Роли и разрешения для службы "Фабрика данных Azure"

Область применения:Фабрика данных Azure Azure Synapse Analytics

Совет

Попробуйте использовать фабрику данных в Microsoft Fabric, решение для аналитики с одним интерфейсом для предприятий. Microsoft Fabric охватывает все, от перемещения данных до обработки и анализа данных в режиме реального времени, бизнес-аналитики и отчетности. Узнайте, как бесплатно запустить новую пробную версию !

В этой статье описываются роли, необходимые для создания и администрирования ресурсов Фабрики данных Azure, а также разрешения, предоставленные этим ролям.

Роли и требования

Чтобы создать экземпляры Фабрики данных, нужно назначить учетной записи пользователя, используемой для входа в Azure, роль участника, владельца либо администратора подписки Azure. Чтобы просмотреть имеющиеся разрешения в подписке, на портале Azure выберите имя пользователя в правом верхнем углу и щелкните Мои разрешения. Если у вас есть доступ к нескольким подпискам, выберите соответствующую подписку.

Чтобы создавать дочерние ресурсы для службы "Фабрика данных", в том числе наборы данных, связанные службы, конвейеры, триггеры и среды выполнения интеграции, а также управлять ими, выполните следующие требования:

• Чтобы создавать дочерние ресурсы и управлять ими на портале Azure, необходимо иметь роль участника Фабрики данных на уровне группы ресурсов или более высоком.

  Примечание.

  Если вы уже назначили роль Участник на уровне группы ресурсов или выше, роль участника фабрики данных не требуется. Роль участника — это роль надмножества, которая включает все разрешения, предоставленные роли участника фабрики данных.

• Чтобы создавать дочерние ресурсы и управлять ими с помощью PowerShell или пакета SDK, достаточно роли Участник на уровне ресурса или более высоком.

Примеры инструкций по назначению пользователю роли см. в статье Добавление или изменение администраторов подписки Azure.

Настройка разрешений

После создания Фабрики данных можно разрешить другим пользователям работать с ней. Чтобы предоставить этот доступ другим пользователям, вам необходимо добавить их во встроенную роль участника Фабрики данных в группе ресурсов, содержащей Фабрику данных.

Разрешения в роли участника Фабрики данных

Участники Фабрики данных могут выполнять следующие действия:

• Создание, изменение и удаление фабрик данных и дочерних ресурсов, включая наборы данных, связанные службы, конвейеры, триггеры и среды выполнения интеграции.
• Развертывание шаблонов Resource Manager. Для Фабрики данных на портале Azure используется метод развертывания с помощью Resource Manager.
• Управление оповещениями службы App Insights для фабрики данных.
• Создание запросов в службу поддержки.

Дополнительные сведения об этой роли см. в разделе Участник Фабрики данных.

развертывание шаблонов Resource Manager.

Роль участника Фабрики данных на уровне группы ресурсов или выше позволяет пользователям развертывать шаблоны Resource Manager. Таким образом, участники роли могут использовать шаблоны Resource Manager, чтобы развертывать фабрики данных и их дочерние ресурсы, в том числе наборы данных, связанные службы, конвейеры, триггеры и среды выполнения интеграции. Но участники этой роли не могут создавать другие ресурсы.

Разрешения в Azure Repos и GitHub не зависят от разрешений Фабрики данных. Таким образом, пользователь с разрешениями участника роли "Читатель" в репозитории может изменять дочерние ресурсы Фабрики данных и фиксировать изменения в репозитории, но не публиковать эти изменения.

Важно!

Если вы в роли участника Фабрики данных выполняете развертывание с помощью шаблона Resource Manager, это не повышает уровень ваших разрешений. Например, если вы развертываете шаблон, создающий виртуальную машину Azure, но у вас нет разрешения на создание виртуальных машин, развертывание завершается с ошибкой авторизации.

В контексте публикации разрешение Microsoft.DataFactory/factories/write применяется к следующим режимам.

• Это разрешение требуется только в динамическом режиме, когда клиент изменяет глобальные параметры.
• Это разрешение всегда требуется в режиме Git, так как каждый раз после публикации клиента необходимо указать для объекта фабрики последний идентификатор фиксации.

Пользовательские сценарии и пользовательские роли

Иногда необходимо предоставить различные уровни доступа для пользователей фабрики данных. Например:

• Вам может потребоваться группа, в которой пользователи имеют доступ только к определенной фабрике данных.
• Вам также может понадобиться группа, в которой пользователи могут только отслеживать фабрику данных, но не могут ее изменить.

Для реализации этих пользовательских сценариев можно создать пользовательские роли и назначить их пользователям. Дополнительные сведения о пользовательских ролях см. в статье Пользовательские роли в Azure.

Ниже приведено несколько примеров, демонстрирующих, чего можно добиться с помощью пользовательских ролей:

• Дайте пользователю возможность создавать, изменять или удалять любую фабрику данных в группе ресурсов на портале Azure.

  Назначьте для пользователя встроенную роль участника Фабрики данных на уровне группы ресурсов. Если вы хотите разрешить доступ к любой фабрике данных в подписке, назначьте роль на уровне подписки.

• Разрешите пользователю просматривать (читать) и отслеживать фабрику данных, но не редактировать или изменять ее.

  Назначьте для пользователя встроенную роль Читатель по отношению к ресурсу фабрики данных.

• Разрешите пользователю изменить одну фабрику данных на портале Azure.

  В этом сценарии требуется два назначения ролей.

  1. Назначьте встроенную роль Участник на уровне фабрики данных.
  2. Создайте пользовательскую роль с разрешением Microsoft.Resources/deployments/. Назначьте ее для пользователя на уровне группы ресурсов.

• Разрешить пользователю тестировать подключение в связанной службе или просматривать данные в наборе данных.

  Создайте настраиваемую роль с разрешениями на выполнение следующих действий: Microsoft.DataFactory/factories/getFeatureValue/read и Microsoft.DataFactory/factories/getDataPlaneAccess/action. Назначьте пользователю эту роль для выполнения действий с ресурсом фабрики данных.

• Дайте пользователю возможность обновлять фабрику данных с помощью PowerShell или пакета SDK, но не портала Azure.

  Назначьте для пользователя встроенную роль Участник по отношению к ресурсу фабрики данных. Эта роль позволяет просматривать ресурсы на портале Azure, однако у пользователя нет доступа к кнопкам Опубликовать и Опубликовать все.

Связанный контент

• Дополнительные сведения о ролях в Azure см. в статье Определения ролей.

• Дополнительные сведения о роли участника Фабрики данных см. в этом разделе.