Synapse RBAC (rollbaserad åtkomstkontroll) roller
Artikeln beskriver de inbyggda RBAC-rollerna (rollbaserad åtkomstkontroll) i Synapse, de behörigheter de ger och de omfång där de kan användas.
Mer information om hur du granskar och tilldelar Synapse-rollmedlemskap finns i så här granskar du rolltilldelningar för Synapse RBAC och hur du tilldelar Synapse RBAC-roller.
Inbyggda Synapse RBAC-roller och omfång
I följande tabell beskrivs de inbyggda rollerna och de omfång där de kan användas.
Anteckning
Användare med en Synapse RBAC-roll i valfritt omfång har Synapse-användarrollen automatiskt på arbetsyteomfånget.
Viktigt!
Synapse RBAC-roller beviljar inte behörighet att skapa eller hantera SQL-pooler, Apache Spark-pooler och integrationskörningar på Azure Synapse-arbetsytor. Azure-ägar- eller Azure-deltagarroller i resursgruppen krävs för dessa åtgärder.
| Roll | Behörigheter | Omfattning |
|---|---|---|
| Synapse-administratör | Fullständig Synapse-åtkomst till serverlösa och dedikerade SQL-pooler, Data Explorer-pooler, Apache Spark-pooler och integrationskörningar. Åtkomst till att skapa, läsa, uppdatera och ta bort alla publicerade kodartefakter. Inkluderar behörigheter för beräkningsoperator, länkad datahanterare och användarbehörigheter för autentiseringsuppgifter på arbetsytans systemidentitet. Inkluderar tilldelning av Synapse RBAC-roller. Utöver Synapse-administratören kan Azure-ägare även tilldela Synapse RBAC-roller. Azure-behörigheter krävs för att skapa, ta bort och hantera beräkningsresurser. Synapse RBAC-roller kan tilldelas även när den associerade prenumerationen är inaktiverad. Kan läsa och skriva artefakter Kan utföra alla åtgärder på Spark-aktiviteter. Kan visa Spark-poolloggar Kan visa sparade notebook-filer och pipelineutdata Kan använda hemligheter som lagras av länkade tjänster eller autentiseringsuppgifter Kan tilldela och återkalla Synapse RBAC-roller i det aktuella omfånget |
Arbetsyta Spark-pool Integrationsmiljö Länkad tjänst Autentiseringsuppgift |
| Synapse Apache Spark-administratör |
Fullständig Synapse-åtkomst till Apache Spark-pooler. Skapa, läsa, uppdatera och ta bort åtkomst till publicerade Spark-jobbdefinitioner, notebook-filer och deras utdata samt till bibliotek, länkade tjänster och autentiseringsuppgifter. Innehåller läsåtkomst till alla andra publicerade kodartefakter. Innehåller inte behörighet att använda autentiseringsuppgifter och köra pipelines. Omfattar inte beviljande av åtkomst.
Kan utföra alla åtgärder på Spark-artefakter Kan utföra alla åtgärder på Spark-aktiviteter |
Arbetsyta Spark-pool |
| Synapse SQL-administratör | Fullständig Synapse-åtkomst till serverlösa SQL-pooler. Skapa, läsa, uppdatera och ta bort åtkomst till publicerade SQL-skript, autentiseringsuppgifter och länkade tjänster. Innehåller läsåtkomst till alla andra publicerade kodartefakter. Innehåller inte behörighet att använda autentiseringsuppgifter och köra pipelines. Omfattar inte beviljande av åtkomst.
Kan utföra alla åtgärder på SQL-skript Kan ansluta till serverlösa SQL-slutpunkter med SQL db_datareader- , db_datawriter, connectoch grant -behörigheter |
Arbetsyta |
| Synapse-deltagare | Fullständig Synapse-åtkomst till Apache Spark-pooler och integrationskörningar. Innehåller åtkomst för att skapa, läsa, uppdatera och ta bort alla publicerade kodartefakter och deras utdata, inklusive schemalagda pipelines, autentiseringsuppgifter och länkade tjänster. Innehåller behörigheter för beräkningsoperatorer. Innehåller inte behörighet att använda autentiseringsuppgifter och köra pipelines. Omfattar inte beviljande av åtkomst.
Kan läsa och skriva artefakter Kan visa sparade notebook-filer och pipelineutdata Kan utföra alla åtgärder på Spark-aktiviteter Kan visa Spark-poolloggar |
Arbetsyta Spark-pool integrationskörningstid |
| Synapse Artifact Publisher | Skapa, läsa, uppdatera och ta bort tillgång till publicerade kodobjekt och deras resultat, inklusive schemalagda pipelines. Innehåller inte behörighet att köra kod eller pipelines eller att bevilja åtkomst.
Kan läsa publicerade artefakter och publicera artefakter Kan visa sparade notebook-filer, Spark-jobb och pipelineutdata |
Arbetsyta |
| Användare av Synapse-artifakt | Läsåtkomst till publicerade kodartefakter och deras utdata. Kan skapa nya artefakter men kan inte publicera ändringar eller köra kod utan fler behörigheter. | Arbetsyta |
| Synapse Beräkningsoperator | Skicka Spark-jobb och notebook-filer och visa loggar. Inkluderar att avbryta Spark-jobb som skickas av alla användare. Kräver andra behörigheter för att använda autentiseringsuppgifter på arbetsytans systemidentitet för att köra pipelines, visa pipelinekörningar och utdata.
Kan skicka och avbryta jobb, inklusive jobb som skickats av andra Kan visa Spark-poolloggar |
Arbetsyta Spark-pool Integreringskörning |
| Synapse-övervakningsoperator | Läs publicerade kodartefakter, inklusive loggar och utdata för pipelinekörningar och slutförda anteckningsblock. Innehåller möjligheten att visa information om Apache Spark-pooler, Data Explorer-pooler och integrationskörningar. Kräver ytterligare behörigheter för att köra/avbryta pipelines, Spark-notebook-filer och Spark-jobb. | Arbetsyta |
| Synapse Credential-användare | Körnings- och konfigurationstidsanvändning av hemligheter inom autentiseringsuppgifter och länkade tjänster i aktiviteter som pipelinekörningar. För att köra pipelines krävs den här rollen, begränsad till arbetsytans systemidentitet.
Begränsad till en autentiseringsuppgift tillåter åtkomst till data via en länkad tjänst som skyddas av autentiseringsuppgifterna (kan också kräva beräkningsanvändningsbehörighet) Tillåter körning av pipelines som skyddas av arbetsytans systemidentitetsautentiseringsuppgifter |
Autentiseringsuppgifter för länkad arbetsyta |
| Synapse Länkad Datahanterare | Skapa och hantera hanterade privata slutpunkter, länkade tjänster och autentiseringsuppgifter. Kan skapa hanterade privata slutpunkter som använder länkade tjänster som skyddas av autentiseringsuppgifter | Arbetsyta |
| Synapse-användare | Visa information om SQL-pooler, Apache Spark-pooler, integrationskörningar och publicerade länkade tjänster och autentiseringsuppgifter. Innehåller inte andra publicerade kodartefakter. Kan skapa nya artefakter men kan inte köra eller publicera utan fler behörigheter.
Kan lista och få åtkomst till Spark-pooler, integrationskörningar. |
Arbetsyta Länkad tjänst Autentiseringsuppgifter för Spark-pool |
Synapse RBAC-roller och de åtgärder som de tillåter
Kommentar
- Alla åtgärder som anges i tabellerna nedan är prefixet "Microsoft.Synapse/..."
- Alla åtgärder för artefaktläsning, skrivning och borttagning gäller publicerade artefakter i livetjänsten. Dessa behörigheter påverkar inte åtkomsten till artefakter i en ansluten Git-lagringsplats.
I följande tabell visas de inbyggda rollerna och de åtgärder/behörigheter som varje användare har stöd för.
| Roll | Åtgärder |
|---|---|
| Synapse-administratör | arbetsytor/läs arbetsytor/rolltilldelningar/skriv, ta bort arbetsytor/hanteradPrivatSlutpunkt/skriv, ta bort arbetsytor/storDataPool/användBeräkning/åtgärd arbetsytor/storDataPool/visaLoggar/åtgärd arbetsytor/scopePool/användBeräkning/åtgärd arbetsytor/scopePool/visaLoggar/åtgärd arbetsytor/integrationsKörtid/användBeräkning/åtgärd arbetsytor/integrationsKörtid/visaLoggar/åtgärd arbetsytor/artifakter/läs arbetsytor/anteckningsböcker/skriv arbetsytor/sparkJobbdefinitioner/skriv, ta bort arbetsytor/scopeJobbDefinitioner/skriv, ta bort arbetsytor/sqlSkript/skriv, ta bort arbetsytor/dataflöden/skriv, ta bort arbetsytor/datamappningar/skriv, ta bort arbetsytor/pipelines/skriv, ta bort arbetsytor/utlösare/skriv, ta bort arbetsytor/datauppsättningar/skriv, ta bort arbetsytor/länkadeTjänster/skriv, ta bort arbetsytor/autentiseringsuppgifter/skriv, ta bort arbetsytor/anteckningsböcker/ta bort arbetsytor/annulleraPipelineKörning/åtgärd arbetsytor/visaAnteckningsböckerUtdata/åtgärd arbetsytor/visaPipelinesUtdata/åtgärd arbetsytor/användLänkadeTjänsterHemlig/åtgärd arbetsytor/användAutentiseringsuppgifterHemlig/åtgärd arbetsytor/bibliotek/skriv, ta bort arbetsytor/kQLSkript/skriv, ta bort arbetsytor/sparkKonfigurationer/skriv, ta bort arbetsytor/synapseLänkAnslutningar/läs, skriv, ta bort arbetsytor/synapseLänkAnslutningar/användBeräkning/åtgärd |
| Synapse Apache Spark-administratör | workspaces/read orkspaces/bigDataPoolUseCompute/action orkspaces/bigDataPoolViewLogs/action orkspaces/artifacts/read orkspaces/notebooks/write, delete orkspaces/sparkJobDefinitions/write, delete orkspaces/linkedServices/write, delete orkspaces/credentials/write, delete orkspaces/libraries/write, delete orkspaces/notebooksViewOutputs/action |
| Synapse SQL-administratör | arbetsytor/läs arbetsytor/artefakter/läs arbetsytor/sqlScripts/skriva, ta bort arbetsytor/linkedServices/skriva, ta bort arbetsytor/autentiseringsuppgifter/skriva, ta bort |
| Synapse-omfångsadministratör | workspaces/read workspaces/scopePoolUseCompute/action workspaces/scopePoolViewLogs/action workspaces/linkedServices/write, delete workspaces/credentials/write, delete workspaces/scopeJobDefinitions/write, delete |
| Synapse Private Endpoint Manager | arbetsytor/läs arbetsytor/hanteradPrivatSlutpunkt/skriv, ta bort arbetsytor/länkadeTjänster/skriv, ta bort arbetsytor/uppgifter/skriv, ta bort |
| Synapse-deltagare | arbetsytor/läsa arbetsytor/bigDataPool/användBeräkning/åtgärd arbetsytor/bigDataPool/visaLoggar/åtgärd arbetsytor/scopePool/användBeräkning/åtgärd arbetsytor/scopePool/visaLoggar/åtgärd arbetsytor/integrationRuntime/användBeräkning/åtgärd arbetsytor/integrationRuntime/visaLoggar/åtgärd arbetsytor/artefakter/läsa arbetsytor/anteckningsböcker/skriva, ta bort arbetsytor/sparkJobDefinitions/skriva, ta bort arbetsytor/sqlScripts/skriva, ta bort arbetsytor/dataflöden/skriva, ta bort arbetsytor/datamappare/skriva, ta bort arbetsytor/pipelines/skriva, ta bort arbetsytor/utlösare/skriva, ta bort arbetsytor/dataset/skriva, ta bort arbetsytor/länkadeTjänster/skriva, ta bort arbetsytor/behörigheter/skriva, ta bort arbetsytor/avbrytPipelineRun/åtgärd arbetsytor/anteckningsböckerVisaUtdata/åtgärd arbetsytor/pipelinesVisaUtdata/åtgärd arbetsytor/bibliotek/skriva, ta bort arbetsytor/kQLScripts/skriva, ta bort arbetsytor/sparkKonfigurationer/skriva, ta bort arbetsytor/synapseLinkAnslutningar/läsa, skriva, ta bort arbetsytor/synapseLinkAnslutningar/användBeräkningÅtgärd |
| Synapse Artifact Publisher | arbetsytor/läs arbetsytor/artefakter/läs arbetsytor/notebook-filer/skriv, ta bort arbetsytor/sparkJobDefinitions/skriv, ta bort arbetsytor/scopeJobDefinitions/skriv, ta bort arbetsytor/sqlScripts/skriv, ta bort arbetsytor/dataFlows/skriv, ta bort arbetsytor/dataMappers/skriv, ta bort arbetsytor/pipelines/skriv, ta bort arbetsytor/triggers/skriv, ta bort arbetsytor/datasets/skriv, ta bort arbetsytor/linkedServices/skriv, ta bort arbetsytor/uppgifter/skriv, ta bort arbetsytor/notebooksViewOutputs/åtgärd arbetsytor/pipelinesViewOutputs/åtgärd arbetsytor/bibliotek/skriv, ta bort arbetsytor/kQLScripts/skriv, ta bort arbetsytor/sparkConfigurations/skriv, ta bort |
| Synapse Artifaktanvändare | arbetsytor/läs arbetsytor/artifakter/läs arbetsytor/anteckningsböcker/visaUtdatan/åtgärd arbetsytor/pipelines/visaUtdatan/åtgärd |
| Synapse Beräkningsoperatör | workspaces/read workspaces/bigDataPools/useCompute/action workspaces/bigDataPools/viewLogs/action workspaces/scopePool/useCompute/action workspaces/scopePool/viewLogs/action workspaces/integrationRuntimes/useCompute/action workspaces/integrationRuntimes/viewLogs/action workspaces/cancelPipelineRun/action workspaces/linkConnections/read workspaces/linkConnections/useCompute/action |
| Synapse-övervakningsoperator | arbetsytor/läsa arbetsytor/artefakter/läsa arbetsytor/anteckningsböcker/viewOutputs/action arbetsytor/pipelines/viewOutputs/action arbetsytor/integrationRuntimes/viewLogs/action arbetsytor/bigDataPools/viewLogs/action |
| Synapse Credential-användare | arbetsytor/läs arbetsytor/linkedServices/useSecret/action arbetsytor/kredentialer/useSecret/action |
| Synapse Linked Data Manager | workspaces/read workspaces/managedPrivateEndpoint/skriv, ta bort workspaces/linkedServices/skriv, ta bort workspaces/credentials/skriv, ta bort |
| Synapse-användare | arbetsutrymmen/läsa |
Synapse RBAC-åtgärder och de roller som tillåter dem
I följande tabell visas Synapse-åtgärder och inbyggda roller som tillåter dessa åtgärder:
| Åtgärd | Roll |
|---|---|
| arbetsytor/läsning | Synapse Administratör Synapse Apache Spark-administratör Synapse SQL-administratör Synapse Medverkare Synapse Artefaktutgivare Synapse Artefaktanvändare Synapse Beräkningsoperatör Synapse Övervakningsoperatör Synapse Credentials-användare Synapse Länkade Data-chef Synapse Användare |
| arbetsytor/rolltilldelningar/skriv, ta bort | Synapse-administratör |
| arbetsytor/hanteradPrivatSlutpunkt/skriv, ta bort | Synapse-administratör Synapse-länkad datamästare |
| arbetsytor/storaDatasjoklar/användBeräkning/åtgärd | Synapse Administratör Synapse Apache Spark Administratör Synapse Bidragsgivare Synapse Beräkningsoperatör Synapse Övervakningsoperatör |
| arbetsytor/bigDataPools/viewLogs/action | Synapse-administratör Synapse Apache Spark-administratör Synapse-konstributör Synapse Compute-operatör |
| workspaces/integrationRuntimes/useCompute/action | Synapse Administrator Synapse-deltagare Synapse-beräkningsoperatör Synapse-övervakningsoperatör |
| arbetsytor/integrationskörtider/visaLoggar/åtgärd | Synapse Administrator Synapse-deltagare Synapse Compute-operatör Synapse Monitoring-operatör |
| arbetsytor/länkanslutningar/läs | Synapse-administratör Synapse-deltagare Synapse-beräkningsoperatör |
| workspaces/linkConnections/useCompute/action | Synapse-administratör Synapse-deltagare Synapse-beräkningsoperatör |
| arbetsytor/artefakter/läsning | Synapse Administrator Synapse Apache Spark Administrator Synapse SQL Administrator Synapse Contributor Synapse Artifact Publisher Synapse Artifact User |
| arbetsytor/anteckningsböcker/skriv, ta bort | Synapse Administrator Synapse Apache Spark Administrator Synapse Contributor Synapse Artifact Publisher |
| arbetsytor/sparkJobDefinitions/skriv, ta bort | Synapse Administrator Synapse Apache Spark Administrator Synapse Contributor Synapse Artifact Publisher |
| arbetsytor/sqlScripts/skriva, ta bort | Synapse Administrator Synapse SQL Administrator Synapse Contributor Synapse Artifact Publisher |
| arbetsytor/kqlScripts/skriv, ta bort | Synapse Administrator Synapse Contributor Synapse Artifact Publisher |
| arbetsytor/dataflöden/skriv, radera | Synapse Administrator Synapse Contributor Synapse Artifact Publisher |
| arbetsytor/pipelines/skriva, ta bort | Synapse Administrator Synapse Contributor Synapse Artifact Publisher |
| arbetsytor/länkförbindelser/skriv, ta bort | Synapse Administrator Synapse-deltagare |
| arbetsytor/utlösare/skriva, ta bort | Synapse Administrator Synapse Contributor Synapse Artifact Publisher |
| arbetsytor/datauppsättningar/skriv, radera | Synapse Administrator Synapse Contributor Synapse Artifact Publisher |
| arbetsytor/bibliotek/skriv, ta bort | Synapse Administrator Synapse Apache Spark Administrator Synapse Contributor Synapse Artifact Publisher |
| arbetsytor/länkadeTjänster/skriv, ta bort | Synapse Administrator Synapse Apache Spark Administrator Synapse SQL Administrator Synapse Contributor Synapse Artifact Publisher Synapse Linked Data Manager |
| arbetsytor/inloggningsuppgifter/skriv, ta bort | Synapse Administrator Synapse Apache Spark Administrator Synapse SQL Administrator Synapse Contributor Synapse Artifact Publisher Synapse Linked Data Manager |
| arbetsytor/anteckningsböcker/visaUtdata/åtgärd | Synapse Administrator Synapse Apache Spark Administrator Synapse Contributor Synapse Artifact Publisher Synapse Artifact User |
| arbetsytor/rörledningar/vyUtmatningar/åtgärd | Synapse Administrator Synapse-medverkande Synapse Artefaktpublicerare Synapse Artefaktanvändare |
| arbetsytor/länkadeTjänster/användHemlighet/åtgärd | Synapse-administratör Synapse-behörighetsanvändare |
| arbetsytor/autentiseringsuppgifter/användHemlighet/åtgärd | Synapse-administratör Synapse-behörighetsanvändare |
Synapse RBAC-omfång och de roller som stöds
Tabellen nedan visar Synapse RBAC-omfång och de roller som kan tilldelas i varje omfång.
Kommentar
Om du vill skapa eller ta bort ett objekt måste du ha behörigheter på en högre nivå.
| Omfattning | Roller |
|---|---|
| Arbetsyta | Synapse Administratör Synapse Apache Spark Administratör Synapse SQL Administratör Synapse Medverkan Synapse Artefaktpublicerare Synapse Artefaktanvändare Synapse Beräkningsoperatör Synapse Övervakningsoperatör Synapse Certifikatanvändare Synapse Länkad Data Manager Synapse Användare |
| Apache Spark-pool | Synapse-administratör Synapse-deltagare Synapse-beräkningsoperatör |
| Integreringskörningstid | Synapse Administrator Synapse-deltagare Synapse beräkningsoperatör |
| Länkad tjänst | Synapse-administratör Synapse Credential-användare |
| Kvalifikation | Synapse Administratör Synapse Behörighetsanvändare |
Kommentar
Alla artefaktroller och åtgärder är begränsade till arbetsplatsnivå.
Nästa steg
- Lär dig hur du granskar RBAC-rolltilldelningar för Synapse för en arbetsyta.
- Lär dig hur du tilldelar Synapse RBAC-roller