Peran RBAC Synapse
Artikel tersebut menjelaskan peran Synapse RBAC (kontrol akses berbasis peran) bawaan, izin yang diberikan, dan cakupan penggunaannya.
Untuk informasi selengkapnya tentang meninjau dan menetapkan keanggotaan peran Synapse, lihat cara meninjau penetapan peran RBAC Synapse dan cara menetapkan peran RBAC Synapse.
Peran dan cakupan RBAC Synapse bawaan
Tabel berikut ini menjelaskan peran bawaan dan cakupan tempat tabel tersebut dapat digunakan.
Catatan
Pengguna dengan peran RBAC Synapse apa pun di lingkup apa pun secara otomatis memiliki peran Pengguna Synapse di lingkup ruang kerja.
Penting
Peran RBAC Synapse tidak memberikan izin untuk membuat atau mengelola kumpulan SQL, kumpulan Apache Spark, dan runtime Integrasi di ruang kerja Azure Synapse. Peran Azure Owner atau Azure Contributor pada grup sumber daya diperlukan untuk tindakan ini.
| Peran | Izin | Cakupan |
|---|---|---|
| Administrator Sinaps | Akses Synapse penuh ke kumpulan SQL tanpa server dan khusus, kumpulan Data Explorer, kumpulan Apache Spark, dan Runtime integrasi. Termasuk membuat, membaca, memperbarui, dan menghapus akses ke semua artefak kode yang diterbitkan. Termasuk Computer Operator, Linked Data Manager, dan izin Credential User pada informasi masuk identitas sistem ruang kerja. Termasuk menetapkan peran Synapse RBAC. Selain Synapse Administrator, Azure Owners juga dapat menetapkan peran Synapse RBAC. Izin akses Azure diperlukan untuk membuat, menghapus, dan mengelola sumber daya komputasi. Peran RBAC Synapse dapat ditetapkan bahkan ketika langganan terkait dinonaktifkan.Dapat membaca dan menulis artefak Dapat melakukan semua tindakan pada aktivitas Spark. Dapat melihat log kumpulan Spark Dapat melihat notebook dan output alur yang disimpan Dapat menggunakan rahasia yang disimpan oleh layanan atau info masuk tertautDapat menetapkan dan mencabut peran RBAC Synapse pada cakupan saat ini | Ruang kerja kumpulan Spark Runtime integrasi Layanan tertautInfo masuk |
| Synapse Apache Spark Administrator | Akses Synapse penuh ke Apache Spark Pools. Membuat, membaca, memperbarui, dan menghapus akses ke definisi pekerjaan, notebook dan output Spark yang diterbitkan, serta ke pustaka, layanan tertaut, dan kredensial. Termasuk akses baca ke semua artefak kode lain yang diterbitkan. Tidak termasuk izin untuk menggunakan kredensial dan mengeksekusi alur. Tidak termasuk pemberian akses. Dapat melakukan semua tindakan pada artefak SparkDapat melakukan semua tindakan pada aktivitas Spark | Ruang kerjaKumpulan Spark |
| Admin Synapse SQL | Akses Synapse penuh ke kumpulan SQL tanpa server. Buat, baca, perbarui, dan hapus akses ke skrip, kredensial, dan layanan tertaut SQL yang dipublikasikan. Termasuk akses baca ke semua artefak kode lain yang diterbitkan. Tidak termasuk izin untuk menggunakan kredensial dan mengeksekusi alur. Tidak termasuk pemberian akses. Dapat melakukan semua tindakan pada skrip SQL Dapat tersambung ke titik akhir tanpa server SQL dengan SQL db_datareader, db_datawriter, connect, dan grantizin |
Ruang kerja |
| Synapse Contributor | Akses Synapse penuh ke kumpulan Apache Spark dan runtime Integrasi. Termasuk membuat, membaca, memperbarui, dan menghapus akses ke semua artefak kode yang diterbitkan dan outputnya, termasuk alur terjadwal, kredensial, dan layanan tertaut. Disertai izin akses operator komputasi. Tidak termasuk izin untuk menggunakan kredensial dan mengeksekusi alur. Tidak termasuk pemberian akses. Dapat membaca dan menulis artefakDapat melihat notebook yang tersimpan dan output alurDapat melakukan semua tindakan pada aktivitas SparkDapat melihat log kumpulan Spark | Ruang kerja kumpulan Spark Runtime integrasi |
| Synapse Artifact Publisher | Membuat, membaca, memperbarui, dan menghapus akses ke artefak kode yang diterbitkan dan outputnya, termasuk alur terjadwal. Tidak termasuk izin untuk menjalankan kode atau alur, atau untuk memberikan akses. Dapat membaca artefak yang diterbitkan dan menerbitkan artefakDapat menampilkan notebook yang tersimpan, pekerjaan Spark, dan output alur | Ruang kerja |
| Synapse Artifact User | Membaca akses ke artefak kode yang dipublikasikan dan outputnya. Dapat membuat artefak baru tetapi tidak dapat menerbitkan perubahan atau menjalankan kode tanpa izin tambahan. | Ruang kerja |
| Synapse Compute Operator | Mengirim pekerjaan Spark dan notebook serta menampilkan log. Termasuk membatalkan pekerjaan Spark yang dikirimkan oleh pengguna mana pun. Memerlukan izin info masuk penggunaan tambahan pada identitas sistem ruang kerja untuk menjalankan alur, melihat alur dan output. Dapat mengirimkan dan membatalkan pekerjaan, termasuk pekerjaan yang dikirimkan oleh orang lainDapat melihat log kumpulan Spark | Ruang kerjaKumpulan SparkRuntime integrasi |
| Operator Pemantauan Synapse | Baca artefak kode yang diterbitkan, termasuk log dan output untuk eksekusi alur dan notebook yang telah selesai. Mencakup kemampuan untuk mencantumkan dan melihat detail kumpulan Apache Spark, kumpulan Data Explorer, dan Runtime integrasi. Memerlukan izin tambahan untuk menjalankan/membatalkan alur, notebook Spark, dan pekerjaan Spark. | Ruang kerja |
| Synapse Credential User | Penggunaan rahasia runtime dan waktu konfigurasi di dalam kredensial dan layanan yang tertaut dalam aktivitas seperti eksekusi alur. Untuk menjalankan alur, peran ini diperlukan, dicakupkan ke identitas sistem ruang kerja. Tercakup dalam informasi masuk, mengizinkan akses ke data melalui layanan tertaut yang dilindungi oleh informasi masuk (mungkin juga memerlukan izin penggunaan komputasi) Memungkinkan eksekusi alur yang dilindungi oleh informasi masuk identitas sistem ruang kerja | Ruang Kerja Layanan TertautInfo Masuk |
| Synapse Linked Data Manager | Pembuatan dan pengelolaan endpoint privat yang terkelola, layanan tertaut, dan kredensial. Dapat membuat endpoint privat terkelola yang menggunakan layanan tertaut dilindungi oleh kredensial | Ruang kerja |
| Pengguna Synapse | Mencantumkan dan melihat detail kumpulan SQL, kumpulan Apache Spark, runtime Integrasi, serta layanan dan kredensial tertaut yang dipublikasikan. Tidak termasuk artefak kode yang diterbitkan lainnya. Dapat membuat artefak baru tetapi tidak bisa menjalankan atau menerbitkan tanpa izin tambahan. Dapat mencantumkan dan membaca kumpulan Spark, runtime Integrasi. | Ruang kerja, kumpulan SparkLayanan tertaut Info masuk |
Peran RBAC Synapse dan tindakan yang mereka izinkan
Catatan
- Semua tindakan yang tercantum dalam tabel di bawah ini diawali, "Microsoft.Synapse/..."
- Semua tindakan baca, tulis, dan hapus artefak berhubungan dengan artefak-artefak yang dipublikasikan dalam layanan langsung. Izin-izin tersebut tidak mempengaruhi akses ke artefak dalam repositori Git yang terhubung.
Tabel berikut ini mencantumkan peran bawaan dan tindakan/izin yang didukung masing-masing.
| Peran | Tindakan |
|---|---|
| Administrator Sinaps | workspaces/readworkspaces/roleAssignments/write, deleteworkspaces/managedPrivateEndpoint/write, deleteworkspaces/bigDataPools/useCompute/actionworkspaces/bigDataPools/viewLogs/actionworkspaces/integrationRuntimes/useCompute/actionworkspaces/integrationRuntimes/viewLogs/actionworkspaces/artifacts/readworkspaces/notebooks/write, deleteworkspaces/sparkJobDefinitions/write, deleteworkspaces/sqlScripts/write, deleteworkspaces/kqlScripts/write, deleteworkspaces/dataFlows/write, deleteworkspaces/pipelines/write, deleteworkspaces/triggers/write, deleteworkspaces/datasets/write, deleteworkspaces/libraries/write, deleteworkspaces/linkedServices/write, deleteworkspaces/credentials/write, deleteworkspaces/notebooks/viewOutputs/actionworkspaces/pipelines/viewOutputs/actionworkspaces/linkedServices/useSecret/actionworkspaces/credentials/useSecret/actionworkspaces/linkConnections/readworkspaces/linkConnections/writeworkspaces/linkConnections/deleteworkspaces/linkConnections/useCompute/action |
| Synapse Apache Spark Administrator | workspaces/readworkspaces/bigDataPools/useCompute/actionworkspaces/bigDataPools/viewLogs/actionworkspaces/notebooks/viewOutputs/actionworkspaces/artifacts/readworkspaces/notebooks/write, deleteworkspaces/sparkJobDefinitions/write, deleteworkspaces/libraries/write, deleteworkspaces/linkedServices/write, deleteworkspaces/credentials/write, delete |
| Admin Synapse SQL | workspaces/readworkspaces/artifacts/readworkspaces/sqlScripts/write, deleteworkspaces/linkedServices/write, deleteworkspaces/credentials/write, delete |
| Synapse Contributor | workspaces/readworkspaces/bigDataPools/useCompute/actionworkspaces/bigDataPools/viewLogs/actionworkspaces/integrationRuntimes/useCompute/actionworkspaces/integrationRuntimes/viewLogs/actionworkspaces/artifacts/readworkspaces/notebooks/write, deleteworkspaces/sparkJobDefinitions/write, deleteworkspaces/sqlScripts/write, deleteworkspaces/kqlScripts/write, deleteworkspaces/dataFlows/write, deleteworkspaces/pipelines/write, deleteworkspaces/triggers/write, deleteworkspaces/datasets/write, deleteworkspaces/libraries/write, deleteworkspaces/linkedServices/write, deleteworkspaces/credentials/write, deleteworkspaces/notebooks/viewOutputs/actionworkspaces/pipelines/viewOutputs/actionworkspaces/linkConnections/readworkspaces/linkConnections/writeworkspaces/linkConnections/deleteworkspaces/linkConnections/useCompute/action |
| Synapse Artifact Publisher | workspaces/readworkspaces/artifacts/readworkspaces/notebooks/write, deleteworkspaces/sparkJobDefinitions/write, deleteworkspaces/sqlScripts/write, deleteworkspaces/kqlScripts/write, deleteworkspaces/dataFlows/write, deleteworkspaces/pipelines/write, deleteworkspaces/triggers/write, deleteworkspaces/datasets/write, deleteworkspaces/libraries/write, deleteworkspaces/linkedServices/write, deleteworkspaces/credentials/write, deleteworkspaces/notebooks/viewOutputs/actionworkspaces/pipelines/viewOutputs/action |
| Synapse Artifact User | workspaces/readworkspaces/artifacts/readworkspaces/notebooks/viewOutputs/actionworkspaces/pipelines/viewOutputs/action |
| Synapse Compute Operator | workspaces/readworkspaces/bigDataPools/useCompute/actionworkspaces/bigDataPools/viewLogs/actionworkspaces/integrationRuntimes/useCompute/actionworkspaces/integrationRuntimes/viewLogs/actionworkspaces/linkConnections/readworkspaces/linkConnections/useCompute/action |
| Operator Pemantauan Synapse | workspaces/readworkspaces/artifacts/readworkspaces/notebooks/viewOutputs/actionworkspaces/pipelines/viewOutputs/actionworkspaces/integrationRuntimes/viewLogs/actionworkspaces/bigDataPools/viewLogs/action |
| Synapse Credential User | workspaces/readworkspaces/linkedServices/useSecret/actionworkspaces/credentials/useSecret/action |
| Synapse Linked Data Manager | workspaces/readworkspaces/managedPrivateEndpoint/write, deleteworkspaces/linkedServices/write, deleteworkspaces/credentials/write, delete |
| Pengguna Synapse | workspaces/read |
Tindakan RBAC Synapse dan peran yang mengizinkan mereka
Tabel berikut ini mencantumkan tindakan Synapse dan peran bawaan yang mengizinkan tindakan ini:
| Perbuatan | Peran |
|---|---|
| workspaces/read | Administrator SynapseAdministrator Synapse Apache SparkAdministrator Synapse SQLKontributor SynapsePenerbit Artefak SynapsePengguna Artefak SynapseOperator Komputasi Synapse Operator Pemantauan Synapse Pengguna Info Masuk SynapseManajer Data Tertaut SynapsePengguna Synapse |
| workspaces/roleAssignments/write, delete | Administrator Sinaps |
| workspaces/managedPrivateEndpoint/write, delete | Administrator SynapseManajer Data Tertaut Synapse |
| workspaces/bigDataPools/useCompute/action | Synapse AdministratorSynapse Apache Spark AdministratorSynapse ContributorSynapse Compute Operator Synapse Monitoring Operator |
| workspaces/bigDataPools/viewLogs/action | Administrator SynapseAdministrator Synapse Apache SparkKontributor SynapseOperator Komputasi Synapse |
| workspaces/integrationRuntimes/useCompute/action | Administrator SynapseKontributor SynapseOperator Komputasi SynapseOperator Pemantauan Synapse |
| workspaces/integrationRuntimes/viewLogs/action | Administrator SynapseKontributor SynapseOperator Komputasi SynapseOperator Pemantauan Synapse |
| workspaces/linkConnections/read | Administrator SynapseKontributor SynapseOperator Komputasi Synapse |
| workspaces/linkConnections/useCompute/action | Administrator SynapseKontributor SynapseOperator Komputasi Synapse |
| workspaces/artifacts/read | Administrator SynapseAdministrator Synapse Apache SparkAdministrator Synapse SQLKontributor SynapsePenerbit Artefak SynapsePengguna Artefak Synapse |
| workspaces/notebooks/write, delete | Administrator SynapseAdministrator Synapse Apache SparkKontributor SynapsePenerbit Artefak Synapse |
| workspaces/sparkJobDefinitions/write, delete | Administrator SynapseAdministrator Synapse Apache SparkKontributor SynapsePenerbit Artefak Synapse |
| workspaces/sqlScripts/write, delete | Administrator SynapseAdministrator Synapse SQLKontributor SynapsePenerbit Artefak Synapse |
| workspaces/kqlScripts/write, delete | Administrator SynapseKontributor SynapsePenerbit Artefak Synapse |
| workspaces/dataFlows/write, delete | Administrator SynapseKontributor SynapsePenerbit Artefak Synapse |
| workspaces/pipelines/write, delete | Administrator SynapseKontributor SynapsePenerbit Artefak Synapse |
| workspaces/linkConnections/write, delete | Kontributor Synapse AdministratorSynapse |
| workspaces/triggers/write, delete | Administrator SynapseKontributor SynapsePenerbit Artefak Synapse |
| workspaces/datasets/write, delete | Administrator SynapseKontributor SynapsePenerbit Artefak Synapse |
| workspaces/libraries/write, delete | Administrator SynapseAdministrator Synapse Apache SparkKontributor SynapsePenerbit Artefak Synapse |
| workspaces/linkedServices/write, delete | Administrator SynapseAdministrator Synapse Apache SparkAdministrator Synapse SQLKontributor SynapsePenerbit Artefak SynapseManajer Data Tertaut Synapse |
| workspaces/credentials/write, delete | Administrator SynapseAdministrator Synapse Apache SparkAdministrator Synapse SQLKontributor SynapsePenerbit Artefak SynapseManajer Data Tertaut Synapse |
| workspaces/notebooks/viewOutputs/action | Administrator SynapseAdministrator Synapse Apache SparkKontributor SynapsePenerbit Artefak SynapsePengguna Artefak Synapse |
| workspaces/pipelines/viewOutputs/action | Administrator SynapseKontributor SynapsePenerbit Artefak SynapsePengguna Artefak Synapse |
| workspaces/linkedServices/useSecret/action | Administrator SynapsePengguna Info Masuk Synapse |
| workspaces/credentials/useSecret/action | Administrator SynapsePengguna Info Masuk Synapse |
Lingkup RBAC Synapse dan perannya yang didukung
Tabel di bawah ini mencantumkan cakupan RBAC Synapse dan peran yang dapat ditetapkan di setiap lingkup.
Catatan
Untuk membuat atau menghapus objek, Anda harus memiliki izin pada lingkup tingkat yang lebih tinggi.
| Cakupan | Peran |
|---|---|
| Ruang kerja | Administrator SynapseAdministrator Synapse Apache SparkAdministrator Synapse SQLKontributor SynapsePenerbit Artefak SynapsePengguna Artefak SynapseOperator Komputasi Synapse Operator Pemantauan Synapse Pengguna Info Masuk SynapseManajer Data Tertaut SynapsePengguna Synapse |
| Kumpulan Apache Spark | Administrator Synapse Kontributor Synapse Operator Komputasi Synapse |
| Runtime integrasi | Administrator Synapse Kontributor Synapse Operator Komputasi Synapse |
| Layanan tertaut | Administrator Synapse Pengguna Info Masuk Synapse |
| Kredensial | Administrator Synapse Pengguna Info Masuk Synapse |
Catatan
Semua peran dan tindakan artefak tercakup di tingkat ruang kerja.
Langkah berikutnya
- Pelajari cara meninjau penetapan peran RBAC Synapse untuk ruang kerja.
- Pelajari cara menetapkan peran RBAC Synapse