Azure Data Factory のロールとアクセス許可Roles and permissions for Azure Data Factory

この記事では、Azure Data Factory リソースの作成と管理に必要なロール、およびそれらのロールによって付与されるアクセス許可について説明します。This article describes the roles required to create and manage Azure Data Factory resources, and the permissions granted by those roles.

ロールと要件Roles and requirements

Data Factory インスタンスを作成するには、Azure へのサインインに使用するユーザー アカウントが、"共同作成者" ロールまたは "所有者" ロールのメンバーであるか、Azure サブスクリプションの "管理者" である必要があります。To create Data Factory instances, the user account that you use to sign in to Azure must be a member of the contributor or owner role, or an administrator of the Azure subscription. サブスクリプションで自分が持っているアクセス許可を表示するには、Azure portal で右上隅にあるユーザー名を選択し、 [アクセス許可] を選択します。To view the permissions that you have in the subscription, in the Azure portal, select your username in the upper-right corner, and then select Permissions. 複数のサブスクリプションにアクセスできる場合は、適切なサブスクリプションを選択します。If you have access to multiple subscriptions, select the appropriate subscription.

データセット、リンクされたサービス、パイプライン、トリガー、および統合ランタイムを含む Data Factory の子リソースを作成および管理するには、次の要件が適用されます。To create and manage child resources for Data Factory - including datasets, linked services, pipelines, triggers, and integration runtimes - the following requirements are applicable:

  • Azure portal で子リソースを作成および管理するには、リソース グループ レベル以上で Data Factory 共同作成者ロールに属している必要があります。To create and manage child resources in the Azure portal, you must belong to the Data Factory Contributor role at the resource group level or above.
  • PowerShell または SDK を使用して子リソースを作成および管理する場合は、リソース レベル以上での共同作成者ロールで十分です。To create and manage child resources with PowerShell or the SDK, the contributor role at the resource level or above is sufficient.

ロールにユーザーを追加する方法に関するサンプル手順については、ロールの追加に関する記事を参照してください。For sample instructions about how to add a user to a role, see the Add roles article.

アクセス許可の設定Set up permissions

データ ファクトリを作成した後、他のユーザーがデータ ファクトリで操作を行えるようにすることができます。After you create a Data Factory, you may want to let other users work with the data factory. このアクセスを他のユーザーに付与するには、データ ファクトリを含むリソース グループの Data Factory 共同作成者組み込みロールにそのユーザーを追加する必要があります。To give this access to other users, you have to add them to the built-in Data Factory Contributor role on the resource group that contains the data factory.

Data Factory 共同作成者ロールのスコープScope of the Data Factory Contributor role

Data Factory 共同作成者ロールのメンバーシップによって、ユーザーは次のことを実行できます。Membership in the Data Factory Contributor role lets users do the following things:

  • データ ファクトリと子リソース (データ セット、リンクされたサービス、パイプライン、トリガー、統合ランタイムなど) を作成、編集、削除します。Create, edit, and delete data factories and child resources including datasets, linked services, pipelines, triggers, and integration runtimes.
  • Resource Manager テンプレートをデプロイします。Deploy Resource Manager templates. Resource Manager のデプロイは、Azure portal の Data Factory で使用されるデプロイ方法です。Resource Manager deployment is the deployment method used by Data Factory in the Azure portal.
  • データ ファクトリの App Insights アラートを管理します。Manage App Insights alerts for a data factory.
  • サポート チケットを作成します。Create support tickets.

このロールの詳細については、「Data Factory 共同作成者ロール」を参照してください。For more info about this role, see Data Factory Contributor role.

Resource Manager テンプレートの展開Resource Manager template deployment

リソース グループ レベル以上の Data Factory 共同作成者ロールを持つユーザーは、Resource Manager テンプレートをデプロイできます。The Data Factory Contributor role, at the resource group level or above, lets users deploy Resource Manager templates. 結果として、このロールのメンバーは Resource Manager テンプレートを使用して、データ ファクトリとその子リソース (データ セット、リンクされたサービス、パイプライン、トリガー、統合ランタイムなど) の両方をデプロイすることができます。As a result, members of the role can use Resource Manager templates to deploy both data factories and their child resources, including datasets, linked services, pipelines, triggers, and integration runtimes. ただし、このロールのメンバーシップがあっても、ユーザーは他のリソースを作成することはできません。Membership in this role does not let the user create other resources, however.

Azure Repos や GitHub に対するアクセス許可は、Data Factory のアクセス許可から独立しています。Permissions on Azure Repos and GitHub are independent of Data Factory permissions. 結果として、閲覧者ロールのメンバーにすぎない、リポジトリのアクセス許可を持つユーザーは、Data Factory の子リソースを編集して変更内容をリポジトリにコミットすることは可能ですが、それらの変更を発行することはできません。As a result, a user with repo permissions who is only a member of the Reader role can edit Data Factory child resources and commit changes to the repo, but can't publish these changes.

重要

Data Factory 共同作成者ロールで Resource Manager テンプレートをデプロイする場合にアクセス許可が昇格されることはありません。Resource Manager template deployment with the Data Factory Contributor role does not elevate your permissions. たとえば、Azure 仮想マシンを作成するテンプレートをデプロイするときに、仮想マシンを作成するアクセス許可がない場合、デプロイは認可エラーで失敗します。For example, if you deploy a template that creates an Azure virtual machine, and you don't have permission to create virtual machines, the deployment fails with an authorization error.

カスタム シナリオとカスタム ロールCustom scenarios and custom roles

場合によっては、データ ファクトリ ユーザーごとに異なるアクセス レベルを付与しなければならない場合があります。Sometimes you may need to grant different access levels for different data factory users. 例:For example:

  • ユーザーが特定のデータ ファクトリに対するアクセス許可のみを持つグループが必要な場合があります。You may need a group where users only have permissions on a specific data factory.
  • ユーザーはデータ ファクトリの監視しかできず、変更はできないグループが必要な場合もあります。Or you may need a group where users can only monitor a data factory (or factories) but can't modify it.

これらのカスタム シナリオは、カスタム ロールを作成してそのロールにユーザーを割り当てることで実現できます。You can achieve these custom scenarios by creating custom roles and assigning users to those roles. カスタム ロールの詳細については、「Azure のカスタム ロール」を参照してください。For more info about custom roles, see Custom roles in Azure.

カスタム ロールを使用して実行できる内容を示すいくつかの例を以下に示します。Here are a few examples that demonstrate what you can achieve with custom roles:

  • ユーザーが Azure portal からリソース グループ内の任意のデータ ファクトリを作成、編集、削除できるようにします。Let a user create, edit, or delete any data factory in a resource group from the Azure portal.

    ユーザーのためにリソース グループ レベルで Data Factory 共同作成者組み込みロールを割り当てます。Assign the built-in Data Factory contributor role at the resource group level for the user. サブスクリプション内のデータ ファクトリへのアクセスを許可する場合は、サブスクリプション レベルでそのロールを割り当てます。If you want to allow access to any data factory in a subscription, assign the role at the subscription level.

  • ユーザーによるデータ ファクトリの表示 (読み取り) と監視は許可しつつ、編集や変更は行えないようにします。Let a user view (read) and monitor a data factory, but not edit or change it.

    ユーザーのデータ ファクトリ リソースに閲覧者組み込みロールを割り当てます。Assign the built-in reader role on the data factory resource for the user.

  • Azure portal でユーザーが単一のデータ ファクトリを編集できるようにします。Let a user edit a single data factory in the Azure portal.

    このシナリオでは、2 種類のロールの割り当てが必要です。This scenario requires two role assignments.

    1. データ ファクトリ レベルで共同作成者組み込みロールを割り当てます。Assign the built-in contributor role at the data factory level.
    2. Microsoft.Resources/deployments/ のアクセス許可を使用して、カスタム ロールを作成します。Create a custom role with the permission Microsoft.Resources/deployments/. このカスタム ロールをリソース グループ レベルのユーザーに割り当てます。Assign this custom role to the user at resource group level.
  • ユーザーがリンクされたサービスでのみ接続をテストできるようにします。Let a user only be able to test connection in a linked service

    次のアクションのためのアクセス許可を持つカスタム ロールを作成します。Microsoft.DataFactory/factories/getFeatureValue/read および Microsoft.DataFactory/factories/getDataPlaneAccess/readCreate a custom role role with permissions for the following actions: Microsoft.DataFactory/factories/getFeatureValue/read and Microsoft.DataFactory/factories/getDataPlaneAccess/read. このカスタム ロールを、ユーザーのデータ ファクトリ リソースに割り当てます。Assign this custom role on the data factory resource for the user.

  • ユーザーが PowerShell または SDK からデータ ファクトリを更新できるようにし、Azure portal では更新を行えないようにします。Let a user update a data factory from PowerShell or the SDK, but not in the Azure portal.

    ユーザーのためにデータ ファクトリ リソースの共同作成者組み込みロールを割り当てます。Assign the built-in contributor role on the data factory resource for the user. このロールを持つユーザーは、Azure portal でリソースを閲覧することはできますが、 [公開] ボタンと [すべてを公開] ボタンにアクセスすることはできません。This role lets the user see the resources in the Azure portal, but the user can't access the Publish and Publish All buttons.

次の手順Next steps