أدوار RBAC المشبك
توضح المقالة أدوار Synapse RBAC المضمنة (التحكم في الوصول المستند إلى الأدوار) والأذونات التي تمنحها والنطاقات التي يمكن استخدامها فيها.
لمزيد من المعلومات حول مراجعة عضويات دور Synapse وتعيينها، راجع كيفية مراجعة تعيينات دور Synapse RBAC وكيفية تعيين أدوار Synapse RBAC.
ما الذي تغير منذ المعاينة؟
بالنسبة للمستخدمين المطلعين على أدوار Synapse RBAC المتوفرة أثناء المعاينة، يتم تطبيق التغييرات التالية:
- تمت إعادة تسمية مسؤول مساحة العمل إلى مسؤول Synapse
- تمت إعادة تسمية Apache Spark Admin باسم Synapse Apache Spark Administrator ولديه إذن لرؤية جميع القطع الأثرية المنشورة للتعليمات البرمجية ، بما في ذلك البرامج النصية SQL. لم يعد هذا الدور يمنح الإذن لاستخدام MSI مساحة العمل، والذي يتطلب دور مستخدم بيانات اعتماد Synapse. هذا الإذن مطلوب لتشغيل خطوط الأنابيب.
- SQL تمت إعادة تسمية المسؤول إلى Synapse SQL Administrator ولديه إذن لرؤية جميع نماذج التعليمات البرمجية المنشورة، بما في ذلك دفاتر ملاحظات Spark والوظائف. لم يعد هذا الدور يمنح الإذن لاستخدام MSI مساحة العمل، والذي يتطلب دور مستخدم بيانات اعتماد Synapse. هذا الإذن مطلوب لتشغيل خطوط الأنابيب.
- يتم تقديم أدوار Synapse RBAC جديدة أكثر دقة تركز على دعم شخصيات التطوير والعمليات بدلا من أوقات تشغيل التحليلات المحددة.
- يتم تقديم نطاقات جديدة منخفضة المستوى لعدة أدوار. تسمح هذه النطاقات بتقييد الأدوار بموارد أو كائنات معينة.
أدوار ونطاقات Synapse RBAC المضمنة
يصف الجدول التالي الأدوار المضمنة والنطاقات التي يمكن استخدامها فيها.
ملاحظة
المستخدمون الذين لديهم أي دور Synapse RBAC في أي نطاق لديهم تلقائيا دور مستخدم Synapse في نطاق مساحة العمل.
هام
لا تمنح أدوار Synapse RBAC أذونات لإنشاء أو إدارة تجمعات SQL وتجمعات Apache Spark وأوقات تشغيل التكامل في مساحات عمل Azure Synapse. أدوار مالك Azure أو Azure Contributor في مجموعة الموارد مطلوبة لهذه الإجراءات.
| الدور | الأذونات | النطاقات |
|---|---|---|
| مسؤول Synapse | الوصول الكامل إلى Synapse إلى تجمعات SQL وتجمعات Data Explorer ومسابح Apache Spark وأوقات تشغيل التكامل. يتضمن إنشاء وقراءة وتحديث وحذف الوصول إلى جميع القطع الأثرية التعليمات البرمجية المنشورة. يتضمن أذونات مشغل الحوسبة وإدارة البيانات المرتبطة ومستخدم بيانات الاعتماد على بيانات اعتماد هوية نظام مساحة العمل. يتضمن تعيين أدوار Synapse RBAC. بالإضافة إلى مسؤول Synapse، يمكن لمالكي Azure أيضا تعيين أدوار Synapse RPAC. أذونات Azure مطلوبة لإنشاء موارد الحوسبة وحذفها وإدارتها. يمكن قراءة وكتابة القطع الأثرية يمكن القيام بجميع الإجراءات على أنشطة Spark. يمكن عرض سجلات تجمع Spark يمكن عرض إخراج دفتر الملاحظات وخط الأنابيب المحفوظ يمكن استخدام الأسرار المخزنة بواسطة الخدمات أو بيانات الاعتماد المرتبطةيمكنك تعيين أدوار Synapse RBAC وإبطالها في النطاق الحالي | مساحة العمل Spark pool وقت تشغيل التكامل الخدمة المرتبطةبيانات الاعتماد |
| Synapse Apache Spark Administrator | دخول كامل إلى حمامات أباتشي سبارك. يمكنك إنشاء وقراءة وتحديث وحذف الوصول إلى تعريفات مهام Spark ودفاتر الملاحظات ومخرجاتها المنشورة والمكتبات والخدمات المرتبطة وبيانات الاعتماد. يتضمن الوصول للقراءة إلى جميع القطع الأثرية الأخرى المنشورة للتعليمات البرمجية. لا يتضمن إذنا لاستخدام بيانات الاعتماد وتشغيل خطوط الأنابيب. لا يتضمن منح حق الوصول. يمكن القيام بجميع الإجراءات على القطع الأثرية في Sparkيمكن القيام بجميع الإجراءات على أنشطة Spark | مساحة العملتجمع الشرارة |
| مسؤول Synapse SQL | الوصول الكامل إلى Synapse إلى تجمعات SQL بدون خادم. إنشاء وقراءة وتحديث وحذف الوصول إلى البرامج النصية SQL المنشورة وبيانات الاعتماد والخدمات المرتبطة. يتضمن الوصول للقراءة إلى جميع القطع الأثرية الأخرى المنشورة للتعليمات البرمجية. لا يتضمن إذنا لاستخدام بيانات الاعتماد وتشغيل خطوط الأنابيب. لا يتضمن منح حق الوصول. يمكنه القيام بجميع الإجراءات على البرامج النصية SQL يمكن الاتصال بنقاط نهاية SQL بدون خادم باستخدام SQL db_datareaderو و db_datawriter، connectوالأذونات grant |
مساحة العمل |
| مساهم في Synapse | الوصول الكامل إلى مسابح Apache Spark وأوقات تشغيل التكامل. يتضمن إنشاء وقراءة وتحديث وحذف الوصول إلى جميع نماذج التعليمات البرمجية المنشورة ومخرجاتها، بما في ذلك بيانات الاعتماد والخدمات المرتبطة. يتضمن أذونات مشغل الحوسبة. لا يتضمن إذنا لاستخدام بيانات الاعتماد وتشغيل خطوط الأنابيب. لا يتضمن منح حق الوصول. يمكن قراءة القطع الأثرية وكتابتهاعرض دفتر الملاحظات المحفوظ ومخرجات خط الأنابيبيمكن القيام بجميع الإجراءات على أنشطة Sparkعرض سجلات تجمع Spark | مساحة العمل Spark pool وقت تشغيل التكامل |
| المشبك Publisher القطع الأثرية | إنشاء وقراءة وتحديث وحذف الوصول إلى القطع الأثرية التعليمات البرمجية المنشورة ومخرجاتها. لا يتضمن إذنا لتشغيل التعليمات البرمجية أو خطوط الأنابيب، أو لمنح حق الوصول. يمكن قراءة القطع الأثرية المنشورة ونشر القطع الأثريةيمكن عرض دفتر الملاحظات المحفوظ ومهمة Spark ومخرجات خط الأنابيب | مساحة العمل |
| مستخدم القطع الأثرية المشبك | اقرأ الوصول إلى القطع الأثرية المنشورة للتعليمات البرمجية ومخرجاتها. يمكن إنشاء قطع أثرية جديدة ولكن لا يمكن نشر التغييرات أو تشغيل التعليمات البرمجية دون أذونات إضافية. | مساحة العمل |
| مشغل الحوسبة المشبك | أرسل مهام Spark ودفاتر الملاحظات واعرض السجلات. يتضمن إلغاء وظائف Spark المقدمة من أي مستخدم. يتطلب أذونات اعتماد استخدام إضافية على هوية نظام مساحة العمل لتشغيل خطوط الأنابيب وعرض عمليات تشغيل خطوط الأنابيب والمخرجات. إمكانية إرسال الوظائف وإلغاؤها، بما في ذلك الوظائف المقدمة من الآخرينيمكن عرض سجلات تجمع Spark | WorkspaceSpark poolوقت تشغيل التكامل |
| مشغل مراقبة المشابك | اقرأ نماذج التعليمات البرمجية المنشورة، بما في ذلك السجلات والمخرجات لدفاتر الملاحظات وعمليات تشغيل خطوط الأنابيب. يتضمن القدرة على سرد وعرض تفاصيل تجمعات SQL بدون خادم وتجمعات Apache Spark وتجمعات مستكشف البيانات وأوقات تشغيل التكامل. يتطلب أذونات إضافية لتشغيل/إلغاء خطوط الأنابيب ودفاتر ملاحظات Spark ومهام Spark. | مساحة العمل |
| مستخدم بيانات اعتماد Synapse | استخدام وقت التشغيل ووقت التكوين للأسرار داخل بيانات الاعتماد والخدمات المرتبطة في أنشطة مثل تشغيل خطوط الأنابيب. لتشغيل خطوط الأنابيب، هذا الدور مطلوب، ويتم تحديد نطاقه إلى هوية نظام مساحة العمل. نطاق إلى بيانات اعتماد، يسمح بالوصول إلى البيانات عبر خدمة مرتبطة محمية بواسطة بيانات الاعتماد (يتطلب أيضا إذن استخدام الحوسبة) يسمح بتنفيذ خطوط الأنابيب المحمية بواسطة بيانات اعتماد هوية نظام مساحة العمل (مع إذن استخدام حوسبة إضافي) | الخدمة المرتبطة بمساحة العملبيانات الاعتماد |
| مدير البيانات المرتبطة ب Synapse | إنشاء وإدارة نقاط النهاية الخاصة المدارة والخدمات المرتبطة وبيانات الاعتماد. يمكن إنشاء نقاط نهاية خاصة مدارة تستخدم خدمات مرتبطة محمية ببيانات الاعتماد | مساحة العمل |
| مستخدم المشبك | قم بإدراج وعرض تفاصيل تجمعات SQL وتجمعات Apache Spark وأوقات تشغيل التكامل والخدمات وبيانات الاعتماد المرتبطة المنشورة. لا يتضمن نماذج التعليمات البرمجية المنشورة الأخرى. يمكن إنشاء قطع أثرية جديدة ولكن لا يمكن تشغيلها أو نشرها بدون أذونات إضافية. يمكن سرد وقراءة تجمعات Spark ، أوقات تشغيل التكامل. | مساحة عمل، تجمع شرارةبيانات اعتماد الخدمة المرتبطة |
Synapse أدوار RBAC والإجراءات التي تسمح بها
ملاحظة
- جميع الإجراءات المدرجة في الجداول أدناه مسبوقة مسبقا ، "Microsoft.Synapse/..."
- جميع إجراءات قراءة القطع الأثرية وكتابتها وحذفها تتعلق بالقطع الأثرية المنشورة في الخدمة المباشرة. لا تؤثر هذه الأذونات على الوصول إلى القطع الأثرية في Repo Git متصل.
يسرد الجدول التالي الأدوار المضمنة والإجراءات/الأذونات التي يدعمها كل منها.
| الدور | الإجراءات |
|---|---|
| مسؤول Synapse | مساحات العمل/مساحات عمل القراءة/الأدوار/الكتابة، الحذفمساحات العمل/المدارةPrivateEndpoint/write, deleteworkspace/bigDataPools/useCompute/actionworkspaces/bigDataPools/viewLogs/actionworkspaces/integrationRuntimes/useCompute/actionworkspaces/integrationRuntimes/viewLogs/actionworkspaces/artifacts/readworkspaces/notebooks/write, deleteworkspaces/sparkJobDefinitions/write, deleteworkspaces/sqlScripts/ الكتابة، الحذفمساحات العمل/kqlScripts/الكتابة، الحذفمساحات العمل/تدفقات البيانات/الكتابة، مساحات العمل/خطوط الأنابيب/الكتابة، الحذفمساحات العمل/المشغلات/الكتابة، الحذفمساحات العمل/مجموعات البيانات/الكتابة، الحذفمساحات العمل/المكتبات/الكتابة، مساحات العمل/الروابطالخدمات/الكتابة، الحذفمساحات العمل/بيانات الاعتماد/الكتابة، الحذفمساحات العمل/دفاتر الملاحظات/العرضالمخرجات/مساحات العمل/ linkedServices/useSecret/actionworkspaces/credentials/useSecret/action |
| Synapse Apache Spark Administrator | مساحات العمل/مساحات عمل القراءة/مجموعات البيانات الكبيرة/استخدامالحوسبة/مساحات العمل/تجمعات البيانات الكبيرة/العرضالسجلات/مساحات العمل/دفاتر الملاحظات/العرضالمخرجات/مساحات العمل/القطع الأثرية/مساحات عمل القراءة/دفاتر الملاحظات/الكتابة، الحذفمساحات العمل/شرارةتعريفات العمل/الكتابة، مساحات العمل/المكتبات/الكتابة، حذف مساحات العمل/الروابطالخدمات/الكتابة، حذف مساحات العمل/بيانات الاعتماد/الكتابة، الحذف |
| مسؤول Synapse SQL | مساحات العمل/مساحات عمل القراءة/القطع الأثرية/مساحات العمل المقروءة/sqlScripts/الكتابة، الحذفمساحات العمل/الروابطالخدمات/الكتابة، الحذفمساحات العمل/بيانات الاعتماد/الكتابة، الحذف |
| مساهم في Synapse | مساحات العمل/مساحات عمل القراءة/bigDataPools/useCompute/actionspaces/bigDataPools/viewLogs/actionworkspaces/integrationRuntimes/useCompute/actionworkspaces/integrationRuntimes/viewLogs/actionspaces/artifacts/readworkspaces/notebooks/write, deleteworkspaces/sparkJobDefinitions/write, deleteworkspaces/sqlScripts/write, deleteworkspaces/kqlScripts/write, deleteworkspaces/dataFlows/write, delete مساحات العمل/خطوط الأنابيب/الكتابة، وحذف مساحات العمل/المشغلات/الكتابة، وحذف مساحات العمل/مجموعات البيانات/الكتابة، وحذف مساحات العمل/المكتبات/الكتابة، ومساحات العمل/الروابطالخدمات/الكتابة، ومساحات العمل/بيانات الاعتماد/الكتابة، ومساحات العمل/دفاتر الملاحظات/العرضالمخرجات/مساحات العمل/خطوط الأنابيب/العرضالمخرجات/الإجراءات |
| المشبك Publisher القطع الأثرية | مساحات العمل/مساحات عمل القراءة/القطع الأثرية/مساحات عمل القراءة/دفاتر الملاحظات/الكتابة، مساحات العمل/sparkJobDefinitions/write، deleteمساحات العمل/sqlScripts/write، deleteمساحات العمل/kqlScripts/write، deleteworkspaces/dataFlows/write، deleteworkspaces/pipelines/write، deleteworkspaces/triggers/write، deleteworkspaces/datasets/write، deleteworkspaces/libraries/write, deleteworkspaces/linkedServices/write, delete مساحات العمل/بيانات الاعتماد/الكتابة، الحذفمساحات العمل/دفاتر الملاحظات/طريقة العرضالمخرجات/مساحات العمل/خطوط الأنابيب/العرضالمخرجات/الإجراءات |
| مستخدم القطع الأثرية المشبك | مساحات العمل/مساحات عمل القراءة/القطع الأثرية/مساحات عمل القراءة/دفاتر الملاحظات/طريقة العرضالمخرجات/مساحات العمل/خطوط الأنابيب/العرضالمخرجات/الإجراءات |
| مشغل الحوسبة المشبك | مساحات العمل/مساحات عمل القراءة/bigDataPools/useCompute/actionspaces/bigDataPools/viewLogs/actionworkspaces/integrationRuntimes/useCompute/actionworkspaces/integrationRuntimes/viewLogs/action |
| مشغل مراقبة المشابك | مساحات العمل/مساحات عمل القراءة/القطع الأثرية/مساحات عمل القراءة/دفاتر الملاحظات/العرضالمخرجات/مساحات العمل/خطوط الأنابيب/العرضالمخرجات/مساحات العمل/التكاملأوقات التشغيل/المشاهداتالسجلات/مساحات العمل/bigDataPools/viewLogs/Action |
| مستخدم بيانات اعتماد Synapse | مساحات العمل/مساحات عمل القراءة/الخدمات المرتبطة/الاستخدامالسرية/مساحات العمل/بيانات الاعتماد/الاستخدامالسر/الإجراء |
| مدير البيانات المرتبطة ب Synapse | مساحات العمل/مساحات عمل القراءة/المدارةPrivateEndpoint/write, deleteworkspaces/linkedServices/write, deleteworkspaces/credentials/write, delete |
| مستخدم المشبك | مساحات العمل/القراءة |
إجراءات RBAC المشبك والأدوار التي تسمح بها
يسرد الجدول التالي إجراءات Synapse والأدوار المضمنة التي تسمح بهذه الإجراءات:
| إجراء | الدور |
|---|---|
| مساحات العمل/القراءة | Synapse AdministratorSynapse Apache Spark AdministratorSynapse SQL AdministratorSynapse ContributorSynapse Artifact Publisher Synapse Artifact UserSynapse Compute Operator Synapse Monitoring Operator Synapse Credential UserSynapse Linked Data ManagerSynapse User |
| مساحات العمل/الأدوارالواجبات/الكتابة، الحذف | مسؤول Synapse |
| مساحات العمل/المدارةPrivateEndpoint/الكتابة، حذف | Synapse AdministratorSynapse Linked Data Manager |
| مساحات العمل/bigDataPools/useCompute/Action | Synapse AdministratorSynapse Apache Spark AdministratorSynapse ContributorSynapse Compute Operator Synapse Monitoring Operator |
| مساحات العمل/bigDataPools/viewLogs/Action | Synapse AdministratorSynapse Apache Spark AdministratorSynapse ContributorSynapse Compute Operator |
| مساحات العمل/التكاملأوقات التشغيل/الاستخدامالحساب/الإجراء | Synapse AdministratorSynapse ContributorSynapse Compute OperatorSynapse Monitoring Operator |
| مساحات العمل/التكاملأوقات التشغيل/العرضالسجلات/الإجراء | Synapse AdministratorSynapse ContributorSynapse Compute OperatorSynapse Monitoring Operator |
| مساحات العمل/القطع الأثرية/القراءة | Synapse AdministratorSynapse Apache Spark AdministratorSynapse SQL AdministratorSynapse ContributorSynapse Artifact Publisher Synapse Artifact User |
| مساحات العمل/دفاتر الملاحظات/الكتابة، الحذف | Synapse AdministratorSynapse Apache Spark AdministratorSynapse ContributorSynapse Artifact Publisher |
| مساحات العمل/sparkJobDefinitions/الكتابة، حذف | Synapse AdministratorSynapse Apache Spark AdministratorSynapse ContributorSynapse Artifact Publisher |
| مساحات العمل/sqlScripts/الكتابة، حذف | Synapse AdministratorSynapse SQL AdministratorSynapse ContributorSynapse Artifact Publisher |
| مساحات العمل/kqlScripts/الكتابة، حذف | Synapse AdministratorSynapse ContributorSynapse Artifact Publisher |
| مساحات العمل/تدفقات البيانات/الكتابة، الحذف | Synapse AdministratorSynapse ContributorSynapse Artifact Publisher |
| مساحات العمل/خطوط الأنابيب/الكتابة، الحذف | Synapse AdministratorSynapse ContributorSynapse Artifact Publisher |
| مساحات العمل/المشغلات/الكتابة، الحذف | Synapse AdministratorSynapse ContributorSynapse Artifact Publisher |
| مساحات العمل/مجموعات البيانات/الكتابة، حذف | Synapse AdministratorSynapse ContributorSynapse Artifact Publisher |
| مساحات العمل/المكتبات/الكتابة، الحذف | Synapse AdministratorSynapse Apache Spark AdministratorSynapse ContributorSynapse Artifact Publisher |
| مساحات العمل/الروابطالخدمات/الكتابة، الحذف | Synapse AdministratorSynapse Apache Spark AdministratorSynapse SQL AdministratorSynapse ContributorSynapse Artifact Publisher Synapse Linked Data Manager |
| مساحات العمل/بيانات الاعتماد/الكتابة، الحذف | Synapse AdministratorSynapse Apache Spark AdministratorSynapse SQL AdministratorSynapse ContributorSynapse Artifact Publisher Synapse Linked Data Manager |
| مساحات العمل/دفاتر الملاحظات/طريقة العرضالمخرجات/الإجراءات | Synapse AdministratorSynapse Apache Spark AdministratorSynapse ContributorSynapse Artifact Publisher Synapse Artifact User |
| مساحات العمل/خطوط الأنابيب/العرضالمخرجات/الإجراءات | Synapse AdministratorSynapse ContributorSynapse Artifact Publisher Synapse Artifact User |
| مساحات العمل/الخدمات المرتبطة/الاستخدامالسر/العمل | Synapse Administratorمستخدم بيانات اعتماد Synapse |
| مساحات العمل/بيانات الاعتماد/الاستخدامالسر/العمل | Synapse Administratorمستخدم بيانات اعتماد Synapse |
نطاقات RBAC الشبكية وأدوارها المدعومة
يسرد الجدول أدناه نطاقات Synapse RBAC والأدوار التي يمكن تعيينها في كل نطاق.
ملاحظة
لإنشاء كائن أو حذفه ، يجب أن يكون لديك أذونات في نطاق أعلى مستوى.
| النطاق | الأدوار |
|---|---|
| مساحة العمل | Synapse AdministratorSynapse Apache Spark AdministratorSynapse SQL AdministratorSynapse ContributorSynapse Artifact Publisher Synapse Artifact UserSynapse Compute Operator Synapse Monitoring Operator Synapse Credential UserSynapse Linked Data ManagerSynapse User |
| مسبح أباتشي سبارك | Synapse Administrator Synapse Contributor Synapse Compute Operator |
| وقت تشغيل التكامل | Synapse Administrator Synapse Contributor Synapse Compute Operator |
| الخدمة المرتبطة | Synapse Administrator Synapse Credential User |
| بيانات اعتماد | Synapse Administrator Synapse Credential User |
ملاحظة
يتم تحديد نطاق جميع أدوار وإجراءات القطع الأثرية على مستوى مساحة العمل.
الخطوات التالية
- تعرف على كيفية مراجعة تعيينات دور Synapse RBAC لمساحة عمل.
- تعرف على كيفية تعيين أدوار Synapse RBAC