записной книжки или задания в репозитории Git | Разрешения Git | ничего |
| Конвейеры, среды выполнения интеграции, потоки данных, наборы данных и триггеры | ||
| Создание, обновление или удаление среды выполнения интеграции | Владелец или участник Azure в рабочей области | |
| Мониторинг состояния среды выполнения интеграции | Оператор мониторинга Synapse | read, integrationRuntimes/viewLogs |
| Просмотр выполнения конвейера | Оператор мониторинга Synapse | read, pipelines/viewOutputs |
| Создание конвейера | Пользователь Synapse Для отладки, добавления триггеров, публикации или фиксации изменений требуются дополнительные разрешения Synapse |
чтение |
| Создание потока данных или набора данных | Пользователь Synapse Для публикации или фиксации изменений требуются дополнительные разрешения Synapse |
чтение |
| Получение списка опубликованных конвейеров и открытие опубликованного конвейера | Пользователь артефакта Synapse или оператор мониторинга Synapse | artifacts/read |
| Предварительный просмотр содержимого набора данных | Пользователь Synapse и пользователь учетных данных Synapse в отношении системного удостоверения рабочей области | |
| Отладка конвейера с помощью среды выполнения интеграции по умолчанию | Пользователь Synapse и пользователь учетных данных Synapse в отношении системного удостоверения рабочей области | read, credentials/useSecret |
| Создание триггера, включая Trigger Now (необходимо разрешение на выполнение конвейера) | Пользователь Synapse и пользователь учетных данных Synapse в отношении системного удостоверения рабочей области | read, credentials/useSecret/action |
| Выполнение или запуск конвейера | Пользователь Synapse и пользователь учетных данных Synapse в отношении системного удостоверения рабочей области | read, credentials/useSecret/action |
| Копирование данных с помощью средства копирования данных | Пользователь Synapse и пользователь учетных данных Synapse в отношении системного удостоверения рабочей области | read, credentials/useSecret/action |
| Прием данных (по расписанию) | Автор Synapse и пользователь учетных данных Synapse в отношении системного удостоверения рабочей области | read, credentials/useSecret/action |
| Публикация нового, обновление или удаление имеющегося конвейера, потока данных или триггера в службе | Издатель артефакта Synapse в рабочей области | pipelines/write, delete dataflows/write, delete triggers/write, delete |
| Фиксация изменений в конвейерах, потоках данных, наборах данных или триггерах в репозитории Git | Разрешения Git | ничего |
| СВЯЗАННЫЕ СЛУЖБЫ | ||
| Создание связанной службы (включая назначение учетных данных) | Пользователь Synapse Для использования связанной службы с учетными данными, а также для публикации или фиксации изменений необходимы дополнительные разрешения |
чтение |
| Вывод списка опубликованных связанных служб и открытие опубликованной связанной службы | Пользователь артефакта Synapse | linkedServices/write, delete |
| Проверка подключения к связанной службе, защищенной с помощью учетных данных | Пользователь Synapse и пользователь учетных данных Synapse | credentials/useSecret/action |
| Публикация связанной службы | Издатель артефакта Synapse или диспетчер связанных данных Synapse | linkedServices/write, delete |
| Фиксация определений связанных служб в репозитории Git | Разрешения Git | ничего |
| УПРАВЛЕНИЕ ДОСТУПОМ | ||
| Просмотр назначения ролей RBAC Synapse в любой области действия | Пользователь Synapse | чтение |
| Назначение и удаление назначений ролей RBAC Synapse для пользователей, групп и субъектов-служб | Администратор Synapse в рабочей области или в области действия определенного элемента рабочей области | roleAssignments/write, delete |