¿Qué es el control de acceso basado en rol de Synapse?What is Synapse role-based access control (RBAC)?

El control de acceso basado en rol de Synapse amplía las funcionalidades del control de acceso basado en rol de Azure para las áreas de trabajo de Synapse y su contenido.Synapse RBAC extends the capabilities of Azure RBAC for Synapse workspaces and their content.

El control de acceso basado en rol de Azure se utiliza para administrar quién puede crear, actualizar o eliminar el área de trabajo de Synapse y sus grupos de SQL, grupos de Apache Spark y entornos de ejecución de integración.Azure RBAC is used to manage who can create, update, or delete the Synapse workspace and its SQL pools, Apache Spark pools, and Integration runtimes.

El control de acceso basado en rol de Synapse se utiliza para administrar quién puede:Synapse RBAC is used to manage who can:

  • Publicar artefactos de código y enumerar o acceder a artefactos de código publicados.Publish code artifacts and list or access published code artifacts,
  • Ejecutar código en grupos de Apache Spark y entornos de ejecución de integración.Execute code on Apaches Spark pools and Integration runtimes,
  • Acceder a servicios vinculados (datos) protegidos por credenciales.Access linked (data) services protected by credentials
  • Supervisar o cancelar la ejecución de trabajos, examinar la salida de trabajos y los registros de ejecución.Monitor or cancel job execution, review job output, and execution logs.

Nota

Aunque el control de acceso basado en rol de Synapse se usa para administrar el acceso a los scripts de SQL publicados, solo proporciona un control de acceso limitado a los grupos de SQL sin servidor y no se usa para controlar el acceso a grupos de SQL dedicados.While Synapse RBAC is used to manage access to published SQL scripts, it provides only limited access control to serverless SQL pools and is not used to control access to dedicated SQL pools. El acceso a los grupos de SQL se controla principalmente mediante la seguridad de SQL.Access to SQL pools is primarily controlled using SQL security.

¿Qué se puede hacer con el control de acceso basado en rol de Azure?What can I do with Synapse RBAC?

Estos son algunos ejemplos de lo que puede hacer con el control de acceso basado en rol de Synapse:Here are some examples of what you can do with Synapse RBAC:

  • Permite a los usuarios publicar los cambios realizados en los cuadernos y trabajos de Apache Spark en el servicio en directo.Allow a user to publish changes made to Apache Spark notebooks and jobs to the live service.
  • Permite a los usuarios ejecutar y cancelar cuadernos y trabajos de Spark en un grupo de Apache Spark concreto.Allow a user to run and cancel notebooks and spark jobs on a specific Apache Spark pool.
  • Permite a los usuarios utilizar credenciales específicas para que puedan ejecutar canalizaciones protegidas por la identidad del sistema del área de trabajo, así como acceder a los datos de los servicios vinculados protegidos con credenciales.Allow a user to use specific credentials so they can run pipelines secured by the workspace system identity and access data in linked services secured with credentials.
  • Permite a los administradores administrar, supervisar y cancelar la ejecución de trabajos en grupos de Spark concretos.Allow an administrator to manage, monitor, and cancel job execution on specific Spark Pools.

Funcionamiento del control de acceso basado en rol de SynapseHow Synapse RBAC works

Al igual que el control de acceso basado en rol de Azure, el de Synapse funciona mediante la creación de asignaciones de roles.Like Azure RBAC, Synapse RBAC works by creating role assignments. Una asignación de roles consta de tres elementos: una entidad de seguridad, una definición de roles y un ámbito.A role assignment consists of three elements: a security principal, a role definition, and a scope.

Entidades de seguridadSecurity Principals

Una entidad de seguridad es un usuario, grupo, entidad de seguridad o identidad administrada.A security principal is a user, group, service principal, or managed identity.

RolesRoles

Un rol es una colección de permisos o acciones que se pueden realizar en tipos de recursos o tipos de artefactos concretos.A role is a collection of permissions or actions that can be performed on specific resource types or artifact types.

Synapse proporciona roles integrados que definen colecciones de acciones que se ajustan a las necesidades de diferentes roles:Synapse provides built-in roles that define collections of actions that match the needs of different personas:

  • Los administradores pueden obtener acceso completo para crear y configurar un área de trabajo.Administrators can get full access to create and configure a workspace
  • Los desarrolladores pueden crear, actualizar y depurar scripts de SQL, cuadernos, canalizaciones y flujos de datos, pero no pueden publicar o ejecutar este código en recursos/datos de proceso de producción.Developers can create, update and debug SQL scripts, notebooks, pipelines, and dataflows, but not be able to publish or execute this code on production compute resources/data
  • Los operadores pueden supervisar y administrar el estado del sistema, los registros de ejecución y revisión de las aplicaciones, sin acceder al código o a los resultados de la ejecución.Operators can monitor and manage system status, application execution and review logs, without access to code or the outputs from execution.
  • El personal de seguridad puede administrar y configurar puntos de conexión sin tener acceso al código, a los recursos de proceso o a los datos.Security staff can manage and configure endpoints without having access to code, compute resources or data.

Obtenga más información sobre los roles de Synapse integrados.Learn more about the built-in Synapse roles.

ÁmbitosScopes

Los ámbitos definen los recursos o artefactos a los que se aplica el acceso.A scope defines the resources or artifacts that the access applies to. Synapse admite ámbitos jerárquicos.Synapse supports hierarchical scopes. Los permisos concedidos en un ámbito de nivel superior los heredan los objetos de un nivel inferior.Permissions granted at a higher-level scope are inherited by objects at a lower level. En el control de acceso basado en rol de Synapse, el ámbito de nivel superior es un área de trabajo.In Synapse RBAC, the top-level scope is a workspace. La asignación de un rol con un ámbito de área de trabajo concede permisos a todos los objetos aplicables del área de trabajo.Assigning a role with workspace scope grants permissions to all applicable objects in the workspace.

Estos son los ámbitos admitidos actualmente dentro de un área de trabajo: Grupo de Apache Spark, entorno de ejecución de integración, servicio vinculado y credencial.Current supported scopes within a workspace are: Apache Spark pool, Integration runtime, linked service, and credential.

El acceso a los artefactos de código se concede con el ámbito del área de trabajo.Access to code artifacts is granted with workspace scope. La concesión de acceso a colecciones de artefactos dentro de un área de trabajo se admitirá en una versión posterior.Granting access to collections of artifacts within a workspace will be supported in a later release.

Resolución de asignaciones de roles para determinar los permisosResolving role assignments to determine permissions

Una asignación de roles concede a la entidad de seguridad los permisos definidos por el rol en el ámbito especificado.A role assignment grants the principal the permissions defined by the role at the specified scope.

El control de acceso basado en rol de Synapse es un modelo aditivo como Azure RBAC.Synapse RBAC is an additive model like Azure RBAC. Se pueden asignar varios roles a una sola entidad de seguridad y a ámbitos diferentes.Multiple roles may be assigned to a single principal and at different scopes. Al calcular los permisos de una entidad de seguridad, el sistema considera todos los roles asignados a la entidad y a los grupos que incluyen directa o indirectamente la entidad.When computing the permissions of a security principal, the system considers all roles assigned to the principal and to groups that directly or indirectly include the principal. También tiene en cuenta el ámbito de cada asignación al determinar los permisos que se aplican.It also considers the scope of each assignment in determining the permissions that apply.

Exigencia de permisos asignadosEnforcing assigned permissions

En Synapse Studio, es posible que algunas opciones o botones concretos estén atenuados o que se devuelva un error de permisos al intentar realizar una acción sin los permisos necesarios.In Synapse Studio, specific buttons or options may be grayed out or a permissions error may be returned when attempting an action if you don't have the required permissions.

Si una opción o un botón están deshabilitados, al pasar el mouse sobre ellos se muestra información sobre herramientas con el permiso necesario.If a button or option is disabled, hovering over the button or option shows a tooltip with the required permission. Póngase en contacto con un administrador de Synapse para asignar un rol que conceda el permiso necesario.Contact a Synapse Administrator to assign a role that grants the required permission. Aquí puede ver los roles que proporcionan acciones específicas.You can see the roles that provide specific actions here.

¿Quién puede asignar roles del control de acceso basado en rol de Synapse?Who can assign Synapse RBAC roles?

Los roles del control de acceso basado en rol de Synapse solo puede asignarlos un administrador de Synapse.Only a Synapse Administrator can assign Synapse RBAC roles. Los administradores de Synapse en el nivel de área de trabajo pueden conceder acceso en cualquier ámbito.A Synapse Administrator at the workspace level can grant access at any scope. Los administradores de Synapse en un ámbito de nivel inferior solo pueden conceder acceso a ese ámbito.A Synapse Administrator at a lower-level scope can only grant access at that scope.

Cuando se crea un área de trabajo, al creador se le asigna automáticamente el rol Administrador de Synapse en el ámbito del área de trabajo.When a new workspace is created, the creator is automatically given the Synapse Administrator role at workspace scope.

¿Dónde se administra el control de acceso basado en rol de Synapse?Where do I manage Synapse RBAC?

El control de acceso basado en rol de Synapse se administra desde Synapse Studio mediante las herramientas de control de acceso en el centro de administración.Synapse RBAC is managed from within Synapse Studio using the Access control tools in the Manage hub.

Pasos siguientesNext steps

Conozca los roles del control de acceso basado en rol de Synapse integrados.Understand the built-in Synapse RBAC roles.

Aprenda a examinar las asignaciones de roles del control de acceso basado en rol de Synapse en un área de trabajo.Learn how to review Synapse RBAC role assignments for a workspace.

Aprenda a asignar roles de Synapse RBACLearn how to assign Synapse RBAC roles