O que é o controlo de acesso baseado em funções da Synapse (RBAC)?What is Synapse role-based access control (RBAC)?

O RBAC synapse alarga as capacidades do Azure RBAC para espaços de trabalho da Sinapse e seus conteúdos.Synapse RBAC extends the capabilities of Azure RBAC for Synapse workspaces and their content.

O Azure RBAC é usado para gerir quem pode criar, atualizar ou apagar o espaço de trabalho synapse e suas piscinas SQL, piscinas Apache Spark e tempos de integração.Azure RBAC is used to manage who can create, update, or delete the Synapse workspace and its SQL pools, Apache Spark pools, and Integration runtimes.

O RBAC de sinapse é usado para gerir quem pode:Synapse RBAC is used to manage who can:

  • Publicar artefactos de código e listar ou aceder a artefactos de código publicados,Publish code artifacts and list or access published code artifacts,
  • Execute o código nas piscinas Apaches Spark e nos tempos de integração,Execute code on Apaches Spark pools and Integration runtimes,
  • Serviços de acesso (dados) protegidos por credenciaisAccess linked (data) services protected by credentials
  • Monitorize ou cancele a execução de empregos, reveja a produção de emprego e os registos de execução.Monitor or cancel job execution, review job output, and execution logs.

Nota

Embora o SYNAPSe RBAC seja usado para gerir o acesso a scripts SQL publicados, ele fornece apenas controlo de acesso limitado a piscinas SQL sem servidor e não é usado para controlar o acesso a piscinas SQL dedicadas.While Synapse RBAC is used to manage access to published SQL scripts, it provides only limited access control to serverless SQL pools and is not used to control access to dedicated SQL pools. O acesso às piscinas SQL é controlado principalmente através da segurança SQL.Access to SQL pools is primarily controlled using SQL security.

O que posso fazer com o SYNAPSE RBAC?What can I do with Synapse RBAC?

Aqui estão alguns exemplos do que pode fazer com o SYNAPSE RBAC:Here are some examples of what you can do with Synapse RBAC:

  • Permitir que um utilizador publique alterações feitas aos cadernos e empregos da Apache Spark para o serviço ao vivo.Allow a user to publish changes made to Apache Spark notebooks and jobs to the live service.
  • Permitir que um utilizador corra e cancele cadernos e faísca empregos numa piscina específica do Apache Spark.Allow a user to run and cancel notebooks and spark jobs on a specific Apache Spark pool.
  • Permitir que um utilizador utilize credenciais específicas para que possa executar oleodutos protegidos pela identidade do sistema de trabalho e dados de acesso em serviços ligados protegidos com credenciais.Allow a user to use specific credentials so they can run pipelines secured by the workspace system identity and access data in linked services secured with credentials.
  • Permitir que um administrador gere, monitorize e cancele a execução de emprego em Piscinas de Faíscas específicas.Allow an administrator to manage, monitor, and cancel job execution on specific Spark Pools.

Como funciona o SYNAPSE RBACHow Synapse RBAC works

Tal como o Azure RBAC, o SYNAPSe RBAC trabalha criando atribuições de papéis.Like Azure RBAC, Synapse RBAC works by creating role assignments. Uma atribuição de função consiste em três elementos: um principal de segurança, uma definição de função e um âmbito.A role assignment consists of three elements: a security principal, a role definition, and a scope.

Principados de SegurançaSecurity Principals

Um diretor de segurança é um utilizador, grupo, diretor de serviço ou identidade gerida.A security principal is a user, group, service principal, or managed identity.

FunçõesRoles

Um papel é uma coleção de permissões ou ações que podem ser realizadas em tipos específicos de recursos ou tipos de artefactos.A role is a collection of permissions or actions that can be performed on specific resource types or artifact types.

A Sinapse fornece papéis incorporados que definem coleções de ações que correspondem às necessidades de diferentes personalidades:Synapse provides built-in roles that define collections of actions that match the needs of different personas:

  • Os administradores podem ter acesso total para criar e configurar um espaço de trabalhoAdministrators can get full access to create and configure a workspace
  • Os desenvolvedores podem criar, atualizar e depurar scripts SQL, cadernos, oleodutos e fluxos de dados, mas não ser capazes de publicar ou executar este código em recursos/dados de cálculo de produçãoDevelopers can create, update and debug SQL scripts, notebooks, pipelines, and dataflows, but not be able to publish or execute this code on production compute resources/data
  • Os operadores podem monitorizar e gerir o estado do sistema, a execução de aplicações e os registos de revisão, sem acesso ao código ou às saídas da execução.Operators can monitor and manage system status, application execution and review logs, without access to code or the outputs from execution.
  • O pessoal de segurança pode gerir e configurar pontos finais sem ter acesso a códigos, recursos de computação ou dados.Security staff can manage and configure endpoints without having access to code, compute resources or data.

Saiba mais sobre os papéis da Sinapse incorporada.Learn more about the built-in Synapse roles.

ÂmbitosScopes

Um âmbito define os recursos ou artefactos a que o acesso se aplica.A scope defines the resources or artifacts that the access applies to. A Sinapse suporta âmbitos hierárquicos.Synapse supports hierarchical scopes. As permissões concedidas num âmbito de nível superior são herdadas por objetos a um nível mais baixo.Permissions granted at a higher-level scope are inherited by objects at a lower level. No SYNAPSE RBAC, o âmbito de alto nível é um espaço de trabalho.In Synapse RBAC, the top-level scope is a workspace. Atribuir uma função com âmbito de espaço de trabalho concede permissões a todos os objetos aplicáveis no espaço de trabalho.Assigning a role with workspace scope grants permissions to all applicable objects in the workspace.

Os âmbitos suportados atuais dentro de um espaço de trabalho são: Piscina Apache Spark, tempo de integração, serviço ligado e credencial.Current supported scopes within a workspace are: Apache Spark pool, Integration runtime, linked service, and credential.

O acesso a artefactos de código é concedido com âmbito de espaço de trabalho.Access to code artifacts is granted with workspace scope. A concessão de acesso a coleções de artefactos dentro de um espaço de trabalho será suportada num lançamento posterior.Granting access to collections of artifacts within a workspace will be supported in a later release.

Resolução de atribuições de funções para determinar permissõesResolving role assignments to determine permissions

Uma atribuição de funções concede ao diretor as permissões definidas pelo papel no âmbito especificado.A role assignment grants the principal the permissions defined by the role at the specified scope.

Synapse RBAC é um modelo aditivo como Azure RBAC.Synapse RBAC is an additive model like Azure RBAC. As funções múltiplas podem ser atribuídas a um único principal e em diferentes âmbitos.Multiple roles may be assigned to a single principal and at different scopes. Ao calcular as permissões de um principal de segurança, o sistema considera todas as funções atribuídas ao principal e a grupos que direta ou indiretamente incluem o principal.When computing the permissions of a security principal, the system considers all roles assigned to the principal and to groups that directly or indirectly include the principal. Considera ainda o âmbito de cada atribuição na determinação das permissões que se aplicam.It also considers the scope of each assignment in determining the permissions that apply.

Aplicação das permissões atribuídasEnforcing assigned permissions

No Synapse Studio, botões ou opções específicos podem ser acinzentados ou um erro de permissões pode ser devolvido ao tentar uma ação se não tiver as permissões necessárias.In Synapse Studio, specific buttons or options may be grayed out or a permissions error may be returned when attempting an action if you don't have the required permissions.

Se um botão ou opção for desativado, pairar sobre o botão ou opção mostra uma ponta de ferramenta com a permissão necessária.If a button or option is disabled, hovering over the button or option shows a tooltip with the required permission. Contacte um administrador da Sinapse para atribuir uma função que conceda a permissão necessária.Contact a Synapse Administrator to assign a role that grants the required permission. Pode ver os papéis que fornecem ações específicas aqui.You can see the roles that provide specific actions here.

Quem pode atribuir papéis de Sinaapse RBAC?Who can assign Synapse RBAC roles?

Apenas um administrador da Sinapse pode atribuir funções de Sinapse RBAC.Only a Synapse Administrator can assign Synapse RBAC roles. Um administrador de sinapse ao nível do espaço de trabalho pode conceder acesso em qualquer âmbito.A Synapse Administrator at the workspace level can grant access at any scope. Um administrador da Sinapse num âmbito de nível inferior só pode conceder acesso nesse âmbito.A Synapse Administrator at a lower-level scope can only grant access at that scope.

Quando um novo espaço de trabalho é criado, o criador recebe automaticamente o papel de Administrador synapse no âmbito do espaço de trabalho.When a new workspace is created, the creator is automatically given the Synapse Administrator role at workspace scope.

Onde é que eu manco o SYNAPSE RBAC?Where do I manage Synapse RBAC?

O RBAC synapse é gerido a partir de dentro do Synapse Studio usando as ferramentas de controlo de acesso no hub Manage.Synapse RBAC is managed from within Synapse Studio using the Access control tools in the Manage hub.

Passos seguintesNext steps

Compreenda os papéis de RBAC da Sinapseincorporados.Understand the built-in Synapse RBAC roles.

Saiba como rever as atribuições de funções do SYNAPSE RBAC para um espaço de trabalho.Learn how to review Synapse RBAC role assignments for a workspace.

Saiba como atribuir funções de Sinapse RBACLearn how to assign Synapse RBAC roles