Ruoli e autorizzazioni per Azure Data FactoryRoles and permissions for Azure Data Factory

Questo articolo descrive i ruoli necessari per creare e gestire le risorse di Azure Data Factory e le autorizzazioni concesse da tali ruoli.This article describes the roles required to create and manage Azure Data Factory resources, and the permissions granted by those roles.

Ruoli e requisitiRoles and requirements

Per creare istanze di Data Factory, l'account utente usato per accedere ad Azure deve essere un membro del ruolo collaboratore o proprietario oppure un amministratore della sottoscrizione di Azure.To create Data Factory instances, the user account that you use to sign in to Azure must be a member of the contributor or owner role, or an administrator of the Azure subscription. Per visualizzare le autorizzazioni disponibili nella sottoscrizione, nel portale di Azure selezionare il nome utente nell'angolo in alto a destra e quindi selezionare Autorizzazioni.To view the permissions that you have in the subscription, in the Azure portal, select your username in the upper-right corner, and then select Permissions. Se si accede a più sottoscrizioni, selezionare quella appropriata.If you have access to multiple subscriptions, select the appropriate subscription.

Per creare e gestire le risorse figlio per Data Factory, inclusi i set di dati, i servizi collegati, le pipeline, i trigger e i runtime di integrazione, sono applicabili i requisiti seguenti:To create and manage child resources for Data Factory - including datasets, linked services, pipelines, triggers, and integration runtimes - the following requirements are applicable:

  • Per creare e gestire le risorse figlio nel portale di Azure, è necessario appartenere al ruolo Collaboratore Data Factory a livello di gruppo di risorse o superiore.To create and manage child resources in the Azure portal, you must belong to the Data Factory Contributor role at the resource group level or above.
  • Per creare e gestire le risorse figlio con PowerShell o l'SDK, è sufficiente il ruolo di collaboratore a livello di risorsa o superiore.To create and manage child resources with PowerShell or the SDK, the contributor role at the resource level or above is sufficient.

Per istruzioni di esempio su come aggiungere un utente a un ruolo, vedere l'articolo Aggiungere i ruoli.For sample instructions about how to add a user to a role, see the Add roles article.

Impostare le autorizzazioniSet up permissions

Dopo aver creato una data factory è possibile consentire ad altri utenti di lavorare con essa.After you create a Data Factory, you may want to let other users work with the data factory. Per concedere l'accesso ad altri utenti, è necessario aggiungerli al ruolo Collaboratore Data factory predefinito sul gruppo di risorse che contiene la data factory.To give this access to other users, you have to add them to the built-in Data Factory Contributor role on the resource group that contains the data factory.

Ambito del ruolo Collaboratore Data factoryScope of the Data Factory Contributor role

L'appartenenza al ruolo Collaboratore Data factory consente agli utenti di eseguire le operazioni seguenti:Membership in the Data Factory Contributor role lets users do the following things:

  • Creare, modificare ed eliminare le data factory e le risorse figlio, inclusi i set di dati, i servizi collegati, le pipeline, i trigger e i runtime di integrazione.Create, edit, and delete data factories and child resources including datasets, linked services, pipelines, triggers, and integration runtimes.
  • Distribuire i modelli di Resource Manager.Deploy Resource Manager templates. La distribuzione di Resource Manager è il metodo di distribuzione usato da Data Factory nel portale di Azure.Resource Manager deployment is the deployment method used by Data Factory in the Azure portal.
  • Gestire gli avvisi di Application Insights per una data factory.Manage App Insights alerts for a data factory.
  • Creare i ticket di supporto.Create support tickets.

Per altre informazioni su questo ruolo, vedere il ruolo Collaboratore Data factory.For more info about this role, see Data Factory Contributor role.

Distribuzione del modello di Resource ManagerResource Manager template deployment

Il ruolo Collaboratore Data factory, a livello di gruppo di risorse o superiore, consente agli utenti di distribuire i modelli di Resource Manager.The Data Factory Contributor role, at the resource group level or above, lets users deploy Resource Manager templates. Di conseguenza, i membri del ruolo possono usare i modelli di Resource Manager per distribuire le data factory e le relative risorse figlio, inclusi i set di dati, i servizi collegati, le pipeline, i trigger e i runtime di integrazione.As a result, members of the role can use Resource Manager templates to deploy both data factories and their child resources, including datasets, linked services, pipelines, triggers, and integration runtimes. L'appartenenza a questo ruolo non consente tuttavia all'utente di creare altre risorse.Membership in this role does not let the user create other resources, however.

Le autorizzazioni per Azure Repos e GitHub sono indipendenti dalle autorizzazioni di Data Factory.Permissions on Azure Repos and GitHub are independent of Data Factory permissions. Di conseguenza, un utente con autorizzazioni di repository che è solo un membro del ruolo lettore può modificare le risorse figlio di Data Factory ed eseguire il commit delle modifiche nel repository, ma non può pubblicare tali modifiche.As a result, a user with repo permissions who is only a member of the Reader role can edit Data Factory child resources and commit changes to the repo, but can't publish these changes.

Importante

La distribuzione dei modelli di Resource Manager con il ruolo Collaboratore Data factory non eleva le autorizzazioni.Resource Manager template deployment with the Data Factory Contributor role does not elevate your permissions. Ad esempio, se si distribuisce un modello che crea una macchina virtuale di Azure e non si è autorizzati a creare macchine virtuali, la distribuzione ha esito negativo con un errore di autorizzazione.For example, if you deploy a template that creates an Azure virtual machine, and you don't have permission to create virtual machines, the deployment fails with an authorization error.

Scenari personalizzati e ruoli personalizzatiCustom scenarios and custom roles

In alcuni casi potrebbe essere necessario concedere livelli di accesso diversi a utenti di data factory diversi.Sometimes you may need to grant different access levels for different data factory users. Ad esempio:For example:

  • Potrebbe servire un gruppo in cui gli utenti dispongano solo di autorizzazioni su una data factory specifica.You may need a group where users only have permissions on a specific data factory.
  • Oppure potrebbe essere necessario un gruppo in cui gli utenti possano monitorare solo una data factory (o più data factory) ma non possano modificarla.Or you may need a group where users can only monitor a data factory (or factories) but can't modify it.

È possibile ottenere questi scenari personalizzati creando ruoli personalizzati e assegnando gli utenti a tali ruoli.You can achieve these custom scenarios by creating custom roles and assigning users to those roles. Per altre informazioni sui ruoli personalizzati, vedere Ruoli personalizzati in Azure.For more info about custom roles, see Custom roles in Azure.

Ecco alcuni esempi che illustrano cosa si può ottenere con i ruoli personalizzati:Here are a few examples that demonstrate what you can achieve with custom roles:

  • Consentire a un utente di creare, modificare o eliminare qualsiasi data factory in un gruppo di risorse dal portale di Azure.Let a user create, edit, or delete any data factory in a resource group from the Azure portal.

    Assegnare il ruolo Collaboratore Data factory a livello di gruppo di risorse per l'utente.Assign the built-in Data Factory contributor role at the resource group level for the user. Se si desidera consentire l'accesso a qualsiasi data factory in una sottoscrizione, assegnare il ruolo a livello di sottoscrizione.If you want to allow access to any data factory in a subscription, assign the role at the subscription level.

  • Consentire a un utente di visualizzare (leggere) e monitorare una data factory, ma non di modificarla o cambiarla.Let a user view (read) and monitor a data factory, but not edit or change it.

    Assegnare il ruolo lettore predefinito alla risorsa di data factory per l'utente.Assign the built-in reader role on the data factory resource for the user.

  • Consentire a un utente di modificare una sola data factory nel portale di Azure.Let a user edit a single data factory in the Azure portal.

    Questo scenario richiede due assegnazioni di ruolo.This scenario requires two role assignments.

    1. Assegnare il ruolo collaboratore predefinito a livello di data factory.Assign the built-in contributor role at the data factory level.
    2. Creare un ruolo personalizzato con l'autorizzazione Microsoft.Resources/deployments/ .Create a custom role with the permission Microsoft.Resources/deployments/. Assegnare questo ruolo personalizzato all'utente a livello di gruppo di risorse.Assign this custom role to the user at resource group level.
  • Consentire a un utente di testare la connessione solo in un servizio collegatoLet a user only be able to test connection in a linked service

    Creare un ruolo di ruolo personalizzato con le autorizzazioni per le azioni seguenti: Microsoft. DataFactory/factorys/getFeatureValue/Read e Microsoft. DataFactory/factorys/getDataPlaneAccess/Read.Create a custom role role with permissions for the following actions: Microsoft.DataFactory/factories/getFeatureValue/read and Microsoft.DataFactory/factories/getDataPlaneAccess/read. Assegnare questo ruolo personalizzato alla risorsa data factory per l'utente.Assign this custom role on the data factory resource for the user.

  • Consentire a un utente di aggiornare una data factory da PowerShell o da SDK, ma non nel portale di Azure.Let a user update a data factory from PowerShell or the SDK, but not in the Azure portal.

    Assegnare il ruolo collaboratore predefinito alla risorsa di data factory per l'utente.Assign the built-in contributor role on the data factory resource for the user. Questo ruolo consente all'utente di vedere le risorse nel portale di Azure, ma di non poter interagire con i pulsanti Pubblica e Pubblica tutti.This role lets the user see the resources in the Azure portal, but the user can't access the Publish and Publish All buttons.

Passaggi successiviNext steps