Проверка назначений ролей RBAC для Synapse

  • Статья

Роли RBAC в Synapse используются для предоставления пользователям, группам и другим субъектам безопасности разрешений на доступ и использование ресурсов Synapse. Общие сведения см. в статье Что такое управление доступом на основе ролей в Synapse (RBAC)?

В этой статье объясняется, как проверить текущие назначения ролей для рабочей области.

Для любой роли RBAC в Synapse можно вывести список ее назначений во всех областях, в том числе для объектов, к которым у вас нет доступа. Только администратор Synapse может предоставлять доступ посредством RBAC в Synapse.

Примечание.

Гостевые пользователи (пользователи из другого арендатора AD) могут также просматривать назначения ролей и управлять ими, если им назначена роль администратора Synapse.

Открытие Synapse Studio

Чтобы проверить назначения ролей, сначала откройте Synapse Studio и выберите рабочую область. Для входа в рабочую область существует два метода выбора учетной записи. Один для подписки Azure, а другой для ручного ввода. При наличии роли Azure Synapse или ролей более высокого уровня вы можете использовать оба способа входа в рабочую область. Если у вас нет связанных ролей Azure и вам назначили роль RBAC в Synapse, ручной ввод является единственным способом входа в рабочую область.

Log in to workspace

Открыв рабочую область, выберите центр управления слева, а затем разверните раздел Безопасность и выберите пункт Управление доступом.

Select Access Control in Security section on left

Проверка назначений ролей рабочей области

На экране "Управление доступом" перечислены все текущие назначения ролей для рабочей области, сгруппированные по ролям. Каждое назначение включает имя участника, тип участника, роль и ее область действия.

Access Control screen

Если участнику назначена одна и та же роль в разных областях, вы увидите несколько назначений для него, по одному для каждой области.

Если роль назначена группе безопасности, вы увидите роли, явным образом назначенные группе, но не роли, унаследованные от родительских групп.

Список можно отфильтровать по имени участника или адресу электронной почты, а также выборочно отфильтровать типы объектов, роли и области. Чтобы просмотреть назначенные вам роли, введите свое имя или псевдоним электронной почты в поле фильтра "Имя". Изменять роли может только администратор Synapse.

Важно!

Если вы прямо или косвенно являетесь участником группы, которой назначены роли, у вас могут быть разрешения, которые не отображаются здесь.

Совет

Членство в группах можно найти с помощью идентификатора Microsoft Entra в портал Azure.

При создании рабочей области вы и субъект-служба MSI рабочей области автоматически получаете роль администратора Synapse в ее области.

Следующие шаги

Сведения о том, как управлять назначениями ролей RBAC Synapse.

Сведения о ролях, необходимых для выполнения определенных задач.