Roles de Synapse RBAC
En este artículo se describen los roles (control de acceso basado en roles) de Synapse RBAC integrados, los permisos que conceden y los ámbitos en los que se pueden usar.
Para más información sobre cómo revisar y asignar pertenencias a roles de Synapse, consulte los artículos Cómo revisar asignaciones de roles de Synapse RBAC y Cómo asignar roles de Synapse RBAC.
Roles y ámbitos integrados de Synapse RBAC
En la tabla siguiente se describen los roles integrados y los ámbitos en los que se pueden usar.
Nota
Los usuarios con cualquier rol de Synapse RBAC en cualquier ámbito adquieren automáticamente el rol de usuario de Synapse en el ámbito del área de trabajo.
Importante
Los roles de Synapse RBAC no conceden permisos para crear o administrar grupos de SQL, grupos de Apache Spark y entornos de ejecución de integración en áreas de trabajo de Azure Synapse. Los roles de propietario o colaborador de Azure en el grupo de recursos son necesarios para estas acciones.
| Role | Permisos | Ámbitos |
|---|---|---|
| Administrador de Synapse | Acceso completo de Synapse a grupos de SQL sin servidor y dedicados, grupos de Data Explorer, grupos de Apache Spark y entornos de ejecución de integración. Incluye acceso de creación, lectura, actualización y eliminación a todos los artefactos de código publicados. Incluye el operador de proceso, el administrador de datos vinculados y los permisos de usuario de credenciales en la credencial de identidad del sistema del área de trabajo. Incluye la asignación de roles de Synapse RBAC. Además del administrador de SYNAPSE, los propietarios de Azure también pueden asignar roles RBAC de Synapse. Los permisos de Azure son necesarios para crear, eliminar y administrar recursos de proceso. Los roles RBAC de Synapse se pueden asignar incluso cuando la suscripción asociada está deshabilitada. Puede leer y escribir artefactos Puede realizar todas las acciones sobre las actividades de Spark. Puede ver los registros de los grupos de Spark Puede ver la salida de la canalización y el cuaderno guardado Puede usar los secretos almacenados por los servicios vinculados o las credenciales Puede asignar y revocar roles de Synapse RBAC en el ámbito actual |
Área de trabajo Grupo de Spark Entorno de ejecución de integración Servicio vinculado Credencial |
| Administrador de Synapse Apache Spark |
Acceso total a grupos de Apache Spark en Synapse. Acceso de creación, lectura, actualización y eliminación a las definiciones de trabajos de Spark publicadas, los cuadernos y sus salidas, y a las bibliotecas, los servicios vinculados y las credenciales. Incluye acceso de lectura a todos los demás artefactos de código publicados. No incluye permisos para usar las credenciales y ejecutar canalizaciones. No incluye el acceso de concesión. Puede realizar todas las acciones en los artefactos de Spark Puede realizar todas las acciones en las actividades de Spark |
Área de trabajo Grupo de Spark |
| Administrador de Synapse SQL | Acceso total a grupos de SQL sin servidor en Synapse. Acceso de creación, lectura, actualización y eliminación a los scripts de SQL publicados, las credenciales y los servicios vinculados. Incluye acceso de lectura a todos los demás artefactos de código publicados. No incluye permisos para usar las credenciales y ejecutar canalizaciones. No incluye el acceso de concesión. Puede realizar todas las acciones en scripts de SQL Puede conectarse a puntos de conexión de SQL sin servidor con permisos db_datareader, db_datawriter, connect y grant de SQL |
Área de trabajo |
| Colaborador de Synapse | Acceso total a grupos de Apache Spark y entornos de ejecución de integración en Synapse. Incluye acceso de creación, lectura, actualización y eliminación a todos los artefactos de código publicados y sus salidas, incluidas las credenciales y los servicios vinculados. Incluye permisos de operador de proceso. No incluye permisos para usar las credenciales y ejecutar canalizaciones. No incluye el acceso de concesión. Puede leer y escribir artefactos Puede ver la salida de la canalización y el cuaderno guardado Puede realizar todas las acciones en las actividades de Spark Puede ver los registros de los grupos de Spark |
Área de trabajo Grupo de Spark Tiempo de ejecución de integración |
| Editor de artefactos de Synapse | Acceso de creación, lectura, actualización y eliminación a los artefactos de código publicados y sus salidas, incluidas las canalizaciones programadas. No incluye permisos para ejecutar código o canalizaciones ni para conceder acceso. Puede leer artefactos publicados y publicar artefactos Puede ver los cuadernos guardados, los trabajos de Spark y la salida de las canalizaciones |
Área de trabajo |
| Usuario de artefactos de Synapse | Acceso de lectura a los artefactos de código publicados y sus salidas. Puede crear nuevos artefactos, pero no puede publicar cambios ni ejecutar código sin permisos adicionales. | Área de trabajo |
| Operador de proceso de Synapse | Envíe trabajos y cuadernos de Spark y vea los registros. Incluye la cancelación de trabajos de Spark enviados por cualquier usuario. Requiere permisos de credenciales de uso adicionales en la identidad del sistema del área de trabajo para ejecutar canalizaciones, ver ejecuciones y salidas de canalización. Puede enviar y cancelar trabajos, incluidos los trabajos enviados por otros Puede ver los registros de los grupos de Spark |
Área de trabajo Grupo de Spark Entorno de ejecución de integración |
| Operador de supervisión de Synapse | Lea los artefactos de código publicados, incluidos los registros y salidas de las ejecuciones de canalización y los cuadernos completados. Permite enumerar y ver los detalles de los grupos de Apache Spark y Data Explorer, así como los entornos de ejecución de integración. Ejecutar o cancelar canalizaciones, cuadernos de Spark y trabajos de Spark requiere permisos adicionales. | Área de trabajo |
| Usuario de credenciales Synapse | Uso de secretos en el entorno de ejecución y al momento de la configuración en las credenciales y los servicios vinculados en actividades como la ejecución de canalizaciones. Para ejecutar canalizaciones, se requiere este rol, con el ámbito de la identidad del sistema del área de trabajo. En el ámbito de una credencial, permite el acceso a los datos a través de un servicio vinculado protegido por la credencial (puede que requiera el permiso de uso de proceso) Permite la ejecución de canalizaciones protegidas por la credencial de identidad del sistema del área de trabajo |
Área de trabajo Servicio vinculado Credencial |
| Administrador de datos vinculado a Synapse | Creación y administración de puntos de conexión privados administrados, servicios vinculados y credenciales. Puede crear puntos de conexión privados administrados que usan servicios vinculados protegidos por credenciales | Área de trabajo |
| Usuario de Synapse | Enumerar y ver los detalles de los grupos de SQL, los grupos de Apache Spark, los entornos de ejecución de integración y las credenciales y los servicios vinculados publicados. No incluye otros artefactos de código publicados. Puede crear nuevos artefactos, pero no puede publicar ni ejecutar sin permisos adicionales. Puede enumerar y leer grupos de Spark y entornos de ejecución de integración. |
Área de trabajo, grupo de Spark Servicio vinculado Credencial |
Roles de Synapse RBAC y las acciones que permiten
Nota
- Todas las acciones que figuran en las tablas siguientes tienen el prefijo "Microsoft.Synapse/..."
- Todas las acciones de lectura, escritura y eliminación de artefactos se realizan con respecto a los artefactos publicados en el servicio activo. Estos permisos no afectan el acceso a los artefactos en un repositorio de Git conectado.
En la tabla siguiente se enumeran los roles integrados, así como las acciones y permisos que admite cada uno de ellos.
| Role | Acciones |
|---|---|
| Administrador de Synapse | workspaces/read workspaces/roleAssignments/write, delete workspaces/managedPrivateEndpoint/write, delete workspaces/bigDataPools/useCompute/action workspaces/bigDataPools/viewLogs/action workspaces/integrationRuntimes/useCompute/action workspaces/integrationRuntimes/viewLogs/action workspaces/artifacts/read workspaces/notebooks/write, delete workspaces/sparkJobDefinitions/write, delete workspaces/sqlScripts/write, delete workspaces/kqlScripts/write, delete workspaces/dataFlows/write, delete workspaces/pipelines/write, delete workspaces/triggers/write, delete workspaces/datasets/write, delete workspaces/libraries/write, delete workspaces/linkedServices/write, delete workspaces/credentials/write, delete workspaces/notebooks/viewOutputs/action workspaces/pipelines/viewOutputs/action workspaces/linkedServices/useSecret/action workspaces/credentials/useSecret/action workspaces/linkConnections/read workspaces/linkConnections/write workspaces/linkConnections/delete workspaces/linkConnections/useCompute/action |
| Administrador de Synapse Apache Spark | workspaces/read workspaces/bigDataPools/useCompute/action workspaces/bigDataPools/viewLogs/action workspaces/notebooks/viewOutputs/action workspaces/artifacts/read workspaces/notebooks/write, delete workspaces/sparkJobDefinitions/write, delete workspaces/libraries/write, delete workspaces/linkedServices/write, delete workspaces/credentials/write, delete |
| Administrador de Synapse SQL | workspaces/read workspaces/artifacts/read workspaces/sqlScripts/write, delete workspaces/linkedServices/write, delete workspaces/credentials/write, delete |
| Colaborador de Synapse | workspaces/read workspaces/bigDataPools/useCompute/action workspaces/bigDataPools/viewLogs/action workspaces/integrationRuntimes/useCompute/action workspaces/integrationRuntimes/viewLogs/action workspaces/artifacts/read workspaces/notebooks/write, delete workspaces/sparkJobDefinitions/write, delete workspaces/sqlScripts/write, delete workspaces/kqlScripts/write, delete workspaces/dataFlows/write, delete workspaces/pipelines/write, delete workspaces/triggers/write, delete workspaces/datasets/write, delete workspaces/libraries/write, delete workspaces/linkedServices/write, delete workspaces/credentials/write, delete workspaces/notebooks/viewOutputs/action workspaces/pipelines/viewOutputs/action workspaces/linkConnections/read workspaces/linkConnections/write workspaces/linkConnections/delete workspaces/linkConnections/useCompute/action |
| Editor de artefactos de Synapse | workspaces/read workspaces/artifacts/read workspaces/notebooks/write, delete workspaces/sparkJobDefinitions/write, delete workspaces/sqlScripts/write, delete workspaces/kqlScripts/write, delete workspaces/dataFlows/write, delete workspaces/pipelines/write, delete workspaces/triggers/write, delete workspaces/datasets/write, delete workspaces/libraries/write, delete workspaces/linkedServices/write, delete workspaces/credentials/write, delete workspaces/notebooks/viewOutputs/action workspaces/pipelines/viewOutputs/action |
| Editor de artefactos de Synapse | workspaces/read workspaces/artifacts/read workspaces/notebooks/viewOutputs/action workspaces/pipelines/viewOutputs/action |
| Operador de proceso de Synapse | workspaces/read workspaces/bigDataPools/useCompute/action workspaces/bigDataPools/viewLogs/action workspaces/integrationRuntimes/useCompute/action workspaces/integrationRuntimes/viewLogs/action workspaces/linkConnections/read workspaces/linkConnections/useCompute/action |
| Operador de supervisión de Synapse | workspaces/read workspaces/artifacts/read workspaces/notebooks/viewOutputs/action workspaces/pipelines/viewOutputs/action workspaces/integrationRuntimes/viewLogs/action workspaces/bigDataPools/viewLogs/action |
| Usuario de credenciales Synapse | workspaces/read workspaces/linkedServices/useSecret/action workspaces/credentials/useSecret/action |
| Administrador de datos vinculado a Synapse | workspaces/read workspaces/managedPrivateEndpoint/write, delete workspaces/linkedServices/write, delete workspaces/credentials/write, delete |
| Usuario de Synapse | workspaces/read |
Acciones de Synapse RBAC y los roles que las permiten
En la tabla siguiente se enumeran las acciones de Synapse y los roles integrados que permiten realizar estas acciones:
| Acción | Role |
|---|---|
| workspaces/read | Administrador de Synapse Administrador de Synapse Apache Spark Administrador de Synapse SQL Colaborador de Synapse Editor de artefactos de Synapse Usuario de artefactos de Synapse Operador de procesos de Synapse Operador de supervisión de Synapse Usuario de credenciales de Synapse Administrador de datos vinculado a Synapse Usuario de Synapse |
| workspaces/roleAssignments/write, delete | Administrador de Synapse |
| workspaces/managedPrivateEndpoint/write, delete | Administrador de Synapse Administrador de datos vinculado a Synapse |
| workspaces/bigDataPools/useCompute/action | Administrador de Synapse Administrador de Synapse Apache Spark Colaborador de Synapse Operador de procesos de Synapse Operador de supervisión de Synapse |
| workspaces/bigDataPools/viewLogs/action | Administrador de Synapse Administrador de Synapse Apache Spark Colaborador de Synapse Operador de proceso de Synapse |
| workspaces/integrationRuntimes/useCompute/action | Administrador de Synapse Colaborador de Synapse Operador de procesos de Synapse Operador de supervisión de Synapse |
| workspaces/integrationRuntimes/viewLogs/action | Administrador de Synapse Colaborador de Synapse Operador de procesos de Synapse Operador de supervisión de Synapse |
| workspaces/linkConnections/read | Administrador de Synapse Colaborador de Synapse Operador de proceso de Synapse |
| workspaces/linkConnections/useCompute/action | Administrador de Synapse Colaborador de Synapse Operador de proceso de Synapse |
| workspaces/artifacts/read | Administrador de Synapse Administrador de Synapse Apache Spark Administrador de Synapse SQL Colaborador de Synapse Editor de artefactos de Synapse Usuario de artefactos de Synapse |
| workspaces/notebooks/write, delete | Administrador de Synapse Administrador de Synapse Apache Spark Colaborador de Synapse Editor de artefactos de Synapse |
| workspaces/sparkJobDefinitions/write, delete | Administrador de Synapse Administrador de Synapse Apache Spark Colaborador de Synapse Editor de artefactos de Synapse |
| workspaces/sqlScripts/write, delete | Administrador de Synapse Administrador de Synapse SQL Colaborador de Synapse Editor de artefactos de Synapse |
| workspaces/kqlScripts/write, delete | Administrador de Synapse Colaborador de Synapse Editor de artefactos de Synapse |
| workspaces/dataFlows/write, delete | Administrador de Synapse Colaborador de Synapse Editor de artefactos de Synapse |
| workspaces/pipelines/write, delete | Administrador de Synapse Colaborador de Synapse Editor de artefactos de Synapse |
| workspaces/linkConnections/write, delete | Administrador de Synapse Colaborador de Synapse |
| workspaces/triggers/write, delete | Administrador de Synapse Colaborador de Synapse Editor de artefactos de Synapse |
| workspaces/datasets/write, delete | Administrador de Synapse Colaborador de Synapse Editor de artefactos de Synapse |
| workspaces/libraries/write, delete | Administrador de Synapse Administrador de Synapse Apache Spark Colaborador de Synapse Editor de artefactos de Synapse |
| workspaces/linkedServices/write, delete | Administrador de Synapse Administrador de Synapse Apache Spark Administrador de Synapse SQL Colaborador de Synapse Editor de artefactos de Synapse Administrador de datos vinculado a Synapse |
| workspaces/credentials/write, delete | Administrador de Synapse Administrador de Synapse Apache Spark Administrador de Synapse SQL Colaborador de Synapse Editor de artefactos de Synapse Administrador de datos vinculado a Synapse |
| workspaces/notebooks/viewOutputs/action | Administrador de Synapse Administrador de Synapse Apache Spark Colaborador de Synapse Editor de artefactos de Synapse Usuario de artefactos de Synapse |
| workspaces/pipelines/viewOutputs/action | Administrador de Synapse Colaborador de Synapse Editor de artefactos de Synapse Usuario de artefactos de Synapse |
| workspaces/linkedServices/useSecret/action | Administrador de Synapse Usuario de credenciales de Synapse |
| workspaces/credentials/useSecret/action | Administrador de Synapse Usuario de credenciales de Synapse |
Ámbitos de Synapse RBAC y los roles compatibles
En la tabla siguiente se enumeran los ámbitos de Synapse RBAC y los roles que se pueden asignar en cada ámbito.
Nota
Para crear o eliminar un objeto, debe tener permisos en un ámbito de nivel superior.
| Ámbito | Roles |
|---|---|
| Área de trabajo | Administrador de Synapse Administrador de Synapse Apache Spark Administrador de Synapse SQL Colaborador de Synapse Editor de artefactos de Synapse Usuario de artefactos de Synapse Operador de procesos de Synapse Operador de supervisión de Synapse Usuario de credenciales de Synapse Administrador de datos vinculado a Synapse Usuario de Synapse |
| Grupo de Apache Spark | Administrador de Synapse Colaborador de Synapse Operador de proceso de Synapse |
| Tiempo de ejecución de integración | Administrador de Synapse Colaborador de Synapse Operador de proceso de Synapse |
| Servicio vinculado | Administrador de Synapse Usuario de credenciales de Synapse |
| Credential: | Administrador de Synapse Usuario de credenciales de Synapse |
Nota
El ámbito de todos los roles y acciones de artefactos se encuentra en el nivel de área de trabajo.
Pasos siguientes
- Aprenda a examinar las asignaciones de roles de Synapse RBAC para un área de trabajo.
- Aprenda a asignar roles de Synapse RBAC