Роли и разрешения для Azure Data Factory

ПРИМЕНИМО К: Azure Data Factory Azure Synapse Analytics

Большинство ролей, необходимых для Azure Data Factory, являются частью стандартных Microsoft Entra встроенных ролей: владелец, участник, читатель и т. д.

Хотя существует одна специальная роль Azure Data Factory: Data Factory Contributor

В этой статье объясняется, какие разрешения необходимы для выполнения действий в Azure Data Factory, какие возможности имеет роль Участник Data Factory, а также как настроить доступы.

Разрешения на создание экземпляров фабрики данных

To create Data Factory instances, учетная запись пользователя, используемая для входа в Azure, должна быть членом роли contributor, owner или administrator подписки Azure.

Чтобы просмотреть разрешения, которые есть в подписке, на портале Azure выберите имя пользователя в правом верхнем углу и выберите Ми разрешения. Если у вас есть доступ к нескольким подпискам, выберите соответствующую подписку.

Разрешения на создание ресурсов и управление ими в фабрике данных

• Чтобы создавать и управлять дочерними ресурсами в портале Data Factory - включая наборы данных, связанные службы, конвейеры, триггеры и среды выполнения интеграции, вам нужны разрешения Data Factory Contributor ИЛИ Microsoft Entra ID Contributor на уровне Resource Group или выше.

  Note

  Если вы уже назначили роль Участник на уровне Группа ресурсов или выше, роль Участник фабрики данных не обязательна. Роль участника — это роль суперустановки, которая включает все разрешения роли участника фабрики данных.

Разрешения на управление правами в Data Factory

Чтобы предоставить этому доступ другим пользователям, вам потребуются разрешения участника фабрики данных в группе ресурсов , содержащей фабрику данных.

Объем роли сотрудника Фабрики данных

Участники Фабрики данных могут выполнять следующие действия:

• Создайте, редактируйте и удаляйте фабрики данных и дочерние ресурсы, включая наборы данных, подключенные службы, конвейеры, триггеры и среды выполнения интеграции.
• Развертывание шаблонов Resource Manager. Развертывание с помощью Resource Manager — это метод развертывания, используемый Data Factory на портале Azure.
• Управление оповещениями службы App Insights для фабрики данных.
• Создание запросов в службу поддержки.

Дополнительные сведения об этой роли см. в разделе Участник Фабрики данных.

развертывание шаблона Resource Manager

Роль Сотрудник фабрики данных на уровне группы ресурсов или выше позволяет пользователям развертывать шаблоны Resource Manager. В результате участники роли могут использовать шаблоны Resource Manager для развертывания как фабрик данных, так и их дочерних ресурсов, включая наборы данных, связанные службы, конвейеры, триггеры и среды выполнения интеграции. Но участники этой роли не могут создавать другие ресурсы.

Разрешения на Azure Repos и GitHub не зависят от разрешений фабрики данных. Таким образом, пользователь с разрешениями участника роли "Читатель" в репозитории может изменять дочерние ресурсы Фабрики данных и фиксировать изменения в репозитории, но не публиковать эти изменения.

В контексте публикации разрешение Microsoft.DataFactory/factories/write применяется к следующим режимам.

• Это разрешение требуется только в динамическом режиме, когда клиент изменяет глобальные параметры.
• Для режима Git это разрешение всегда требуется, так как каждый раз после публикации заказчиком необходимо обновлять объект фабрики с последним идентификатором коммита.

Пользовательские сценарии и пользовательские роли

Иногда необходимо предоставить различные уровни доступа для пользователей фабрики данных. Рассмотрим пример.

• Вам может потребоваться группа, в которой пользователи имеют полномочия только на определенное хранилище данных.
• Вам также может понадобиться группа, в которой пользователи могут только отслеживать одну или несколько фабрик данных, но не могут их изменить.

Для реализации этих пользовательских сценариев можно создать пользовательские роли и назначить их пользователям. Дополнительные сведения о пользовательских ролях см. в разделе Пользовательские роли в Azure.

Ниже приведено несколько примеров, демонстрирующих, чего можно добиться с помощью пользовательских ролей:

• Позвольте пользователю создавать, изменять или удалять любые фабрики данных в группе ресурсов на портале Azure.

  Назначьте для пользователя встроенную роль участника Фабрики данных на уровне группы ресурсов. Если вы хотите предоставить доступ к любому хранилищу данных в подписке, назначьте роль на уровне подписки.

• Разрешите пользователю просматривать (читать) и отслеживать фабрику данных, но не редактировать или изменять ее.

  Назначьте для пользователя встроенную роль Читатель в ресурсе фабрики данных.

• Позвольте пользователю редактировать одну фабрику данных на портале Azure.

  В этом сценарии требуется два назначения ролей.

  1. Назначьте встроенную роль Contributor на уровне фабрики данных.
  2. Создайте пользовательскую роль с разрешением Microsoft.Resources/deployments/. Назначьте эту пользовательскую роль для пользователя на уровне группы ресурсов.

• Разрешить пользователю тестировать подключение в связанной службе или просматривать данные в наборе данных.

  Создайте пользовательскую роль с разрешениями для следующих действий: Microsoft. DataFactory/factories/getFeatureValue/read и Microsoft. DataFactory/factories/getDataPlaneAccess/action. Назначьте пользователю эту роль для выполнения действий с ресурсом фабрики данных.

• Разрешите пользователю обновлять хранилище данных из PowerShell или пакета SDK, но не на портале Azure.

  Назначьте для пользователя встроенную роль Участник ресурса Data Factory. Эта роль позволяет пользователю просматривать ресурсы на портале Azure, но пользователь не может получить доступ к кнопкам Publish и Publish All.

Назначение ролей Microsoft Entra ID

Примеры инструкций по добавлению пользователя в роль Microsoft Entra ID см. в статье Add role.

Связанный контент

• Дополнительные сведения о ролях в Azure — понять определения ролей
• Дополнительные сведения о роли участника Фабрики данных см. в этом разделе.