Role Synapse RBAC
Tento článek popisuje předdefinované role Synapse RBAC (řízení přístupu na základě role), oprávnění, která udělují, a obory, ve kterých se dají použít.
Další informace o kontrole a přiřazování členství rolí Synapse najdete v tématu kontrola přiřazení rolí Synapse RBAC a přiřazení rolí Synapse RBAC.
Předdefinované role a obory Synapse RBAC
Následující tabulka popisuje předdefinované role a obory, ve kterých se dají použít.
Poznámka:
Uživatelé s libovolnou rolí Synapse RBAC v libovolném oboru automaticky mají roli uživatele Synapse v oboru pracovního prostoru.
Důležité
Role Synapse RBAC neudělují oprávnění k vytváření nebo správě fondů SQL, fondů Apache Spark a prostředí Integration Runtime v pracovních prostorech Azure Synapse. Pro tyto akce se vyžadují role vlastníka Azure nebo přispěvatele Azure ve skupině prostředků.
| Role | Oprávnění | Rozsahy |
|---|---|---|
| Správce Synapse | Úplný přístup Synapse k bezserverové a vyhrazené fondy SQL, fondy Průzkumníka dat, fondy Apache Sparku a prostředí Integration Runtime. Zahrnuje vytváření, čtení, aktualizaci a odstraňování přístupu ke všem publikovaným artefaktům kódu. Zahrnuje oprávnění operátora výpočetních prostředků, propojeného správce dat a uživatele přihlašovacích údajů k přihlašovacím údajům systémové identity pracovního prostoru. Zahrnuje přiřazování rolí Synapse RBAC. Kromě synapse Správa istratoru můžou vlastníci Azure také přiřadit role Synapse RBAC. K vytváření, odstraňování a správě výpočetních prostředků se vyžadují oprávnění Azure. Role Synapse RBAC je možné přiřadit i v případě, že je přidružené předplatné zakázané. Může číst a zapisovat artefakty Může provádět všechny akce s aktivitami Sparku. Může zobrazit protokoly fondu Sparku. Může zobrazit uložený poznámkový blok a výstup kanálu. Může používat tajné kódy uložené propojenými službami nebo přihlašovacími údaji . Role Synapse RBAC můžou přiřadit a odvolat v aktuálním oboru. |
Fond Sparku pracovního prostoru Přihlašovací údaje propojené služby integration runtime |
| Synapse Apache Spark Správa istrator |
Úplný přístup Synapse k fondům Apache Sparku Umožňuje vytvářet, číst, aktualizovat a odstraňovat přístup k publikovaným definicám úloh Sparku, poznámkových blokům a jejich výstupům a ke knihovnám, propojeným službám a přihlašovacím údajům. Zahrnuje přístup pro čtení ke všem ostatním publikovaným artefaktům kódu. Nezahrnuje oprávnění k používání přihlašovacích údajů a spouštění kanálů. Nezahrnuje udělení přístupu. Může provádět všechny akce s artefakty Sparku. Může provádět všechny akce s aktivitami Sparku. |
Fond Sparku pracovního prostoru |
| Správa istrator Synapse SQL | Úplný přístup Synapse k bezserverové fondy SQL. Umožňuje vytvářet, číst, aktualizovat a odstraňovat přístup k publikovaným skriptům SQL, přihlašovacím údajům a propojeným službám. Zahrnuje přístup pro čtení ke všem ostatním publikovaným artefaktům kódu. Nezahrnuje oprávnění k používání přihlašovacích údajů a spouštění kanálů. Nezahrnuje udělení přístupu. Může provádět všechny akce se skripty SQL. Může se připojit ke koncovým bodům bez serveru SQL pomocí SQL db_datareader, db_datawriter, connect, a grant oprávnění |
Pracovní prostor |
| Přispěvatel Synapse | Úplný přístup Synapse k fondům Apache Spark a prostředím Integration Runtime. Zahrnuje vytváření, čtení, aktualizaci a odstraňování přístupu ke všem publikovaným artefaktům kódu a jejich výstupům, včetně plánovaných kanálů, přihlašovacích údajů a propojených služeb. Zahrnuje oprávnění výpočetního operátora. Nezahrnuje oprávnění k používání přihlašovacích údajů a spouštění kanálů. Nezahrnuje udělení přístupu. Může číst a zapisovat artefakty. Může zobrazit uložený poznámkový blok a výstup kanálu. Může provádět všechny akce s aktivitami Sparku. Může zobrazit protokoly fondu Sparku. |
Fond Sparku pracovního prostoru Prostředí Integration Runtime |
| Vydavatel artefaktů Synapse | Umožňuje vytvářet, číst, aktualizovat a odstraňovat přístup k publikovaným artefaktům kódu a jejich výstupům, včetně plánovaných kanálů. Nezahrnuje oprávnění ke spouštění kódu nebo kanálů ani k udělení přístupu. Může číst publikované artefakty a publikovat artefakty Může zobrazit uložený poznámkový blok, úlohu Sparku a výstup kanálu. |
Pracovní prostor |
| Uživatel artefaktu Synapse | Čtení přístupu k publikovaným artefaktům kódu a jejich výstupům Může vytvářet nové artefakty, ale nemůže publikovat změny nebo spouštět kód bez dalších oprávnění. | Pracovní prostor |
| Operátor služby Synapse Compute | Odešlete úlohy Sparku a poznámkové bloky a zobrazíte protokoly. Zahrnuje zrušení úloh Sparku odeslaných libovolným uživatelem. Vyžaduje další oprávnění k použití přihlašovacích údajů pro identitu systému pracovního prostoru ke spouštění kanálů, zobrazení spuštění kanálu a výstupů. Může odesílat a rušit úlohy, včetně úloh odeslaných jinými uživateli , můžou zobrazit protokoly fondu Sparku. |
Modul runtime integrace fondu Sparku pracovního prostoru |
| Operátor monitorování Synapse | Přečtěte si publikované artefakty kódu, včetně protokolů a výstupů pro spuštění kanálu a dokončené poznámkové bloky. Zahrnuje možnost vypsat a zobrazit podrobnosti o fondech Apache Sparku, fondech Průzkumníku dat a modulech Integration Runtime. Vyžaduje další oprávnění ke spouštění nebo rušení kanálů, poznámkových bloků Sparku a úloh Sparku. | Pracovní prostor |
| Uživatel přihlašovacích údajů Synapse | Doba běhu a konfigurace používání tajných kódů v rámci přihlašovacích údajů a propojených služeb v aktivitách, jako jsou spuštění kanálu. Ke spuštění kanálů je tato role povinná a vymezená na identitu systému pracovního prostoru. Vymezený na přihlašovací údaje, umožňuje přístup k datům prostřednictvím propojené služby, která je chráněná přihlašovacími údaji (může také vyžadovat oprávnění k používání výpočetních prostředků) Umožňuje spouštění kanálů chráněných přihlašovacími údaji identity systému pracovního prostoru. |
Přihlašovací údaje propojené služby pracovního prostoru |
| Synapse Linked Data Manager | Vytváření a správa spravovaných privátních koncových bodů, propojených služeb a přihlašovacích údajů Může vytvořit spravované privátní koncové body, které používají propojené služby chráněné přihlašovacími údaji. | Pracovní prostor |
| Uživatel Synapse | Zobrazí seznam a zobrazení podrobností o fondech SQL, fondech Apache Spark, prostředích Integration Runtime a publikovaných propojených službách a přihlašovacích údajích. Nezahrnuje další publikované artefakty kódu. Může vytvářet nové artefakty, ale nemůže spustit nebo publikovat bez dalších oprávnění. Může vypsat a číst fondy Sparku, prostředí Integration Runtime. |
Přihlašovací údaje k pracovnímu prostoru, fondu Sparku |
Role Synapse RBAC a akce, které umožňují
Poznámka:
- Všechny akce uvedené v následujících tabulkách mají předponu Microsoft.Synapse/..."
- Všechny akce čtení, zápisu a odstranění artefaktů jsou s ohledem na publikované artefakty v živé službě. Tato oprávnění nemají vliv na přístup k artefaktům v připojeném úložišti Git.
Následující tabulka uvádí předdefinované role a akce/oprávnění, které jednotlivé podporují.
| Role | Akce |
|---|---|
| Správce Synapse | workspaces/read workspaces/roleAssignments/write, odstranění pracovních prostorů/managedPrivateEndpoint/write, odstranění pracovních prostorů/bigDataPools/useCompute/action workspaces/bigDataPools/viewLogs/action workspaces/integrationRuntimes/useCompute/action workspaces/integrationRuntimes/viewLogs/action workspaces/artifacts/read workspaces/notebooks/write, delete workspaces/sparkJobDefinitions/write, delete workspaces/sqlScripts/ write, delete workspaces/kqlScripts/write, delete workspaces/dataFlows/write, delete workspaces/pipelines/write, delete workspaces/triggers/write, delete workspaces/datasets/write, delete workspaces/libraries/write, delete workspaces/linkedServices/write, delete workspaces/credentials/write, delete workspaces/notebooks/viewOutputs/action workspaces/pipelines/viewOutputs/action workspaces/ linkedServices/useSecret/action workspaces/credentials/useSecret/action workspaces/link Připojení ions/read workspaces/link Připojení ions/write workspaces/link Připojení ions/delete workspaces/link Připojení ions/useCompute/action |
| Synapse Apache Spark Správa istrator | workspaces/read workspaces/bigDataPools/useCompute/action workspaces/bigDataPools/viewLogs/action workspaces/notebooks/viewOutputs/action workspaces/artifacts/read workspaces/notebooks/write, delete workspaces/sparkJobDefinitions/write, delete workspaces/libraries/write, delete workspaces/linkedServices/write, delete workspaces/credentials/write, delete |
| Správa istrator Synapse SQL | workspaces/read workspaces/artifacts/read workspaces/sqlScripts/write, delete workspaces/linkedServices/write, delete workspaces/credentials/write, delete |
| Přispěvatel Synapse | workspaces/read workspaces/bigDataPools/useCompute/action workspaces/bigDataPools/viewLogs/action workspaces/integrationRuntimes/useCompute/action workspaces/integrationRuntimes/viewLogs/action workspaces/artifacts/read workspaces/notebooks/write, odstranění pracovních prostorů/sparkJobDefinitions/write, odstranění pracovních prostorů/sqlScripts/write, odstranění pracovních prostorů/kqlScripts/write, odstranění pracovních prostorů/toků dat/zápis, odstranění workspaces/pipelines/write, delete workspaces/triggers/write, delete workspaces/datasets/write, delete workspaces/libraries/write, delete workspaces/linkedServices/write, delete workspaces/credentials/write, delete workspaces/notebooks/viewOutputs/action workspaces/pipelines/viewOutputs/action workspaces/link Připojení ions/read workspaces/linkPřipojení ions/write workspaces/link Připojení ions/delete workspaces/link Připojení ions/useCompute/action |
| Vydavatel artefaktů Synapse | workspaces/read workspaces/artifacts/read workspaces/notebooks/write, odstraňte pracovní prostory/sparkJobDefinitions/write, odstraňte pracovní prostory/sqlScripts/write, odstraňte pracovní prostory/kqlScripts/write, odstraňte pracovní prostory/dataFlows/write, odstraňte pracovní prostory/pipelines/write, odstraňte pracovní prostory/triggery/write, odstraňte pracovní prostory/zápis, odstraňte pracovní prostory/zápis, odstraňte workspaces/credentials/write, delete workspaces/notebooks/viewOutputs/action workspaces/pipelines/viewOutputs/action |
| Uživatel artefaktu Synapse | workspaces/read workspaces/artifacts/read workspaces/notebooks/viewOutputs/action workspaces/pipelines/viewOutputs/action |
| Operátor služby Synapse Compute | workspaces/read workspaces/bigDataPools/useCompute/action workspaces/bigDataPools/viewLogs/action workspaces/integrationRuntimes/useCompute/action workspaces/integrationRuntimes/viewLogs/action workspaces/link Připojení ions/read workspaces/link Připojení ions/useCompute/action |
| Operátor monitorování Synapse | workspaces/read workspaces/artifacts/read workspaces/notebooks/viewOutputs/action workspaces/pipelines/viewOutputs/action workspaces/integrationRuntimes/viewLogs/action workspaces/bigDataPools/viewLogs/action |
| Uživatel přihlašovacích údajů Synapse | workspaces/read workspaces/linkedServices/useSecret/action workspaces/credentials/useSecret/action |
| Synapse Linked Data Manager | workspaces/read workspaces/managedPrivateEndpoint/write, delete workspaces/linkedServices/write, delete workspaces/credentials/write, delete |
| Uživatel Synapse | pracovní prostory/čtení |
Akce Synapse RBAC a role, které jim umožňují
Následující tabulka uvádí akce Synapse a předdefinované role, které umožňují tyto akce:
| Akce | Role |
|---|---|
| pracovní prostory/čtení | Synapse Správa istrator Synapse Apache Spark Správa istrator Synapse SQL Správa istrator Synapse Contributor Synapse Artifact Publisher Synapse Artifact User Synapse Artifact User Synapse Monitoring Operator Synapse Monitoring Operator Synapse Credential User Synapse Linked Data Manager Synapse User Synapse User Synapse |
| workspaces/roleAssignments/write, delete | Správce Synapse |
| workspaces/managedPrivateEndpoint/write, delete | Synapse Správa istrator Synapse Linked Data Manager |
| workspaces/bigDataPools/useCompute/action | Synapse Správa istrator Synapse Apache Spark Správa istrator Synapse Contributor Synapse Compute Operator Synapse Monitoring Operator |
| workspaces/bigDataPools/viewLogs/action | Synapse Správa istrator Synapse Apache Spark Správa istrator Synapse Contributor Synapse Compute Operator |
| workspaces/integrationRuntimes/useCompute/action | Synapse Správa istrator Synapse Contributor Synapse Compute Operator Synapse Monitoring Operator |
| workspaces/integrationRuntimes/viewLogs/action | Synapse Správa istrator Synapse Contributor Synapse Compute Operator Synapse Monitoring Operator |
| workspaces/link Připojení ions/read | Synapse Správa istrator Synapse Contributor Synapse Compute – operátor |
| workspaces/link Připojení ions/useCompute/action | Synapse Správa istrator Synapse Contributor Synapse Compute – operátor |
| pracovní prostory, artefakty/ čtení | Synapse Správa istrator Synapse Apache Spark Správa istrator Synapse SQL Správa istrator Synapse Contributor Synapse Artifact Publisher Synapse Artifact User |
| pracovní prostory, poznámkové bloky, zápis, odstranění | Synapse Správa istrator Synapse Apache Spark Správa istrator Synapse Contributor Synapse Artifact Publisher |
| workspaces/sparkJobDefinitions/write, delete | Synapse Správa istrator Synapse Apache Spark Správa istrator Synapse Contributor Synapse Artifact Publisher |
| workspaces/sqlScripts/write, delete | Synapse Správa istrator Synapse SQL Správa istrator Synapse Contributor Synapse Artifact Publisher |
| workspaces/kqlScripts/write, delete | Synapse Správa istrator Synapse Contributor Synapse Artifact Publisher |
| workspaces/dataFlows/write, delete | Synapse Správa istrator Synapse Contributor Synapse Artifact Publisher |
| pracovní prostory, kanály/ zápis, odstranění | Synapse Správa istrator Synapse Contributor Synapse Artifact Publisher |
| workspaces/link Připojení ions/write, delete | Přispěvatel Synapse Správa istrator Synapse |
| workspaces/triggers/write, delete | Synapse Správa istrator Synapse Contributor Synapse Artifact Publisher |
| workspaces/datasets/write, delete | Synapse Správa istrator Synapse Contributor Synapse Artifact Publisher |
| pracovní prostory/ knihovny/ zápis, odstranění | Synapse Správa istrator Synapse Apache Spark Správa istrator Synapse Contributor Synapse Artifact Publisher |
| workspaces/linkedServices/write, delete | Synapse Správa istrator Synapse Apache Spark Správa istrator Synapse SQL Správa istrator Synapse Contributor Synapse Artifact Publisher Synapse Linked Data Manager |
| pracovní prostory/ přihlašovací údaje/ zápis, odstranění | Synapse Správa istrator Synapse Apache Spark Správa istrator Synapse SQL Správa istrator Synapse Contributor Synapse Artifact Publisher Synapse Linked Data Manager |
| workspaces/notebooks/viewOutputs/action | Synapse Správa istrator Synapse Apache Spark Správa istrator Synapse Contributor Synapse Artifact Publisher Synapse Artifact User |
| workspaces/pipelines/viewOutputs/action | Synapse Správa istrator Synapse Contributor Synapse Artifact User Synapse Artifact Publisher Synapse |
| workspaces/linkedServices/useSecret/action | Uživatel přihlašovacích údajů Synapse Správa istrator Synapse |
| workspaces/credentials/useSecret/action | Uživatel přihlašovacích údajů Synapse Správa istrator Synapse |
Obory Synapse RBAC a jejich podporované role
Následující tabulka uvádí obory Synapse RBAC a role, které je možné přiřadit v každém oboru.
Poznámka:
Pokud chcete vytvořit nebo odstranit objekt, musíte mít oprávnění na vyšší úrovni.
| Obor | Role |
|---|---|
| Pracovní prostor | Synapse Správa istrator Synapse Apache Spark Správa istrator Synapse SQL Správa istrator Synapse Contributor Synapse Artifact Publisher Synapse Artifact User Synapse Artifact User Synapse Monitoring Operator Synapse Monitoring Operator Synapse Credential User Synapse Linked Data Manager Synapse User Synapse User Synapse |
| Fond Apache Sparku | Synapse Správa istrator Synapse Contributor Synapse Compute – operátor |
| Prostředí Integration Runtime | Synapse Správa istrator Synapse Contributor Synapse Compute – operátor |
| Propojená služba | Uživatel přihlašovacích údajů Synapse Správa istrator Synapse |
| Reference | Uživatel přihlašovacích údajů Synapse Správa istrator Synapse |
Poznámka:
Všechny role a akce artefaktů jsou vymezeny na úrovni pracovního prostoru.
Další kroky
- Zjistěte , jak zkontrolovat přiřazení rolí RBAC Synapse pro pracovní prostor.
- Zjistěte , jak přiřadit role Synapse RBAC.