Synapse RBAC ロール
この記事では、組み込みの Synapse RBAC (ロールベースのアクセス制御) ロール、それらに付与されているアクセス許可、それらを使用できるスコープについて説明します。
Synapse ロール メンバーシップの確認と割り当ての詳細については、「Synapse RBAC ロールの割り当てを確認する方法」と、Synapse RBAC ロールの割り当て方法に関するページを参照してください。
組み込みの Synapse RBAC ロールとスコープ
次の表では、組み込みロールと、それらを使用できるスコープについて説明します。
Note
任意のスコープの任意の Synapse RBAC ロールを持つユーザーには、ワークスペース スコープの Synapse ユーザー ロールが自動的に割り当てられます。
重要
Synapse RBAC ロールでは、Azure Synapse ワークスペースで SQL プール、Apache Spark プール、および統合ランタイムを作成または管理するためのアクセス許可は付与されません。 これらのアクションには、リソース グループの Azure 所有者ロールまたは Azure 共同作成者ロールが必要です。
| Role | アクセス許可 | スコープ |
|---|---|---|
| Synapse 管理者 | サーバーレスおよび専用 SQL プール、Data Explorer プール、Apache Spark プール、統合ランタイムへの Synapse のフル アクセス。 公開されているすべてのコード成果物への作成、読み取り、更新、削除のアクセスが含まれます。 ワークスペース システム ID の資格情報に対するコンピューティング オペレーター、リンクされた Data Manager、資格情報ユーザーのアクセス許可が含まれます。 Synapse RBAC ロールの割り当てが含まれます。 Synapse 管理者だけでなく、Azure 所有者も Synapse RBAC ロールを割り当てることができます。 コンピューティング リソースを作成、削除、管理するには、Azure のアクセス許可が必要です。 関連付けられているサブスクリプションが無効になっている場合でも、Synapse RBAC ロールを割り当てることができます。 成果物の読み取りと書き込みができる Spark アクティビティに対するすべてのアクションを実行できる Spark プールのログを表示できる 保存されたノートブックとパイプライン出力を表示できる リンクされたサービスまたは資格情報によって格納されたシークレットを使用できる 現在のスコープの Synapse RBAC ロールを割り当てたり、取り消したりできる |
ワークスペース Spark プール 統合ランタイム リンクされたサービス 資格情報 |
| Synapse Apache Spark 管理者 |
Apache Spark プールへの Synapse のフル アクセス。 公開されている Spark ジョブ定義、ノートブック、その出力、およびライブラリ、リンクされたサービス、資格情報への作成、読み取り、更新、削除のアクセス。 その他の公開されているすべてのコード成果物への読み取りアクセスが含まれます。 資格情報を使用したり、パイプラインを実行したりするためのアクセス許可は含まれません。 アクセス権の付与は含まれません。 Spark 成果物に対するすべてのアクションを実行できる Spark 成果物に対するすべてのアクションを実行できる |
ワークスペース Spark プール |
| Synapse SQL 管理者 | サーバーレス SQL プールへの Synapse のフル アクセス。 公開されている SQL スクリプト、資格情報、リンクされたサービスへの作成、読み取り、更新、削除のアクセス。 その他の公開されているすべてのコード成果物への読み取りアクセスが含まれます。 資格情報を使用したり、パイプラインを実行したりするためのアクセス許可は含まれません。 アクセス権の付与は含まれません。 SQL スクリプトに対するすべてのアクションを実行できる SQL の db_datareader、db_datawriter、connect、grant アクセス許可を使用して SQL サーバーレス エンドポイントに接続できる |
ワークスペース |
| Synapse 共同作成者 | Apache Spark プールと統合ランタイムへの Synapse のフル アクセス。 公開されているすべてのコード成果物とその出力 (スケジュールされたパイプライン、資格情報やリンクされたサービスを含む) への作成、読み取り、更新、削除のアクセス権が含まれます。 コンピューティング オペレーターのアクセス許可が含まれます。 資格情報を使用したり、パイプラインを実行したりするためのアクセス許可は含まれません。 アクセス権の付与は含まれません。 成果物の読み取りと書き込みができる 保存されたノートブックとパイプライン出力を表示できる Spark アクティビティに対するすべてのアクションを実行できる Spark プールのログを表示できる |
ワークスペース Spark プール 統合ランタイム |
| Synapse 成果物発行元 | 公開されているコード成果物とその出力 (スケジュールされたパイプラインを含む) への作成、読み取り、更新、削除のアクセス権。 コードまたはパイプラインを実行したり、アクセス権を付与したりするためのアクセス許可は含まれません。 公開されている成果物を読み取ったり、成果物を公開したりできる 保存されたノートブック、Spark ジョブ、パイプライン出力を表示できる |
ワークスペース |
| Synapse 成果物ユーザー | 公開されているコード成果物とその出力への読み取りアクセス。 新しい成果物を作成できますが、追加のアクセス許可なしに変更を公開したり、コードを実行したりすることはできません。 | ワークスペース |
| Synapse コンピューティング オペレーター | Spark ジョブおよびノートブックを送信したり、ログを表示したりします。 任意のユーザーから送信された Spark ジョブの取り消しが含まれます。 パイプラインを実行し、パイプライン実行および出力を表示するには、ワークスペース システム ID に対する資格情報使用の追加のアクセス許可が必要です。 ジョブ (他のユーザーから送信されたジョブを含む) を送信したり、取り消したりできる Spark プールのログを表示できる |
ワークスペース Spark プール 統合ランタイム |
| Synapse 監視オペレーター | 発行されたコード成果物を読み取ります。これには、パイプライン実行のログや出力、完了したノートブックなどが含まれます。 Apache Spark プール、Data Explorer プール、統合ランタイムの一覧表示およびその詳細の表示を行う機能が含まれます。 パイプライン、Spark ノートブック、Spark ジョブを実行またはキャンセルするための追加のアクセス許可が必要です。 | ワークスペース |
| Synapse 資格情報ユーザー | パイプライン実行などのアクティビティでの資格情報やリンクされたサービス内での、シークレットのランタイムと構成時の使用。 パイプラインを実行するには、ワークスペース システム ID にスコープ指定されたこのロールが必要です。 資格情報にスコープ指定されているため、資格情報によって保護されているリンクされたサービス経由でデータにアクセスできる (コンピューティング使用のアクセス許可も必要になる場合があります) ワークスペース システム ID の資格情報によって保護されているパイプラインを実行できる |
ワークスペース リンクされたサービス 資格情報 |
| Synapse のリンクされた Data Manager | マネージド プライベート エンドポイント、リンクされたサービス、資格情報の作成と管理。 資格情報によって保護されているリンクされたサービスを使用するマネージド プライベート エンドポイントを作成できる | ワークスペース |
| Synapse ユーザー | SQL プール、Apache Spark プール、統合ランタイム、公開されているリンクされたサービスと資格情報の詳細を一覧表示および表示します。 その他の公開されているコード成果物は含まれません。 新しい成果物を作成できますが、追加のアクセス許可なしに実行したり公開したりすることはできません。 Spark プール、統合ランタイムを一覧表示したり、読み取ったりできる |
ワークスペース、Spark プール リンクされたサービス 資格情報 |
Synapse RBAC ロールとそれによって許可されるアクション
Note
- 下の表に一覧表示されているすべてのアクションの前に "Microsoft.Synapse/..." が付加されます。
- 成果物の読み取り、書き込み、削除のアクションはすべて、ライブ サービスで公開されている成果物に関するものです。 これらのアクセス許可は、接続されている Git リポジトリ内の成果物へのアクセスには影響を与えません。
次の表は、組み込みロールと、それぞれによってサポートされるアクションおよびアクセス許可の一覧を示しています。
| Role | アクション |
|---|---|
| Synapse 管理者 | workspaces/read workspaces/roleAssignments/write, delete workspaces/managedPrivateEndpoint/write, delete workspaces/bigDataPools/useCompute/action workspaces/bigDataPools/viewLogs/action workspaces/integrationRuntimes/useCompute/action workspaces/integrationRuntimes/viewLogs/action workspaces/artifacts/read workspaces/notebooks/write, delete workspaces/sparkJobDefinitions/write, delete workspaces/sqlScripts/write, delete workspaces/kqlScripts/write, delete workspaces/dataFlows/write, delete workspaces/pipelines/write, delete workspaces/triggers/write, delete workspaces/datasets/write, delete workspaces/libraries/write, delete workspaces/linkedServices/write, delete workspaces/credentials/write, delete workspaces/notebooks/viewOutputs/action workspaces/pipelines/viewOutputs/action workspaces/linkedServices/useSecret/action workspaces/credentials/useSecret/action workspaces/linkConnections/read workspaces/linkConnections/write workspaces/linkConnections/delete workspaces/linkConnections/useCompute/action |
| Synapse Apache Spark 管理者 | workspaces/read workspaces/bigDataPools/useCompute/action workspaces/bigDataPools/viewLogs/action workspaces/notebooks/viewOutputs/action workspaces/artifacts/read workspaces/notebooks/write、delete workspaces/sparkJobDefinitions/write、delete workspaces/libraries/write、delete workspaces/linkedServices/write、delete workspaces/credentials/write、delete |
| Synapse SQL 管理者 | workspaces/read workspaces/artifacts/read workspaces/sqlScripts/write、delete workspaces/linkedServices/write、delete workspaces/credentials/write、delete |
| Synapse 共同作成者 | workspaces/read workspaces/bigDataPools/useCompute/action workspaces/bigDataPools/viewLogs/action workspaces/integrationRuntimes/useCompute/action workspaces/integrationRuntimes/viewLogs/action workspaces/artifacts/read workspaces/notebooks/write, delete workspaces/sparkJobDefinitions/write, delete workspaces/sqlScripts/write, delete workspaces/kqlScripts/write, delete workspaces/dataFlows/write, delete workspaces/pipelines/write, delete workspaces/triggers/write, delete workspaces/datasets/write, delete workspaces/libraries/write, delete workspaces/linkedServices/write, delete workspaces/credentials/write, delete workspaces/notebooks/viewOutputs/action workspaces/pipelines/viewOutputs/action workspaces/linkConnections/read workspaces/linkConnections/write workspaces/linkConnections/delete workspaces/linkConnections/useCompute/action |
| Synapse 成果物発行元 | workspaces/read workspaces/artifacts/read workspaces/notebooks/write、delete workspaces/sparkJobDefinitions/write、delete workspaces/sqlScripts/write、delete workspaces/kqlScripts/write、delete workspaces/dataFlows/write、delete workspaces/pipelines/write、delete workspaces/triggers/write、delete workspaces/datasets/write、delete workspaces/libraries/write、delete workspaces/linkedServices/write、delete workspaces/credentials/write、delete workspaces/notebooks/viewOutputs/action workspaces/pipelines/viewOutputs/action |
| Synapse 成果物ユーザー | workspaces/read workspaces/artifacts/read workspaces/notebooks/viewOutputs/action workspaces/pipelines/viewOutputs/action |
| Synapse コンピューティング オペレーター | workspaces/read workspaces/bigDataPools/useCompute/action workspaces/bigDataPools/viewLogs/action workspaces/integrationRuntimes/useCompute/action workspaces/integrationRuntimes/viewLogs/action workspaces/linkConnections/read workspaces/linkConnections/useCompute/action |
| Synapse 監視オペレーター | workspaces/read workspaces/artifacts/read workspaces/notebooks/viewOutputs/action workspaces/pipelines/viewOutputs/action workspaces/integrationRuntimes/viewLogs/action workspaces/bigDataPools/viewLogs/action |
| Synapse 資格情報ユーザー | workspaces/read workspaces/linkedServices/useSecret/action workspaces/credentials/useSecret/action |
| Synapse のリンクされた Data Manager | workspaces/read workspaces/managedPrivateEndpoint/write、delete workspaces/linkedServices/write、delete workspaces/credentials/write、delete |
| Synapse ユーザー | workspaces/read |
Synapse RBAC アクションとそれを許可するロール
次の表は、Synapse アクションとこのアクションを許可する組み込みロールの一覧を示しています。
| アクション | Role |
|---|---|
| workspaces/read | Synapse 管理者 Synapse Apache Spark 管理者 Synapse SQL 管理者 Synapse 共同作成者 Synapse 成果物発行元 Synapse 成果物ユーザー Synapse コンピューティング オペレーター Synapse 監視オペレーター Synapse 資格情報ユーザー Synapse のリンクされた Data Manager Synapse ユーザー |
| workspaces/roleAssignments/write、delete | Synapse 管理者 |
| workspaces/managedPrivateEndpoint/write、delete | Synapse 管理者 Synapse のリンクされた Data Manager |
| workspaces/bigDataPools/useCompute/action | Synapse 管理者 Synapse Apache Spark 管理者 Synapse 共同作成者 Synapse コンピューティング オペレーター Synapse 監視オペレーター |
| workspaces/bigDataPools/viewLogs/action | Synapse 管理者 Synapse Apache Spark 管理者 Synapse 共同作成者 Synapse コンピューティング オペレーター |
| workspaces/integrationRuntimes/useCompute/action | Synapse 管理者 Synapse 共同作成者 Synapse コンピューティング オペレーター Synapse 監視オペレーター |
| workspaces/integrationRuntimes/viewLogs/action | Synapse 管理者 Synapse 共同作成者 Synapse コンピューティング オペレーター Synapse 監視オペレーター |
| workspaces/linkConnections/read | Synapse 管理者 Synapse 共同作成者 Synapse コンピューティング オペレーター |
| workspaces/linkConnections/useCompute/action | Synapse 管理者 Synapse 共同作成者 Synapse コンピューティング オペレーター |
| workspaces/artifacts/read | Synapse 管理者 Synapse Apache Spark 管理者 Synapse SQL 管理者 Synapse 共同作成者 Synapse 成果物発行元 Synapse 成果物ユーザー |
| workspaces/notebooks/write、delete | Synapse 管理者 Synapse Apache Spark 管理者 Synapse 共同作成者 Synapse 成果物発行元 |
| workspaces/sparkJobDefinitions/write、delete | Synapse 管理者 Synapse Apache Spark 管理者 Synapse 共同作成者 Synapse 成果物発行元 |
| workspaces/sqlScripts/write、delete | Synapse 管理者 Synapse SQL 管理者 Synapse 共同作成者 Synapse 成果物発行元 |
| workspaces/kqlScripts/write、delete | Synapse 管理者 Synapse 共同作成者 Synapse 成果物発行元 |
| workspaces/dataFlows/write、delete | Synapse 管理者 Synapse 共同作成者 Synapse 成果物発行元 |
| workspaces/pipelines/write、delete | Synapse 管理者 Synapse 共同作成者 Synapse 成果物発行元 |
| workspaces/linkConnections/write, delete | Synapse 管理者 Synapse 共同作成者 |
| workspaces/triggers/write、delete | Synapse 管理者 Synapse 共同作成者 Synapse 成果物発行元 |
| workspaces/datasets/write、delete | Synapse 管理者 Synapse 共同作成者 Synapse 成果物発行元 |
| workspaces/libraries/write、delete | Synapse 管理者 Synapse Apache Spark 管理者 Synapse 共同作成者 Synapse 成果物発行元 |
| workspaces/linkedServices/write、delete | Synapse 管理者 Synapse Apache Spark 管理者 Synapse SQL 管理者 Synapse 共同作成者 Synapse 成果物発行元 Synapse のリンクされた Data Manager |
| workspaces/credentials/write、delete | Synapse 管理者 Synapse Apache Spark 管理者 Synapse SQL 管理者 Synapse 共同作成者 Synapse 成果物発行元 Synapse のリンクされた Data Manager |
| workspaces/notebooks/viewOutputs/action | Synapse 管理者 Synapse Apache Spark 管理者 Synapse 共同作成者 Synapse 成果物発行元 Synapse 成果物ユーザー |
| workspaces/pipelines/viewOutputs/action | Synapse 管理者 Synapse 共同作成者 Synapse 成果物発行元 Synapse 成果物ユーザー |
| workspaces/linkedServices/useSecret/action | Synapse 管理者 Synapse 資格情報ユーザー |
| workspaces/credentials/useSecret/action | Synapse 管理者 Synapse 資格情報ユーザー |
Synapse RBAC スコープとそれによってサポートされるロール
次の表は、Synapse RBAC スコープと各スコープで割り当てることができるロールの一覧を示しています。
Note
オブジェクトを作成または削除するには、より高いレベルのスコープのアクセス許可が必要です。
| Scope | ロール |
|---|---|
| ワークスペース | Synapse 管理者 Synapse Apache Spark 管理者 Synapse SQL 管理者 Synapse 共同作成者 Synapse 成果物発行元 Synapse 成果物ユーザー Synapse コンピューティング オペレーター Synapse 監視オペレーター Synapse 資格情報ユーザー Synapse のリンクされた Data Manager Synapse ユーザー |
| Apache Spark プール | Synapse 管理者 Synapse 共同作成者 Synapse コンピューティング オペレーター |
| 統合ランタイム | Synapse 管理者 Synapse 共同作成者 Synapse コンピューティング オペレーター |
| リンクされたサービス | Synapse 管理者 Synapse 資格情報ユーザー |
| 資格情報 | Synapse 管理者 Synapse 資格情報ユーザー |
Note
成果物のロールとアクションはすべて、ワークスペース レベルでスコープ指定されます。
次のステップ
- ワークスペースの Synapse RBAC ロールの割り当てを確認する方法について学習します。
- Synapse RBAC ロールの割り当て方法について学習します