瞭解在 Azure Synapse 中執行一般工作所需的角色
本文將協助您瞭解在 Synapse Studio 中完成工作所需的 Synapse RBAC 角色或 Azure RBAC 角色。 若要管理角色成員資格,請參閱 管理 Synapse RBAC 角色指派。
Synapse Studio 訪問控制和工作流程摘要
Access Synapse Studio
您可以開啟 Synapse Studio 並檢視工作區的詳細數據,並列出其任何 Azure 資源,例如 SQL 集區、Spark 集區或整合運行時間。 您會看到您是否已獲指派任何 Synapse RBAC 角色,或在工作區上擁有 Azure 擁有者、參與者或讀者角色。
資源管理
如果您是資源群組上的 Azure 擁有者或參與者,您可以建立 SQL 集區、數據總管集區和 Apache Spark 集區。 如果您是工作區上的 Azure 擁有者或參與者,您可以建立 Integration Runtime。 使用 ARM 範本進行自動化部署時,您必須是資源群組上的 Azure 參與者。
如果您是工作區或該資源的 Azure 擁有者或參與者,您可以暫停或調整專用 SQL 集區、設定 Spark 集區或整合運行時間。
檢視和編輯程式代碼成品
透過 Synapse Studio 的存取權,您可以建立新的程式代碼成品,例如 SQL 腳本、KQL 腳本、筆記本、spark 作業、鏈接服務、管線、數據流、觸發程式和認證。 這些成品可以透過其他許可權發佈或儲存。
如果您是 Synapse Artifact User、Synapse Artifact Publisher、Synapse 參與者或 Synapse 管理員 istrator,您可以列出、開啟和編輯已發行的程式代碼成品,包括排程的管線。
執行您的程序代碼
如果您有在 SQL 集區中定義的必要 SQL 許可權,您可以在 SQL 集區上執行 SQL 腳本。 如果您有必要的許可權,您可以在資料總管集區上執行 KQL 腳本。
如果您有工作區或特定 Apache Spark 集區上的 Synapse 計算操作員許可權,則可以執行筆記本和 Spark 作業。
使用工作區或特定整合運行時間的計算操作員許可權,以及您可以執行管線的適當認證許可權。
監視和管理執行
如果您是 Synapse 使用者,您可以在 Apache Spark 集區中檢閱執行筆記本和作業的狀態。
如果您是工作區或特定 Spark 集區或管線的 Synapse 計算運算符,您可以檢閱記錄並取消執行中的作業和管線。
偵錯管線
您可以將管線中的變更檢閱並變更為 Synapse 使用者,但如果您想要進行偵錯,您也需要有 Synapse 認證使用者。
發佈並儲存您的程序代碼
如果您是 Synapse Artifact Publisher、Synapse 參與者或 Synapse 管理員 istrator,您可以將新的或更新的程式代碼成品發佈至服務。
如果工作區已啟用 Git,且您擁有 Git 許可權,您可以將程式代碼成品認可至 Git 存放庫的工作分支。 啟用 Git 後,只能從共同作業分支發佈。
如果您關閉 Synapse Studio 而不發佈或認可程式代碼成品的變更,這些變更將會遺失。
工作和必要角色
下表列出一般工作,以及每個工作、Synapse RBAC 或 Azure RBAC 角色所需的工作。
注意
除非您是唯一提供必要許可權的角色,否則不會針對每個工作列出Synapse 管理員 istrator。 Synapse 管理員 istrator 可以執行其他 Synapse RBAC 角色啟用的所有工作。
注意
另一個租使用者的來賓使用者也可以在指派為 Synapse 管理員 istrator 之後,檢閱、新增或變更角色指派。
顯示所需的最小 Synapse RBAC 角色。
任何範圍的 Synapse RBAC 角色都會提供您工作區的 Synapse 用戶許可權。
數據表中顯示的所有 Synapse RBAC 許可權/動作都會加上 前置 Microsoft/Synapse/workspaces/...詞。
| 工作 (我想...) | 角色 (我需要...) | Synapse RBAC 許可權/動作 |
|---|---|---|
| 在工作區上開啟 Synapse Studio | Synapse 使用者或 | 讀取 |
| 工作區上的 Azure 擁有者或參與者或讀者 | none | |
| 列出 SQL 集區或數據總管集區或 Apache Spark 集區,或整合運行時間並存取其組態詳細數據 | Synapse 使用者或 | 讀取 |
| 工作區上的 Azure 擁有者或參與者或讀者 | none | |
| 列出連結的服務或認證或受控私人端點 | Synapse 使用者 | 讀取 |
| SQL 集區 | ||
| 建立專用 SQL 集區或無伺服器 SQL 集區 | 資源群組上的 Azure 擁有者或參與者 | none |
| 管理專用 SQL 集區 (暫停或調整或移除) | SQL 集區或工作區上的 Azure 擁有者或參與者 | none |
| 建立 SQL 腳本 |
工作區上的 Synapse 使用者或 Azure 擁有者或參與者。 執行 SQL 腳本、發佈或認可變更需要額外的 SQL 許可權。 |
|
| 列出並開啟任何已發佈的 SQL 腳本 | Synapse 成品使用者或成品發行者,或 Synapse 參與者 | artifacts/read |
| 在無伺服器 SQL 集區上執行 SQL 腳稿 | 集區的 SQL 許可權(自動授與 Synapse 管理員 istrator) | none |
| 在專用 SQL 集區上執行 SQL 腳本 | 集區的 SQL 許可權(自動授與 Synapse 管理員 istrator) | none |
| 發佈新的或更新或刪除的 SQL 腳本 | Synapse 成品發行者或 Synapse 參與者 | sqlScripts/write,delete |
| 將 SQL 腳本的變更認可至 Git 存放庫 | 需要存放庫的 Git 許可權 | |
| 在工作區上指派 Active Directory 管理員 (透過 Azure 入口網站中的工作區屬性) | 工作區上的 Azure 擁有者或參與者 | |
| 數據總管集區 | ||
| 建立資料總管集區 | 資源群組上的 Azure 擁有者或參與者 | none |
| 管理資料總管集區 (暫停或調整或移除) | 數據總管集區或工作區上的 Azure 擁有者或參與者 | none |
| 建立 KQL 腳本 |
Synapse 使用者。 執行腳本、發佈或認可變更需要其他數據總管許可權。 |
|
| 列出並開啟任何已發佈的 KQL 腳本 | Synapse 成品使用者或成品發行者,或 Synapse 參與者 | artifacts/read |
| 在數據總管集區上執行 KQL 腳本 | 集區上的數據總管許可權(自動授與 Synapse 管理員 istrator) | none |
| 發佈新的、更新或刪除 KQL 腳本 | Synapse 成品發行者或 Synapse 參與者 | kqlScripts/write, delete |
| 將 KQL 腳本的變更認可至 Git 存放庫 | 需要存放庫的 Git 許可權 | |
| APACHE SPARK 集區 | ||
| 建立 Apache Spark 集區 | 資源群組上的 Azure 擁有者或參與者 | |
| 監視 Apache Spark 應用程式 | Synapse 使用者 | 讀取 |
| 檢視已完成筆記本和作業執行的記錄 | Synapse 監視操作員 | |
| 取消在 Apache Spark 集區上執行的任何筆記本或 Spark 作業 | Apache Spark 集區上的 Synapse 計算運算符。 | bigDataPools/useCompute |
| 建立筆記本或作業定義 | 需要工作區上的 Synapse 使用者或 Azure 擁有者或 參與者或讀者執行、發佈或認可變更所需的其他許可權 |
讀 |
| 列出並開啟已發佈的筆記本或作業定義,包括檢閱已儲存的輸出 | 工作區上的 Synapse 成品使用者或 Synapse 監視操作員 | artifacts/read |
| 執行筆記本並檢閱其輸出,或提交 Spark 作業 | 所選 Apache Spark 集區上的 Synapse Apache Spark 管理員 istrator 或 Synapse Compute 運算符 | bigDataPools/useCompute |
| 將筆記本或作業定義 (包括輸出) 發佈或刪除至服務 | 工作區上的成品發行者或 Synapse Apache Spark 管理員 istrator | 筆記本/寫入、刪除 |
| 將筆記本或作業定義的變更認可至 Git 存放庫 | Git 許可權 | none |
| 管線、整合運行時間、數據流、數據集和觸發程式 | ||
| 建立、更新或刪除整合運行時間 | 工作區上的 Azure 擁有者或參與者 | |
| 監視整合運行時間狀態 | Synapse 監視操作員 | read, integrationRuntimes/viewLogs |
| 檢閱管線執行 | Synapse 監視操作員 | read, pipelines/viewOutputs |
| 建立新管線 | 需要 Synapse 使用者 額外的 Synapse 許可權,才能偵錯、新增觸發程式、發佈或認可變更 |
讀取 |
| 建立數據流或數據集 | 需要 Synapse 使用者 其他 Synapse 許可權才能發佈或認可變更 |
讀取 |
| 列出並開啟已發佈的管線 | Synapse 成品使用者或 Synapse 監視操作員 | artifacts/read |
| 預覽數據集數據 | WorkspaceSystemIdentity 上的 Synapse 使用者和 Synapse 認證使用者 | |
| 使用預設整合運行時間對管線進行偵錯 | WorkspaceSystemIdentity 認證上的 Synapse 使用者和 Synapse 認證使用者 | read, credentials/useSecret |
| 立即建立觸發程式,包括觸發程式(需要執行管線的許可權) | WorkspaceSystemIdentity 上的 Synapse 使用者和 Synapse 認證使用者 | read, credentials/useSecret/action |
| 執行/執行管線 | WorkspaceSystemIdentity 上的 Synapse 使用者和 Synapse 認證使用者 | read, credentials/useSecret/action |
| 使用複製資料工具複製數據 | 工作區系統身分識別上的 Synapse 使用者和 Synapse 認證使用者 | read, credentials/useSecret/action |
| 內嵌資料(使用排程) | 工作區系統身分識別上的 Synapse Author 和 Synapse 認證使用者 | read, credentials/useSecret/action |
| 將新的、更新或刪除的管線、數據流或觸發程式發佈至服務 | 工作區上的 Synapse Artifact Publisher | pipelines/write、delete dataflows/write、delete triggers/write、delete |
| 將變更認可至 Git 存放庫的管線、數據流、數據集或觸發程式 | Git 許可權 | none |
| 連結服務 | ||
| 建立連結服務 (包括指派認證) | 需要 Synapse 使用者 其他許可權,才能搭配認證使用連結服務,或發佈或認可變更 |
讀取 |
| 列出並開啟已發佈的連結服務 | Synapse 成品使用者 | linkedServices/write、delete |
| 在受認證保護的連結服務上測試連線 | Synapse 使用者和 Synapse 認證使用者 | credentials/useSecret/action |
| 發佈連結的服務 | Synapse Artifact Publisher 或 Synapse Linked Data Manager | linkedServices/write、delete |
| 將連結服務定義認可至 Git 存放庫 | Git 許可權 | none |
| 存取管理 | ||
| 在任何範圍檢閱 Synapse RBAC 角色指派 | Synapse 使用者 | 讀取 |
| 指派和移除使用者、群組和服務主體的 Synapse RBAC 角色指派 | 工作區或特定工作區專案範圍的 Synapse 管理員 istrator | roleAssignments/write, delete |