Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В статье описываются встроенные роли Synapse RBAC (управление доступом на основе ролей), предоставленные им разрешения и области, в которых они могут использоваться.
Для получения дополнительной информации о проверке назначений ролей Synapse и их присвоении см. статьи «Как проверить назначения ролей Synapse RBAC» и «Как назначить роли Synapse RBAC».
Встроенные роли и области применения RBAC Synapse
В следующей таблице описываются встроенные роли и области, с которыми они могут использоваться.
Замечание
Пользователи с любой ролью Synapse RBAC в любой области автоматически имеют роль Synapse User в пределах рабочей области.
Это важно
Роли RBAC Synapse не предоставляют разрешений для создания или управления пулами SQL, пулами Apache Spark и средами выполнения интеграции в рабочих областях Azure Synapse. Для этих действий требуются роли владельца Azure или участника Azure в группе ресурсов.
| Должность | Разрешения | Области применения |
|---|---|---|
| Администратор Synapse | Полный доступ Synapse к бессерверным и выделенным пулам SQL, пулам Data Explorer, пулам Apache Spark и средам выполнения интеграции. Включает создание, чтение, обновление и удаление доступа ко всем опубликованным артефактам кода. Включает разрешения на оператора вычислительных ресурсов, диспетчера связанных данных и пользователя учетных данных для системных учетных данных рабочего пространства. Включает назначение ролей Synapse RBAC. Помимо администратора Synapse владельцы Azure также могут назначать роли Synapse RBAC. Разрешения Azure необходимы для создания, удаления и управления вычислительными ресурсами. Роли RBAC Synapse можно назначать, даже если связанная подписка отключена. Может читать и записывать артефакты Может выполнять все действия, связанные с активностями Spark. Можно просматривать журналы пула Spark. Можно просматривать сохраненные записные книжки и выходные данные конвейера. Можно использовать секреты, хранящиеся связанными службами или учетными данными. Можно назначать и отзывать роли Synapse RBAC в текущей области. |
Пул Spark рабочей области Среда выполнения интеграции Связанная служба Учетные данные |
| Администратор Synapse Apache Spark |
Полный доступ Synapse к пулам Apache Spark. Создание, чтение, обновление и удаление доступа к опубликованным определениям заданий Spark, записным книжкам и их выходным данным, а также к библиотекам, связанным службам и учетным данным. Включает доступ на чтение ко всем другим опубликованным артефактам кода. Не включает разрешение на использование учетных данных и запуск конвейеров. Не включает предоставление доступа.
Может выполнять все действия с артефактами Spark Может выполнять все действия с активностями Spark |
Пул Spark в рабочем пространстве |
| Администратор Synapse SQL | Полный доступ Synapse к бессерверным пулам SQL. Создание, чтение, обновление и удаление доступа к опубликованным скриптам SQL, учетным данным и связанным службам. Включает доступ на чтение ко всем другим опубликованным артефактам кода. Не включает разрешение на использование учетных данных и запуск конвейеров. Не включает предоставление доступа.
Может выполнять все действия в скриптах SQL Может подключаться к бессерверным конечным точкам SQL с помощью SQL db_datareader, db_datawriter, connect и grant разрешений |
Рабочая область |
| Участник Synapse | Полный доступ Synapse к пулам Apache Spark и средам выполнения интеграции. Включает создание, чтение, обновление и удаление доступа ко всем опубликованным артефактам кода и их выходным данным, включая запланированные конвейеры, учетные данные и связанные службы. Включает разрешения оператора вычислений. Не включает разрешение на использование учетных данных и запуск конвейеров. Не включает предоставление доступа.
Может читать и записывать артефакты Может просматривать сохраненные записные книжки и результаты конвейера Может выполнять все действия с активностями Spark Может просматривать журналы пула Spark |
Пул Spark рабочей области Среда выполнения интеграции |
| Издатель артефактов Synapse | Создание, чтение, обновление и удаление доступа к опубликованным артефактам кода и их выходным данным, включая запланированные конвейеры. Не включает разрешение на выполнение кода, конвейеров данных или предоставление доступа.
Может читать опубликованные артефакты и публиковать артефакты. Может просматривать сохраненные записные книжки, задание Spark и выходные данные конвейера. |
Рабочая область |
| Пользователь компонента Synapse | Доступ на чтение к опубликованным артефактам кода и их выходным данным. Может создавать новые артефакты, но не может публиковать изменения или запускать код без дополнительных разрешений. | Рабочая область |
| Оператор вычислений Synapse | Отправка заданий и записных книжек Spark и просмотр журналов. Включает отмену заданий Spark, отправленных любым пользователем. Требуются разрешения на использование других учетных данных для системной идентичности рабочей области, чтобы запускать потоки данных, просматривать выполнение потоков и их результаты.
Может отправлять и отменять задания, включая задания, отправленные другими пользователями , могут просматривать журналы пула Spark. |
Среда выполнения интеграции пула Spark Рабочее пространство |
| Оператор мониторинга Synapse | Чтение опубликованных артефактов кода, включая журналы и выходные данные запусков конвейера и завершенных записных книжек. Включает возможность перечислять и просматривать сведения о пулах Apache Spark, пулах Обозревателя данных и средах выполнения интеграции. Требуются другие разрешения для запуска или отмены конвейеров, записных книжек Spark и заданий Spark. | Рабочая область |
| Пользователь учетных данных Synapse | Использование секретов во время выполнения и конфигурации в учетных данных и подключенных службах в действиях, например, при запусках конвейера. Для запуска конвейеров требуется эта роль, закрепленная за системной идентичностью рабочей области.
Сфера действия учетных данных разрешает доступ к данным через связанную службу, защищенную этими учетными данными (возможно, потребуется разрешение на использование вычислительной мощности) Позволяет выполнение конвейеров, защищённых идентификационными данными системной учетной записи рабочей области. |
Рабочая область Связанная служба Учетные данные |
| Менеджер связанных данных Synapse | Создание и управление управляемыми частными конечными точками, связанными службами и учетными данными. Может создавать управляемые частные конечные точки, использующие связанные службы, защищенные учетными данными | Рабочая область |
| Пользователь Synapse | Список и просмотр сведений о пулах SQL, пулах Apache Spark, средах выполнения интеграции и опубликованных связанных службах и учетных данных. Не включает другие опубликованные артефакты кода. Может создавать новые артефакты, но не может запускать или публиковать их без дополнительных разрешений.
Может просматривать и читать пулы Spark, а также среды выполнения интеграции. |
Рабочая область, пул Spark Связанная служба Учетные данные |
Роли Synapse RBAC и действия, которые они позволяют
Замечание
- Все действия, перечисленные в приведенных ниже таблицах, имеют префикс "Microsoft.Synapse/..."
- Все действия чтения, записи и удаления артефактов относятся к опубликованным артефактам в активной службе. Эти разрешения не влияют на доступ к артефактам в подключенном репозитории Git.
В следующей таблице перечислены встроенные роли и действия/разрешения, поддерживаемые каждой из них.
| Должность | Действия |
|---|---|
| Администратор Synapse | workspaces/read workspaces/roleAssignments/write, delete workspaces/managedPrivateEndpoint/write, delete workspaces/bigDataPool/useCompute /action workspaces/bigDataPool/viewLogs /action workspaces/scopePool/useCompute /action workspaces/scopePool/viewLogs /action Workspaces/integrationRuntime/useCompute/ actionRuntime/integrationRuntime/viewRuntime/viewLogs /action workspaces/artifacts/read workspaces/notebooks/write workspaces/sparkJobDefinitions/write, delete workspaces/scopeJobDefinitions/write, delete workspaces/sqlScripts/ write, delete workspaces/dataFlows/ write, delete workspaces/dataMappers/write , delete workspaces/pipelines/write, delete workspaces/triggers /write, delete workspaces/datasets/write, delete workspaces/linkedServices /write, delete workspaces/credentials/write, delete workspaces/notebooks / delete workspaces/cancelPipelineRun/action workspaces/notebooksViewOutputs/ action workspaces/pipelinesViewOutputs/ action workspaces/linkedServicesUseSecret/action workspaces/credentialsUseSecret/action workspaces/action workspaces/libraries/write, delete workspaces/kQLScripts/write, delete workspaces/sparkConfigurations/write, delete workspaces/synapseLinkConnections/read, write, delete workspaces/synapseLinkConnections/ useCompute/action |
| Администратор Apache Spark Synapse | workspaces/ читать workspaces/bigDataPoolUseCompute/действие workspaces/bigDataPoolViewLogs/действие workspaces/artifacts/читать workspaces/notebooks/запись, удаление workspaces/sparkJobDefinitions/запись, удаление workspaces/linkedServices/запись, удаление workspaces/credentials/запись, удаление workspaces/libraries/запись, удаление workspaces/notebooksViewOutputs/действие |
| Администратор Synapse SQL | пространства/чтение пространства/артефакты/чтение пространства/sqlСкрипты/запись, удаление пространства/связанныеСервисы/запись, удаление пространства/учетныеДанные/запись, удаление |
| Администратор области действия Synapse | workspaces/read workspaces/scopePoolUseCompute/action workspaces/scopePoolViewLogs/action workspaces/linkedServices/write, delete workspaces/credentials/write, delete workspaces/scopeJobDefinitions/write, delete |
| Менеджер приватных конечных точек Synapse | workspaces/read workspaces/managedPrivateEndpoint/write, delete workspaces/linkedServices/write, delete workspaces/credentials/write, delete workspaces/write |
| Участник Synapse | workspaces/read workspaces/bigDataPool/useCompute/action workspaces/bigDataPool/viewLogs/action workspaces/scopePool/useCompute/action workspaces/scopePool/viewLogs/action workspaces/integrationRuntime/useCompute/action workspaces/integrationRuntime/viewLogs/action workspaces/artifacts/read workspaces/notebooks/write, delete workspaces/sparkJobDefinitions/write, delete workspaces/sqlScripts/write, delete workspaces/dataFlows/write, delete workspaces/dataMappers/write, delete workspaces/pipelines/write, delete workspaces/triggers/write, delete workspaces/datasets/write, delete workspaces/linkedServices/write, delete workspaces/credentials/write, delete workspaces/cancelPipelineRun/action workspaces/notebooksViewOutputs/action workspaces/pipelinesViewOutputs/action workspaces/libraries/write, delete workspaces/kQLScripts/write, delete workspaces/sparkConfigurations/write, delete workspaces/synapseLinkConnections/read, write, delete workspaces/synapseLinkConnections/useComputeAction |
| Издатель артефактов Synapse | workspaces/read workspaces/artifacts/read workspaces/notebooks/write, delete workspaces/sparkJobDefinitions/write, delete workspaces/scopeJobDefinitions/write, delete workspaces/sqlScripts/write, delete workspaces/dataFlows/write, delete workspaces/dataMappers/write, delete workspaces/pipelines/write, delete workspaces/triggers/write, delete workspaces/datasets/write, delete workspaces/linkedServices/write, delete workspaces/credentials/write, delete workspaces/notebooksViewOutputs/action workspaces/pipelinesViewOutputs/action workspaces/libraries/write, delete workspaces/kQLScripts/write, delete workspaces/sparkConfigurations/write, delete |
| Пользователь компонента Synapse | workspaces/ read workspaces/artifacts/read workspaces/notebooks/viewOutputs/action workspaces/pipelines/viewOutputs/action |
| Оператор вычислений Synapse | workspaces/read workspaces/bigDataPools/useCompute/action workspaces/bigDataPools/viewLogs /action workspaces/scopePool/useCompute/action workspaces/scopePool/viewLogs/action workspaces/integrationRuntimes/useCompute/action workspaces/integrationRuntimes/viewLogs/ action workspaces/cancelPipelineRun/action Workspaces/linkConnections/read workspaces/linkConnections/useCompute/action |
| Оператор мониторинга Synapse | workspaces/ read workspaces/artifacts/read workspaces/notebooks/viewOutputs /action workspaces/pipelines/viewOutputs/ action workspaces/integrationRuntimes/viewRuntimes/viewLogs/action workspaces/bigDataPools/viewLogs/action |
| Пользователь учетных данных Synapse | рабочие области/read рабочие области/связанные службы/useSecret/действие рабочие области/учетные данные/useSecret/действие |
| Менеджер связанных данных Synapse | workspaces/read workspaces/managedPrivateEndpoint/write, delete workspaces/linkedServices/write, delete workspaces/credentials/write, delete workspaces/write |
| Пользователь Synapse | рабочие области и чтение |
Действия Synapse RBAC и роли, которые их разрешают
В следующей таблице перечислены действия Synapse и встроенные роли, которые позволяют выполнять следующие действия:
| Действие | Должность |
|---|---|
| рабочие области и чтение |
Администратор Synapse Apache Spark Администратор Synapse SQL Участник Synapse Издатель артефактов Synapse Пользователь артефактов Synapse Оператор вычислений Synapse Оператор мониторинга Synapse Пользователь учетных данных Synapse Менеджер связных данных Synapse Пользователь Synapse |
| workspaces/roleAssignments/запись, удаление | Администратор Synapse |
| workspaces/managedPrivateEndpoint/запись, удаление | Администратор Synapse Менеджер связанных данных Synapse |
| workspaces/bigDataPools/useCompute/action | Администратор Synapse Администратор Apache Spark Участник Synapse Оператор вычислений Synapse Оператор мониторинга Synapse |
| workspaces/bigDataPools/просмотрЛогов/действие | Администратор Synapse Администратор Synapse Apache Spark Участник Synapse Оператор вычислений Synapse |
| workspaces/integrationRuntimes/useCompute/action | Администратор Synapse Участник Synapse Оператор вычислений Synapse Оператор мониторинга Synapse |
| рабочие пространства/интеграционные среды выполнения/просмотр журналов/действие | Администратор Synapse Участник Synapse Оператор вычислений Synapse Оператор мониторинга Synapse |
| workspaces/linkConnections/read | Администратор Synapse Участник Synapse Оператор вычислений Synapse |
| рабочие пространства/связи между ссылками/использовать вычисления/действие | Администратор Synapse Участник Synapse Оператор вычислений Synapse |
| рабочие пространства/артефакты/чтение | Администратор Synapse Администратор Synapse Apache Spark Администратор Synapse SQL Synapse Участник Публикатор артефактов Synapse Пользователь артефактов Synapse |
| рабочие области/записные книжки — запись, удаление | Администратор Synapse Synapse Apache Spark Administrator Synapse Участник Synapse Artifact Publisher |
| рабочие пространства/sparkJobDefinitions/запись, удаление | Администратор Synapse Synapse Apache Spark Administrator Synapse Участник Synapse Artifact Publisher |
| рабочие пространства/sqlScripts/запись, удаление | Администратор Synapse Администратор Synapse SQL Участник Synapse Публикатор артефактов Synapse |
| workspaces/kqlScripts/запись, удаление | Администратор Synapse Участник Synapse Издатель артефактов Synapse |
| рабочие пространства/потоки данных/запись, удаление | Администратор Synapse Участник Synapse Издатель артефактов Synapse |
| рабочие пространства, потоки, запись данных, удаление данных | Администратор Synapse Участник Synapse Издатель артефактов Synapse |
| рабочие пространства/связи ссылок/запись, удаление | Администратор Synapse Соучастник Synapse |
| рабочие области/триггеры/запись, удаление | Администратор Synapse Участник Synapse Издатель артефактов Synapse |
| рабочие области/наборы данных: запись, удаление | Администратор Synapse Участник Synapse Издатель артефактов Synapse |
| рабочие области/библиотеки: записать, удалить | Администратор Synapse Synapse Apache Spark Administrator Synapse Участник Synapse Artifact Publisher |
| рабочие простраства/связанные сервисы/запись, удаление | Администратор Synapse Администратор Synapse Apache Spark Администратор Synapse SQL Участник Synapse Публикация артефактов Synapse Менеджер связанных данных Synapse |
| рабочие области/учетные данные/записать, удалить | Администратор Synapse Администратор Synapse Apache Spark Администратор Synapse SQL Участник Synapse Публикация артефактов Synapse Менеджер связанных данных Synapse |
| рабочие пространства/блокноты/просмотр результатов/действие | Администратор Synapse Администратор Apache Spark Участник Synapse Издатель артефактов Synapse Пользователь артефактов Synapse |
| рабочие пространства/конвейеры/просмотр результатов/действие | Администратор Synapse Участник Synapse Издатель артефактов Synapse Пользователь артефактов Synapse |
| workspaces/linkedServices/useSecret/action | Администратор Synapse Пользователь с учетными данными Synapse |
| workspaces/credentials/использоватьСекрет/action | Администратор Synapse Пользователь с учетными данными Synapse |
Сферы действия RBAC Synapse и их поддерживаемые роли
В таблице ниже перечислены области RBAC Synapse и роли, которые можно назначать в каждой области.
Замечание
Чтобы создать или удалить объект, необходимо иметь разрешения на более высоком уровне.
| Область действия | Роли |
|---|---|
| Рабочая область |
Администратор Synapse Apache Spark Администратор Synapse SQL Участник Synapse Издатель артефактов Synapse Пользователь артефактов Synapse Оператор вычислений Synapse Оператор мониторинга Synapse Пользователь учетных данных Synapse Менеджер связных данных Synapse Пользователь Synapse |
| Пул «Apache Spark» | Администратор Synapse Участник Synapse Оператор вычислений Synapse |
| Среда выполнения интеграции | Администратор Synapse Участник Synapse Оператор вычислений Synapse |
| Связанная служба | Администратор Synapse Пользователь с учетными данными Synapse |
| Подтверждение компетенции | Администратор Synapse Пользователь с учетными данными Synapse |
Замечание
Все роли и действия, связанные с артефактами, определяются на уровне рабочей области.
Дальнейшие шаги
- Узнайте, как просматривать назначения ролей RBAC в Synapse для рабочей области.
- Узнайте как назначать роли Synapse RBAC