Azure Synapse で一般的なタスクを実行するために必要なロールについて
この記事では、Synapse Studio で作業を行うために必要な Synapse RBAC (ロールベースのアクセス制御) ロールまたは Azure RBAC ロールについて説明します。 ロール メンバーシップを管理するには、Synapse RBAC ロールの割り当ての管理に関するページを参照してください。
Synapse Studio のアクセス制御とワークフローの概要
Synapse Studio にアクセスする
Synapse Studio を開き、ワークスペースの詳細を表示し、SQL プール、Spark プール、統合ランタイムなどの、そのあらゆる Azure リソースを一覧表示できます。 Synapse RBAC ロールが割り当てられているか、ワークスペースの Azure 所有者、共同作成者、または閲覧者ロールを持っているかどうかが表示されます。
リソース管理
リソース グループの Azure 所有者または共同作成者である場合は、SQL プール、Data Explorer プール、Apache Spark プールを作成できます。 ワークスペースの Azure 所有者または共同作成者である場合は、統合ランタイムを作成できます。 自動デプロイに ARM テンプレートを使用する場合は、リソース グループの Azure 共同作成者である必要があります。
ワークスペースまたはそのリソースの Azure 所有者または共同作成者である場合は、専用の SQL プールを一時停止またはスケーリングしたり、Spark プールまたは統合ランタイムを構成したりすることができます。
コード成果物を表示および編集する
Synapse Studio にアクセスすると、SQL スクリプト、KQL スクリプト、ノートブック、Spark ジョブ、リンクされたサービス、パイプライン、データフロー、トリガー、資格情報などの新しいコード成果物を作成できます。 追加のアクセス許可があれば、これらの成果物を公開または保存できます。
Synapse 成果物ユーザー、Synapse 成果物発行元、Synapse 共同作成者、または Synapse 管理者は、スケジュールされたパイプラインを含む、既に発行されているコード成果物を一覧表示すること、開くこと、および編集することができます。
コードを実行する
SQL プールに定義された必要な SQL アクセス許可を持っている場合は、SQL プールで SQL スクリプトを実行できます。 必要なアクセス許可がある場合は、Data Explorer プールで KQL スクリプトを実行できます。
ワークスペースまたは特定の Apache Spark プールに対する Synapse コンピューティング オペレーターのアクセス許可を持っている場合は、ノートブックと Spark ジョブを実行できます。
ワークスペースまたは特定の統合ランタイムに対するコンピューティング オペレーターのアクセス許可と、適切な資格情報のアクセス許可があれば、パイプラインを実行できます。
実行を監視および管理する
Synapse ユーザーである場合は、Apache Spark プールで実行中のノートブックとジョブの状態を確認できます。
ワークスペースまたは特定の Spark プールまたはパイプラインの Synapse コンピューティング オペレーターである場合は、ログを確認したり、実行中のジョブとパイプラインを取り消したりすることができます。
パイプラインをデバッグする
パイプラインでは Synapse ユーザーとして確認したり変更できますが、デバッグできるようにする場合は、Synapse 資格情報ユーザーも必要です。
コードを発行して保存する
Synapse 成果物発行元、Synapse 共同作成者、または Synapse 管理者である場合は、新しいまたは更新されたコード成果物をサービスに発行できます。
ワークスペースが Git 対応で自分に Git アクセス許可がある場合は、Git リポジトリの作業ブランチにコード成果物をコミットできます。 Git 対応の場合、発行はコラボレーション ブランチからのもののみが許可されます。
コード成果物への変更を発行またはコミットせずに Synapse Studio を終了すると、それらの変更は失われます。
タスクと必要なロール
次の表は、一般的なタスクと、各タスクに必要な Synapse RBAC または Azure RBAC ロールを示しています。
Note
Synapse 管理者は、必要なアクセス許可を提供する唯一のロールでない限り、各タスクに示されていません。 Synapse 管理者は、他の Synapse RBAC ロールによって可能になるすべてのタスクを実行できます。
Note
別のテナントのゲスト ユーザーは、Synapse 管理者として割り当てられた後、ロールの割り当てを確認、追加、変更することができます。
最低限必要な Synapse RBAC ロールが表示されます。
あらゆるスコープのすべての Synapse RBAC ロールによって、ワークスペースでの Synapse ユーザーのアクセス許可が提供されます。
表に示されているすべての Synapse RBAC のアクセス許可およびアクションには、プレフィックスとして Microsoft/Synapse/workspaces/... が付いています。
| タスク (実行する操作...) | ロール (必要なのは...) | Synapse RBAC アクセス許可/アクション |
|---|---|---|
| ワークスペースで Synapse Studio を開く | Synapse ユーザーまたは | 読み取り |
| ワークスペースの Azure 所有者、共同作成者、または閲覧者 | なし | |
| SQL プール、Data Explorer プール、Apache Spark プール、または統合ランタイムを一覧表示し、それらの構成の詳細にアクセスする | Synapse ユーザーまたは | 読み取り |
| ワークスペースの Azure 所有者、共同作成者、または閲覧者 | なし | |
| リンク サービス、資格情報、またはマネージド プライベート エンドポイントを一覧表示する | Synapse ユーザー | 読み取り |
| SQL プール | ||
| 専用 SQL プールまたはサーバーレス SQL プールを作成する | リソース グループの Azure 所有者または共同作成者 | なし |
| 専用 SQL プールを管理 (一時停止、スケーリング、または削除) する | SQL プールまたはワークスペースの Azure 所有者または共同作成者 | なし |
| SQL スクリプトを作成する |
Synapse ユーザーまたは ワークスペースの Azure 所有者または共同作成者。 "SQL スクリプトの実行、変更の発行またはコミットを行うには、追加の SQL アクセス許可が必要です"。 |
|
| 発行された SQL スクリプトを一覧表示し、開く | Synapse 成果物ユーザー、成果物発行者、または Synapse 共同作成者 | artifacts/read |
| サーバーレス SQL プールで SQL スクリプトを実行する | プールに対する SQL アクセス許可 (Synapse 管理者に対して自動的に付与される) | なし |
| 専用 SQL プールで SQL スクリプトを実行する | プールに対する SQL アクセス許可 (Synapse 管理者に対して自動的に付与される) | なし |
| 新しい、更新された、または削除された SQL スクリプトを発行する | Synapse 成果物発行者または Synapse 共同作成者 | sqlScripts/write、delete |
| SQL スクリプトへの変更を Git リポジトリにコミットする | リポジトリに対する Git アクセス許可が必要 | |
| ワークスペースに Active Directory 管理者を割り当てる (Azure Portal のワークスペースのプロパティを使用) | ワークスペースの Azure 所有者または共同作成者 | |
| Data Explorer プール | ||
| データエクスプローラープールを作成する | リソース グループの Azure 所有者または共同作成者 | なし |
| Data Explorer プールを管理 (一時停止、スケーリング、または削除) する | Data Explorer プールまたはワークスペースの Azure 所有者または共同作成者 | なし |
| KQL スクリプトを作成する |
Synapse ユーザー。 "スクリプトの実行や発行、変更のコミットを行うには、追加の Data Explorer アクセス許可が必要です"。 |
|
| 発行された KQL スクリプトを一覧表示し、開く | Synapse 成果物ユーザー、成果物発行者、または Synapse 共同作成者 | artifacts/read |
| Data Explorer プールで KQL スクリプトを実行する | プールに対する Data Explorer アクセス許可 (Synapse 管理者に対して自動的に付与される) | なし |
| KQL スクリプトを新規発行、更新、または削除する | Synapse 成果物発行者または Synapse 共同作成者 | kqlScripts/write、delete |
| KQL スクリプトへの変更を Git リポジトリにコミットする | リポジトリに対する Git アクセス許可が必要 | |
| Apache Spark プール | ||
| Apache Spark プールを作成する | リソース グループの Azure 所有者または共同作成者 | |
| Apache Spark アプリケーションを監視する | Synapse ユーザー | 読み取り |
| 完了したノートブックとジョブの実行のログを表示する | Synapse 監視オペレーター | |
| Apache Spark プールで実行中のノートブックまたは Spark ジョブをキャンセルする | Apache Spark プールに対する Synapse コンピューティング オペレーター | bigDataPools/useCompute |
| ノートブックまたはジョブ定義を作成する | Synapse ユーザーまたは ワークスペースの Azure 所有者、共同作成者、または閲覧者 "実行、変更の発行またはコミットを行うには、追加のアクセス許可が必要です" |
read |
| 発行済みノートブックまたはジョブの定義を一覧表示し、開く (保存済み出力の確認を含む) | ワークスペースの Synapse 成果物ユーザーまたは Synapse 監視オペレーター | artifacts/read |
| ノートブックを実行してその出力を確認するか、Spark ジョブを送信する | 選択した Apache Spark プールでの Synapse Apache Spark 管理者または Synapse コンピューティング オペレーター | bigDataPools/useCompute |
| ノートブックまたはジョブ定義 (出力を含む) を削除またはサービスに発行する | ワークスペースの成果物発行者または Synapse Apache Spark 管理者 | notebooks/write、delete |
| ノートブックまたはジョブ定義に対する変更を Git リポジトリにコミットする | Git アクセス許可 | なし |
| パイプライン、統合ランタイム、データフロー、データセット、およびトリガー | ||
| 統合ランタイムを作成、更新、または削除する | ワークスペースの Azure 所有者または共同作成者 | |
| Integration Runtime 状態を監視する | Synapse 監視オペレーター | read、integrationRuntimes/viewLogs |
| パイプラインの実行を確認する | Synapse 監視オペレーター | read、pipelines/viewOutputs |
| パイプラインを作成する | Synapse ユーザー "デバッグ、トリガーの追加、変更の発行またはコミットを行うには、追加の Synapse アクセス許可が必要です" |
読み取り |
| データフローまたはデータセットを作成する | Synapse ユーザー "変更の発行またはコミットを行うには追加の Synapse アクセス許可が必要です" |
読み取り |
| 発行されたパイプラインを一覧表示し、開く | Synapse 成果物ユーザーまたは Synapse 監視オペレーター | artifacts/read |
| データセット データのプレビュー | WorkspaceSystemIdentity に対する Synapse ユーザーおよび Synapse 資格情報ユーザー | |
| 既定の統合ランタイムを使用してパイプラインをデバッグする | WorkspaceSystemIdentity 資格情報に対する Synapse ユーザーおよび Synapse 資格情報ユーザー | read、 credentials/useSecret |
| [今すぐトリガー] などのトリガーを作成する (パイプラインを実行するためのアクセス許可が必要) | WorkspaceSystemIdentity に対する Synapse ユーザーおよび Synapse 資格情報ユーザー | read、credentials/useSecret/action |
| パイプラインの実行 | WorkspaceSystemIdentity に対する Synapse ユーザーおよび Synapse 資格情報ユーザー | read、credentials/useSecret/action |
| データのコピー ツールを使用してデータをコピーする | ワークスペース システム ID に対する Synapse ユーザーおよび Synapse 資格情報ユーザー | read、credentials/useSecret/action |
| データの取り込み (スケジュールを使用) | ワークスペース システム ID に対する Synapse 作成者および Synapse 資格情報ユーザー | read、credentials/useSecret/action |
| 新規、更新または削除されたパイプライン、データフロー、またはトリガーをサービスに発行する | ワークスペースでの Synapse 成果物発行元 | pipelines/write、delete dataflows/write、delete triggers/write、delete |
| パイプライン、データフロー、データセット、またはトリガーに対する変更を Git リポジトリにコミットする | Git アクセス許可 | なし |
| リンクされたサービス | ||
| リンクされたサービスを作成する (資格情報の割り当てを含む) | Synapse ユーザー "資格情報を使用したリンクされたサービスの使用、または変更の発行またはコミットを行うには追加のアクセス許可が必要です" |
読み取り |
| 発行済みのリンクされたサービスを一覧表示し、開く | Synapse 成果物ユーザー | linkedServices/write、delete |
| 資格情報によって保護されているリンクされたサービスで接続をテストする | Synapse ユーザーと Synapse 資格情報ユーザー | credentials/useSecret/action |
| リンクされたサービスを発行する | Synapse 成果物発行者または Synapse リンクされたデータ マネージャー | linkedServices/write、delete |
| リンクされたサービスの定義を Git リポジトリにコミットする | Git アクセス許可 | なし |
| アクセス管理 | ||
| 任意のスコープで Synapse RBAC ロールの割り当てを確認する | Synapse ユーザー | 読み取り |
| ユーザー、グループ、サービス プリンシパルに対する Synapse RBAC ロールの割り当ての割り当てと削除を行う | ワークスペースまたは特定のワークスペース項目スコープでの Synapse 管理者 | roleAssignments/write、delete |