Azure Data Factory 的角色和權限

  • 發行項

適用於:Azure Data Factory Azure Synapse Analytics

提示

試用 Microsoft Fabric 中的 Data Factory,這是適用於企業的全方位分析解決方案。 Microsoft Fabric 涵蓋從資料移動到資料科學、即時分析、商業智慧和報告的所有項目。 了解如何免費開始新的試用

本文說明要建立和管理 Azure Data Factory 資源所需的角色,以及這些角色所授與的權限。

角色和需求

若要建立 Data Factory 執行個體,您用來登入 Azure 的使用者帳戶必須為「參與者」角色或「擁有者」角色,或是 Azure 訂用帳戶的「管理員」。 若要檢視您在訂用帳戶中擁有的權限,請在 Azure 入口網站中選取右上角的使用者名稱,然後選取 [我的權限]。 如果您有多個訂用帳戶的存取權,請選取適當的訂用帳戶。

若要建立及管理 Data factory 的子資源 (包括資料集、連結服務、管線、觸發程序和整合執行階段),必須要符合下列需求:

  • 若要在 Azure 入口網站中建立及管理子資源,您必須屬於資源群組層級或更高層級的 Data Factory 參與者角色。

    注意

    如果您已在資源群組層級或更高層次獲指派參與者角色,則不需要 Data Factory 參與者角色。 參與者角色是超集角色,其中包含授與 Data Factory 參與者角色的所有權限。

  • 若要使用 PowerShell 或 SDK 來建立及管理子資源,具備資源層級或更高層級的參與者角色即已足夠。

如需將使用者新增至角色的範例指示,請參閱新增角色一文。

設定權限

在建立 Data Factory 之後,您可以讓其他使用者使用資料處理站。 若要將此存取權提供給其他使用者,您必須將其新增至資料處理站所在資源群組上的內建 Data Factory 參與者角色。

Data Factory 參與者角色的範圍

Data Factory 參與者角色的成員資格可讓使用者執行下列作業:

  • 建立、編輯和刪除資料處理站和子資源,包括資料集、連結服務、管線、觸發程式和整合執行階段。
  • 部署 Resource Manager 範本。 Resource Manager 部署是 Data Factory 在Azure 入口網站中使用的部署方法。
  • 管理資料處理站的 [應用程式深入解析] 警示。
  • 建立支援票證。

如需此角色的詳細資訊,請參閱 Data Factory 參與者角色

Resource Manager 範本部署

位於資源群組層級以上的 Data Factory 參與者角色可讓使用者部署 Resource Manager 範本。 因此,該角色的成員可以使用 Resource Manager 範本來部署資料處理站及其子資源,包括資料集、連結的服務、管線、觸發程序和整合執行階段。 此角色的成員資格不會讓使用者建立其他資源。

Azure Repos 和 GitHub 上的權限與 Data Factory 權限無關。 因此,具備存放庫權限的使用者只能是讀者角色的成員,該使用者可以編輯 Data Factory 子資源,並將變更認可至存放庫,但無法發佈這些變更。

重要

使用 Data Factory 參與者角色來部署 Resource Manager 範本並不會提高您的權限。 例如,如果您部署範本來建立 Azure 虛擬機器,但您沒有建立虛擬機器的權限,則部署會因為授權錯誤而失敗。

在發佈內容中,Microsoft.DataFactory/factoryies/write 權限適用於下列模式。

  • 客戶修改全域參數時,只有在即時模式中才需要該權限。
  • 在 Git 模式中一律需要該權限,因為每次客戶發佈之後,都必須更新具有最後一個認可識別碼的 Factory 物件。

自訂案例和自訂角色

有時候,您可能需要對不同的資料處理站使用者授與不同的存取層級。 例如:

  • 您可能需要使用者只有特定資料處理站權限的群組。
  • 或者,您可能需要使用者只能監視而無法修改資料處理站 (一或多個) 的群組。

藉由建立自訂角色並將使用者指派給這些角色,即可實現這些自訂案例。 如需自訂角色的詳細資訊,請參閱 Azure 中的自訂角色

以下幾個範例會示範您可以使用自訂角色實現的案例:

  • 讓使用者從 Azure 入口網站在資源群組中建立、編輯或刪除任何資料處理站。

    對使用者指派資源群組層級的內建 Data Factory 參與者角色。 如果您想要允許使用者存取訂用帳戶中的任何資料處理站,請指派訂用帳戶層級的角色。

  • 讓使用者檢視 (讀取) 和監視資料處理站,但不能編輯或變更。

    對使用者指派資料處理站資源的內建讀取者角色。

  • 讓使用者在 Azure 入口網站中編輯單一資料處理站。

    此案例需要指派兩個角色。

    1. 指派資料處理站層級的內建參與者角色。
    2. 建立具有 Microsoft.Resources/deployments/ 權限的自訂角色。 在資源群組層級對使用者指派這個自訂角色。

  • 讓使用者能夠測試連結服務中的連線,或預覽資料集中的資料

    建立具有下列動作權限的自訂角色:Microsoft.DataFactory/factories/getFeatureValue/readMicrosoft.DataFactory/factories/getDataPlaneAccess/action。 對使用者指派資料處理站資源的自訂角色。

  • 讓使用者從 PowerShell 或 SDK 更新資料處理站,而不是在 Azure 入口網站中進行。

    對使用者指派資料處理站資源的內建參與者角色。 此角色可讓使用者在 Azure 入口網站中查看資源,但使用者無法存取 [發佈] 和 [全部發佈] 按鈕。

相關內容