Azure Data Factory 的角色和權限

適用於:Azure Data Factory Azure Synapse Analytics

本文說明要建立和管理 Azure Data Factory 資源所需的角色,以及這些角色所授與的權限。

角色和需求

若要建立 Data Factory 實例,您用來登入 Azure 的使用者帳戶必須是「 參與者 」角色、「 擁有 者」角色的成員,或是 Azure 訂用帳戶的 系統管理員 。 若要查看您在訂用帳戶中擁有的許可權,請在 [Azure 入口網站中,選取右上角的使用者名稱,然後選取 [ 我的許可權]。 如果您有多個訂用帳戶的存取權,請選取適當的訂用帳戶。

若要建立及管理 Data factory 的子資源 (包括資料集、連結服務、管線、觸發程序和整合執行階段),必須要符合下列需求:

  • 若要在 Azure 入口網站中建立及管理子資源,您必須屬於資源群組層級或以上的Data Factory 參與者角色。

    注意

    如果您已在資源群組層級或更高的層級指派「參與者」角色,則不需要「 Data Factory 參與者」角色。 「 參與者」角色 是一種超集合角色,包含授與給 Data Factory 參與者角色的擁有權限。

  • 若要使用 PowerShell 或 SDK 來建立及管理子資源,具備資源層級或更高層級的參與者角色即已足夠。

如需將使用者新增至角色的範例指示,請參閱新增角色一文。

設定權限

在建立 Data Factory 之後,您可以讓其他使用者使用資料處理站。 若要將此存取權授與其他使用者,您必須將這些使用者新增至包含 Data Factory 之資源群組上的內建Data Factory 參與者角色。

Data Factory 參與者角色的範圍

Data Factory 參與者角色的成員資格可讓使用者執行下列動作:

  • 建立、編輯和刪除資料處理站與子資源,包括資料集、連結的服務、管線、觸發程序和整合執行階段。
  • 部署 Resource Manager 範本。 Resource Manager 部署是 Data Factory 在 Azure 入口網站中所使用的部署方法。
  • 管理資料處理站的 App Insights 警示。
  • 建立支援票證。

如需此角色的詳細資訊,請參閱 Data Factory 參與者角色

Resource Manager 範本部署

位於資源群組層級以上的 Data Factory 參與者角色可讓使用者部署 Resource Manager 範本。 因此,該角色的成員可以使用 Resource Manager 範本來部署資料處理站及其子資源,包括資料集、連結的服務、管線、觸發程序和整合執行階段。 此角色的成員資格不會讓使用者建立其他資源。

Azure Repos 和 GitHub 上的權限與 Data Factory 權限無關。 因此,具備存放庫權限的使用者只能是讀者角色的成員,該使用者可以編輯 Data Factory 子資源,並將變更認可至存放庫,但無法發佈這些變更。

重要

使用 Data Factory 參與者角色來部署 Resource Manager 範本並不會提高您的權限。 例如,如果您部署範本來建立 Azure 虛擬機器,但您沒有建立虛擬機器的權限,則部署會因為授權錯誤而失敗。

在 [發佈內容] 中, DataFactory/factory/寫入 許可權適用于下列模式。

  • 只有當客戶修改全域參數時,才需要在 Live 模式中有該許可權。
  • 在每次客戶發佈之後,Git 模式一律需要該許可權,而且必須更新具有最後一個認可識別碼的 factory 物件。

自訂案例和自訂角色

有時候,您可能需要對不同的資料處理站使用者授與不同的存取層級。 例如:

  • 您可能需要使用者只有特定資料處理站權限的群組。
  • 或者,您可能需要使用者只能監視而無法修改資料處理站 (一或多個) 的群組。

藉由建立自訂角色並將使用者指派給這些角色,即可實現這些自訂案例。 如需自訂角色的詳細資訊,請參閱 Azure 中的自訂角色

以下幾個範例會示範您可以使用自訂角色實現的案例:

  • 讓使用者從 Azure 入口網站在資源群組中建立、編輯或刪除任何資料處理站。

    對使用者指派資源群組層級的內建 Data Factory 參與者角色。 如果您想要允許使用者存取訂用帳戶中的任何資料處理站,請指派訂用帳戶層級的角色。

  • 讓使用者檢視 (讀取) 和監視資料處理站,但不能編輯或變更。

    對使用者指派資料處理站資源的內建讀取者角色。

  • 讓使用者在 Azure 入口網站中編輯單一資料處理站。

    此案例需要指派兩個角色。

    1. 指派資料處理站層級的內建參與者角色。
    2. 建立具有 Microsoft .resources/部署/許可權許可權的自訂角色。 在資源群組層級對使用者指派這個自訂角色。
  • 讓使用者能夠在連結服務中測試連接,或在資料集中預覽資料

    建立具有下列動作許可權的自訂角色: DataFactory/factory/getFeatureValue/readDataFactory/factory/getDataPlaneAccess/action。 對使用者指派資料處理站資源的自訂角色。

  • 讓使用者從 PowerShell 或 SDK 更新資料處理站,而不是在 Azure 入口網站中進行。

    對使用者指派資料處理站資源的內建參與者角色。 此角色可讓使用者看到 Azure 入口網站中的資源,但使用者無法存取 [ 發佈 ] 和 [ 全部發佈 ] 按鈕。

後續步驟