Synapse RBAC-rollen
In het artikel worden de ingebouwde Synapse RBAC-rollen (op rollen gebaseerd toegangsbeheer) beschreven, de machtigingen die ze verlenen en de bereiken waarop ze kunnen worden gebruikt.
Zie voor meer informatie over het controleren en toewijzen van Synapse-rollidmaatschappen hoe u Synapse RBAC-roltoewijzingen controleert en hoe u Synapse RBAC-rollen toewijst.
Ingebouwde Synapse RBAC-rollen en -bereiken
In de volgende tabel worden de ingebouwde rollen en de bereiken beschreven waarop ze kunnen worden gebruikt.
Notitie
Gebruikers met een Synapse RBAC-rol in elk bereik hebben automatisch de synapse-gebruikersrol in het werkruimtebereik.
Belangrijk
Synapse RBAC-rollen verlenen geen machtigingen voor het maken of beheren van SQL-pools, Apache Spark-pools en Integratieruntimes in Azure Synapse-werkruimten. Rollen van Azure-eigenaar of Azure-inzender voor de resourcegroep zijn vereist voor deze acties.
Rol | Machtigingen | Bereiken |
---|---|---|
Synapse-beheerder | Volledige Synapse-toegang tot serverloze en toegewezen SQL-pools, Data Explorer-pools, Apache Spark-pools en Integration Runtimes. Omvat het maken, lezen, bijwerken en verwijderen van toegang tot alle gepubliceerde codeartefacten. Bevat de machtigingen Compute Operator, Linked Data Manager en Credential User voor de identiteitsreferentie van het werkruimtesysteem. Omvat het toewijzen van Synapse RBAC-rollen. Naast Synapse Beheer istrator kunnen Azure-eigenaren ook Synapse RBAC-rollen toewijzen. Azure-machtigingen zijn vereist voor het maken, verwijderen en beheren van rekenresources. Synapse RBAC-rollen kunnen zelfs worden toegewezen wanneer het bijbehorende abonnement is uitgeschakeld. Kan artefacten lezen en schrijven Kan alle acties uitvoeren op Spark-activiteiten. Kan spark-poollogboeken weergeven Kan opgeslagen notebook- en pijplijnuitvoer bekijken, kan de geheimen gebruiken die zijn opgeslagen door gekoppelde services of referenties Kunnen Synapse RBAC-rollen toewijzen en intrekken op het huidige bereik |
Spark-pool voor werkruimte Referentie voor gekoppelde integratieruntime-service |
Synapse Apache Spark Beheer istrator |
Volledige Synapse-toegang tot Apache Spark-pools. Toegang tot gepubliceerde Spark-taakdefinities, notebooks en hun uitvoer en bibliotheken, gekoppelde services en referenties maken, lezen, bijwerken en verwijderen. Bevat leestoegang tot alle andere gepubliceerde codeartefacten. Bevat geen machtiging voor het gebruik van referenties en het uitvoeren van pijplijnen. Het verlenen van toegang is niet inbegrepen. Kan alle acties uitvoeren op Spark-artefacten Kan alle acties uitvoeren voor Spark-activiteiten |
Spark-pool voor werkruimte |
Synapse SQL-beheerder | Volledige Synapse-toegang tot serverloze SQL-pools. Toegang tot gepubliceerde SQL-scripts, referenties en gekoppelde services maken, lezen, bijwerken en verwijderen. Bevat leestoegang tot alle andere gepubliceerde codeartefacten. Bevat geen machtiging voor het gebruik van referenties en het uitvoeren van pijplijnen. Het verlenen van toegang is niet inbegrepen. Kan alle acties uitvoeren op SQL-scripts Kan verbinding maken met serverloze SQL-eindpunten met SQL db_datareader , db_datawriter en grant connect machtigingen |
Werkplek |
Synapse-inzender | Volledige Synapse-toegang tot Apache Spark-pools en Integration Runtimes. Omvat het maken, lezen, bijwerken en verwijderen van toegang tot alle gepubliceerde codeartefacten en hun uitvoer, inclusief geplande pijplijnen, referenties en gekoppelde services. Inclusief machtigingen voor rekenoperators. Bevat geen machtiging voor het gebruik van referenties en het uitvoeren van pijplijnen. Het verlenen van toegang is niet inbegrepen. Kan artefacten lezen en schrijven Kan opgeslagen notebook- en pijplijnuitvoer bekijken Kan alle acties uitvoeren op Spark-activiteiten Kan spark-poollogboeken bekijken |
Spark-pool voor werkruimte Integration Runtime |
Synapse Artifact Publisher | Toegang tot gepubliceerde codeartefacten en hun uitvoer maken, lezen, bijwerken en verwijderen, inclusief geplande pijplijnen. Bevat geen machtiging voor het uitvoeren van code of pijplijnen of om toegang te verlenen. Kan gepubliceerde artefacten lezen en artefacten publiceren, kan opgeslagen notebook, Spark-taak en pijplijnuitvoer bekijken |
Werkplek |
Synapse Artifact-gebruiker | Lees de toegang tot gepubliceerde codeartefacten en de bijbehorende uitvoer. Kan nieuwe artefacten maken, maar kan geen wijzigingen publiceren of code uitvoeren zonder extra machtigingen. | Werkplek |
Synapse Compute-operator | Spark-taken en -notebooks verzenden en logboeken weergeven. Omvat het annuleren van Spark-taken die door elke gebruiker zijn ingediend. Hiervoor zijn aanvullende referentiemachtigingen vereist voor de identiteit van het werkruimtesysteem om pijplijnen uit te voeren, pijplijnuitvoeringen en uitvoer weer te geven. Kan taken verzenden en annuleren, inclusief taken die door anderen zijn ingediend, kunnen Spark-poollogboeken bekijken |
Integratieruntime voor Spark-pool voor werkruimte |
Synapse Monitoring Operator | Lees gepubliceerde codeartefacten, inclusief logboeken en uitvoer voor pijplijnuitvoeringen en voltooide notebooks. Bevat de mogelijkheid om details van Apache Spark-pools, Data Explorer-pools en Integration Runtimes weer te geven en weer te geven. Hiervoor zijn aanvullende machtigingen vereist voor het uitvoeren/annuleren van pijplijnen, Spark-notebooks en Spark-taken. | Werkplek |
Synapse Credential User | Runtime- en configuratietijdgebruik van geheimen binnen referenties en gekoppelde services in activiteiten zoals pijplijnuitvoeringen. Voor het uitvoeren van pijplijnen is deze rol vereist, die is afgestemd op de identiteit van het werkruimtesysteem. Beperkt tot een referentie, staat toegang toe tot gegevens via een gekoppelde service die wordt beveiligd met de referentie (mogelijk is ook een machtiging voor rekengebruik vereist) Hiermee kan de uitvoering van pijplijnen worden uitgevoerd die zijn beveiligd met de identiteitsreferentie van het werkruimtesysteem |
Referenties voor gekoppelde werkruimteservice |
Synapse Linked Data Manager | Het maken en beheren van beheerde privé-eindpunten, gekoppelde services en referenties. Kan beheerde privé-eindpunten maken die gebruikmaken van gekoppelde services die worden beveiligd met referenties | Werkplek |
Synapse-gebruiker | Geef details van SQL-pools, Apache Spark-pools, Integratieruntimes en gepubliceerde gekoppelde services en referenties weer. Bevat geen andere gepubliceerde codeartefacten. Kan nieuwe artefacten maken, maar kan niet worden uitgevoerd of gepubliceerd zonder extra machtigingen. Kan Spark-pools, Integration Runtimes weergeven en lezen. |
Referentie voor gekoppelde service voor Spark-pool |
Synapse RBAC-rollen en de acties die ze toestaan
Notitie
- Alle acties die in de onderstaande tabellen worden vermeld, worden voorafgegaan door 'Microsoft.Synapse/...'
- Alle acties voor lezen, schrijven en verwijderen van artefacten zijn met betrekking tot gepubliceerde artefacten in de liveservice. Deze machtigingen hebben geen invloed op de toegang tot artefacten in een verbonden Git-opslagplaats.
De volgende tabel bevat de ingebouwde rollen en de acties/machtigingen die door elke rol worden ondersteund.
Role | Acties |
---|---|
Synapse-beheerder | werkruimten/werkruimten lezen /roleAssignments/write, werkruimten/managedPrivateEndpoint/write verwijderen, werkruimten/bigDataPools/useCompute/action workspaces/bigDataPools/viewLogs/action workspaces/integrationRuntimes/useCompute/action workspaces/integrationRuntimes/viewLogs/action workspaces/artifacts/read workspaces/notebooks/write, delete workspaces/sparkJobDefinitions/write, delete workspaces/sqlScripts/ write, delete workspaces/kqlScripts/write, delete workspaces/dataFlows/write, delete workspaces/pipelines/write, delete workspaces/triggers/write, delete workspaces/datasets/write, delete workspaces/libraries/write, delete workspaces/linkedServices/write, delete workspaces/credentials/write, delete workspaces/notebooks/viewOutputs/action workspaces/pipelines/viewOutputs/viewOutputs/action workspaces/ linkedServices/useSecret/action workspaces/credentials/useSecret/action workspaces/link Verbinding maken ions/read workspaces/link Verbinding maken ions/write workspaces/link Verbinding maken ions/delete workspaces/link Verbinding maken ions/useCompute/action |
Synapse Apache Spark Beheer istrator | werkruimten/werkruimten lezen /bigDataPools/useCompute/action workspaces/bigDataPools/viewLogs/action workspaces/notebooks/viewOutputs/action workspaces/artifacts/read workspaces/notebooks/write, delete workspaces/sparkJobDefinitions/write, delete workspaces/libraries/write, delete workspaces/linkedServices/write, delete workspaces/credentials/write, delete |
Synapse SQL-beheerder | werkruimten/werkruimten lezen /artefacten/werkruimten lezen /werkruimten lezen/sqlScripts/schrijven, werkruimten/linkedServices/schrijven verwijderen , werkruimten/referenties/schrijven verwijderen , verwijderen |
Synapse-inzender | werkruimten/werkruimten lezen /bigDataPools/useCompute/action workspaces/bigDataPools/viewLogs/action workspaces/integrationRuntimes/useCompute/action workspaces/integrationRuntimes/viewLogs/action workspaces/artifacts/read workspaces/notebooks/write, werkruimten/sparkJobDefinitions/write verwijderen, werkruimten/sqlScripts/write verwijderen , werkruimten/kqlScripts/write verwijderen, werkruimten/ gegevensstromen/schrijven, verwijderen werkruimten/pijplijnen/schrijven, werkruimten/triggers/schrijven verwijderen , werkruimten/gegevenssets/schrijven verwijderen , werkruimten/bibliotheken/schrijven verwijderen, werkruimten/ linkedServices/schrijven, werkruimten/referenties/schrijven verwijderen , werkruimten/notebooks/viewOutputs/action workspaces/pipelines/viewOutputs/action workspaces/link Verbinding maken ions/read workspaces/link Verbinding makenions/write workspaces/link Verbinding maken ions/delete workspaces/link Verbinding maken ions/useCompute/action |
Synapse Artifact Publisher | werkruimten/werkruimten lezen /artefacten/werkruimten lezen /notebooks/schrijven, werkruimten/sparkJobDefinitions/write verwijderen, werkruimten/sqlScripts/write verwijderen, werkruimten/kqlScripts/write verwijderen , werkruimten/dataFlows/schrijven, werkruimten/pijplijnen/schrijven verwijderen , werkruimten/triggers/schrijven verwijderen , werkruimten/gegevenssets/schrijven verwijderen , werkruimten/bibliotheken/schrijven verwijderen, werkruimten/linkedServices/schrijven verwijderen , verwijderen werkruimten/referenties/schrijven, werkruimten/notebooks/viewOutputs/action workspaces/pipelines/viewOutputs/action |
Synapse Artifact-gebruiker | werkruimten/werkruimten lezen /artefacten/werkruimten lezen /notebooks/viewOutputs/action workspaces/pipelines/viewOutputs/action |
Synapse Compute-operator | werkruimten/werkruimten lezen /bigDataPools/useCompute/action workspaces/bigDataPools/viewLogs/action workspaces/integrationRuntimes/useCompute/action workspaces/integrationRuntimes/viewLogs/action workspaces/link Verbinding maken ions/read workspaces/link Verbinding maken ions/useCompute/action |
Synapse Monitoring Operator | werkruimten/werkruimten lezen /artefacten/werkruimten lezen /notebooks/viewOutputs/action workspaces/pipelines/viewOutputs/action workspaces/integrationRuntimes/viewLogs/action workspaces/bigDataPools/viewLogs/action |
Synapse Credential User | werkruimten/werkruimten lezen /linkedServices/useSecret/action workspaces/credentials/useSecret/action |
Synapse Linked Data Manager | werkruimten/werkruimten lezen /managedPrivateEndpoint/write, werkruimten/linkedServices/write verwijderen , werkruimten/referenties/schrijven verwijderen , verwijderen |
Synapse-gebruiker | werkruimten/lezen |
Synapse RBAC-acties en de rollen die deze toestaan
De volgende tabel bevat Synapse-acties en de ingebouwde rollen die deze acties toestaan:
Actie | Role |
---|---|
werkruimten/lezen | Synapse Beheer istrator Synapse Apache Spark Beheer istrator Synapse SQL Beheer istrator Synapse Artifact Publisher Synapse Artifact User Synapse Compute Operator Synapse Monitoring Operator Synapse Monitoring Operator Synapse Credential User Synapse Linked Data Manager Synapse User |
werkruimten/roleAssignments/write, delete | Synapse-beheerder |
werkruimten/managedPrivateEndpoint/write, verwijderen | Synapse Beheer istrator Synapse Linked Data Manager |
werkruimten/bigDataPools/useCompute/action | Synapse Beheer istrator Synapse Apache Spark Beheer istrator Synapse-inzender Synapse Compute Operator Synapse Monitoring Operator |
werkruimten/bigDataPools/viewLogs/action | Synapse Beheer istrator Synapse Apache Spark Beheer istrator Synapse-inzender Synapse Compute Operator |
werkruimten/integrationRuntimes/useCompute/action | Synapse Beheer istrator Synapse-inzender Synapse Compute Operator Synapse Monitoring Operator |
werkruimten/integrationRuntimes/viewLogs/action | Synapse Beheer istrator Synapse-inzender Synapse Compute Operator Synapse Monitoring Operator |
werkruimten/koppeling Verbinding maken ions/read | Synapse Beheer istrator Synapse-inzender Synapse Compute Operator |
werkruimten/link Verbinding maken ions/useCompute/action | Synapse Beheer istrator Synapse-inzender Synapse Compute Operator |
werkruimten/artefacten/lezen | Synapse Beheer istrator Synapse Apache Spark Beheer istrator Synapse SQL Beheer istrator Synapse-inzender Synapse Artifact Publisher Synapse Artifact User |
werkruimten/notebooks/schrijven, verwijderen | Synapse Beheer istrator Synapse Apache Spark Beheer istrator Synapse Contributor Synapse Artifact Publisher |
werkruimten/sparkJobDefinitions/write, verwijderen | Synapse Beheer istrator Synapse Apache Spark Beheer istrator Synapse Contributor Synapse Artifact Publisher |
werkruimten/sqlScripts/schrijven, verwijderen | Synapse Beheer istrator Synapse SQL Beheer istrator Synapse Contributor Synapse Artifact Publisher |
werkruimten/kqlScripts/schrijven, verwijderen | Synapse Beheer istrator Synapse-inzender Synapse Artifact Publisher |
werkruimten/gegevensstromen/schrijven, verwijderen | Synapse Beheer istrator Synapse-inzender Synapse Artifact Publisher |
werkruimten/pijplijnen/schrijven, verwijderen | Synapse Beheer istrator Synapse-inzender Synapse Artifact Publisher |
werkruimten/koppeling Verbinding maken ions/schrijven, verwijderen | Synapse Beheer istrator Synapse-inzender |
werkruimten/triggers/schrijven, verwijderen | Synapse Beheer istrator Synapse-inzender Synapse Artifact Publisher |
werkruimten/gegevenssets/schrijven, verwijderen | Synapse Beheer istrator Synapse-inzender Synapse Artifact Publisher |
werkruimten/bibliotheken/schrijven, verwijderen | Synapse Beheer istrator Synapse Apache Spark Beheer istrator Synapse Contributor Synapse Artifact Publisher |
werkruimten/linkedServices/schrijven, verwijderen | Synapse Beheer istrator Synapse Apache Spark Beheer istrator Synapse SQL Beheer istrator Synapse-inzender Synapse Artifact Publisher Synapse Linked Data Manager |
werkruimten/referenties/schrijven, verwijderen | Synapse Beheer istrator Synapse Apache Spark Beheer istrator Synapse SQL Beheer istrator Synapse-inzender Synapse Artifact Publisher Synapse Linked Data Manager |
werkruimten/notebooks/viewOutputs/action | Synapse Beheer istrator Synapse Apache Spark Beheer istrator Synapse-inzender Synapse Artifact Publisher Synapse Artifact User |
werkruimten/pijplijnen/viewOutputs/action | Synapse Beheer istrator Synapse-inzender Synapse Artifact Publisher Synapse Artifact User |
werkruimten/linkedServices/useSecret/action | Synapse Beheer istrator Synapse Credential User |
werkruimten/referenties/useSecret/action | Synapse Beheer istrator Synapse Credential User |
Synapse RBAC-bereiken en hun ondersteunde rollen
De onderstaande tabel bevat Synapse RBAC-bereiken en de rollen die voor elk bereik kunnen worden toegewezen.
Notitie
Als u een object wilt maken of verwijderen, moet u machtigingen hebben voor een bereik op een hoger niveau.
Bereik | Rollen |
---|---|
Werkplek | Synapse Beheer istrator Synapse Apache Spark Beheer istrator Synapse SQL Beheer istrator Synapse Artifact Publisher Synapse Artifact User Synapse Compute Operator Synapse Monitoring Operator Synapse Monitoring Operator Synapse Credential User Synapse Linked Data Manager Synapse User |
Apache Spark-pool | Synapse Beheer istrator Synapse-inzender Synapse Compute Operator |
Integration Runtime | Synapse Beheer istrator Synapse-inzender Synapse Compute Operator |
Gekoppelde service | Synapse Beheer istrator Synapse Credential User |
Referentie | Synapse Beheer istrator Synapse Credential User |
Notitie
Alle artefactrollen en -acties zijn gericht op werkruimteniveau.
Volgende stappen
- Meer informatie over het controleren van Synapse RBAC-roltoewijzingen voor een werkruimte.
- Meer informatie over het toewijzen van Synapse RBAC-rollen