Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
W artykule opisano wbudowane role Synapse RBAC (kontrola dostępu oparta na rolach), uprawnienia, które przyznają, oraz zakresy, w których mogą być używane.
Aby uzyskać więcej informacji na temat przeglądania i przypisywania członkostwa w rolach w usłudze Synapse, zobacz jak przeglądać przypisania ról RBAC w usłudze Synapse i jak przypisywać role RBAC w usłudze Synapse.
Wbudowane role RBAC i zakresy usługi Synapse
W poniższej tabeli opisano wbudowane role i zakresy, w których można ich używać.
Uwaga
Użytkownicy z dowolną rolą RBAC usługi Synapse w dowolnym zakresie automatycznie mają rolę użytkownika Synapse w obrębie obszaru roboczego.
Ważne
Role RBAC usługi Synapse nie udzielają uprawnień do tworzenia pul SQL, pul platformy Apache Spark i środowisk Integration Runtime w obszarach roboczych usługi Azure Synapse ani zarządzania nimi. Role właściciela lub współautora platformy Azure na grupie zasobów są wymagane do wykonania tych akcji.
| Rola | Uprawnienia | Zakresy |
|---|---|---|
| Administrator Synapse | Pełny dostęp usługi Synapse do bezserwerowych i dedykowanych pul SQL, pul eksploratora danych, pul platformy Apache Spark i środowisk Integration Runtime. Obejmuje tworzenie, odczytywanie, aktualizowanie i usuwanie dostępu do wszystkich opublikowanych artefaktów kodu. Obejmuje uprawnienia operatora obliczeniowego, menedżera danych połączonych i użytkownika poświadczeń systemu w poświadczeniu tożsamości systemu obszaru roboczego. Obejmuje przypisywanie ról RBAC w usłudze Synapse. Oprócz administratora usługi Synapse właściciele platformy Azure mogą również przypisywać role RBAC usługi Synapse. Uprawnienia platformy Azure są wymagane do tworzenia, usuwania zasobów obliczeniowych i zarządzania nimi. Role RBAC usługi Synapse można przypisać nawet wtedy, gdy skojarzona subskrypcja jest wyłączona. Może odczytywać i zapisywać artefakty. Mogą wykonywać wszystkie akcje w działaniach platformy Spark. Może wyświetlać dzienniki puli platformy Spark Może wyświetlać zapisane dane wyjściowe notesu i potoku Może używać tajnych informacji przechowywanych przez połączone usługi lub poświadczenia Może przypisywać i odwoływać role RBAC usługi Synapse w bieżącym zakresie |
Pula Spark obszaru roboczego Środowisko Integration Runtime Połączona usługa Poświadczenia |
| Synapse Apache Spark Administrator |
Pełny dostęp do pul Apache Spark przez usługę Synapse. Tworzenie, odczytywanie, aktualizowanie i usuwanie dostępu do opublikowanych definicji zadań platformy Spark, notesów i ich danych wyjściowych oraz bibliotek, połączonych usług i poświadczeń. Obejmuje dostęp do odczytu do wszystkich innych opublikowanych artefaktów kodu. Nie zawiera uprawnień do używania poświadczeń ani uruchamiania potoków. Nie obejmuje udzielania dostępu.
Może wykonywać wszystkie akcje dotyczące artefaktów platformy Spark Może wykonywać wszystkie akcje dotyczące działań na platformie Spark |
Pula Spark obszaru roboczego |
| Synapse SQL Administrator | Pełny dostęp usługi Synapse do bezserwerowych pul SQL. Tworzenie, odczytywanie, aktualizowanie i usuwanie dostępu do opublikowanych skryptów SQL, poświadczeń i połączonych usług. Obejmuje dostęp do odczytu do wszystkich innych opublikowanych artefaktów kodu. Nie zawiera uprawnień do używania poświadczeń ani uruchamiania potoków. Nie obejmuje udzielania dostępu.
Może wykonywać wszystkie akcje dotyczące skryptów SQL Może łączyć się z punktami końcowymi bezserwerowymi SQL przy użyciu uprawnień SQL db_datareader, db_datawriter, connect i grant |
Obszar roboczy |
| Współautor usługi Synapse | Pełny dostęp do pul Apache Spark i środowisk Integration Runtime w ramach usługi Synapse. Obejmuje dostęp do tworzenia, odczytu, aktualizowania i usuwania wszystkich opublikowanych artefaktów kodu oraz ich danych wyjściowych, w tym zaplanowanych potoków, poświadczeń i połączonych usług. Obejmuje uprawnienia operatora obliczeniowego. Nie zawiera uprawnień do używania poświadczeń ani uruchamiania potoków. Nie obejmuje udzielania dostępu.
Może odczytywać i zapisywać artefakty Może wyświetlać zapisane notesy i dane wyjściowe potoku Może wykonywać wszystkie akcje w działaniach Spark Może wyświetlać dzienniki puli Spark |
Pula Spark obszaru roboczego Środowisko uruchomieniowe integracji |
| Wydawca artefaktów Synapse | Zarządzanie tworzeniem, odczytywaniem, aktualizowaniem i usuwaniem dostępu do opublikowanych artefaktów kodu i ich danych wyjściowych, w tym do zaplanowanych przepływów pracy. Nie obejmuje uprawnień do uruchamiania kodu lub potoków ani udzielania dostępu.
Może odczytywać opublikowane artefakty i publikować artefakty Może wyświetlać zapisany notes, zadanie Spark oraz dane wyjściowe potoku |
Obszar roboczy |
| Użytkownik artefaktu Synapse | Dostęp do odczytu opublikowanych kodów i ich wyników. Może tworzyć nowe artefakty, ale nie może publikować zmian ani uruchamiać kodu bez większej liczby uprawnień. | Obszar roboczy |
| Operator obliczeniowy Synapse | Przesyłanie zadań i notesów platformy Spark oraz wyświetlanie dzienników. Obejmuje anulowanie zadań platformy Spark przesłanych przez dowolnego użytkownika. Wymaga innych uprawnień do korzystania z poświadczeń w tożsamości systemowej obszaru roboczego do uruchamiania pipeline'ów, wyświetlania przebiegów pipeline'ów i danych wyjściowych.
Może przesyłać i anulować zadania, w tym zadania przesłane przez inne osoby Może wyświetlać dzienniki puli Spark |
Obszar roboczy Pula Spark Środowisko Integracyjne Runtime |
| Operator monitorowania usługi Synapse | Odczytywanie opublikowanych artefaktów kodu, w tym dzienników i danych wyjściowych dla przebiegów potoków i ukończonych notesów. Obejmuje możliwość wyświetlania listy i szczegółów pul Apache Spark, pul eksploratora danych oraz środowisk uruchomieniowych Integration. Wymaga dodatkowych uprawnień do uruchamiania lub anulowania potoków, notatników i zadań platformy Spark. | Obszar roboczy |
| Użytkownik poświadczeń usługi Synapse | Czas działania i konfiguracji użycia sekretów w poświadczeniach i powiązanych usługach w działaniach takich jak uruchamianie potoków. Do uruchamiania potoków wymagana jest ta rola, przypisana do tożsamości systemowej obszaru roboczego.
W zakresie poświadczenia umożliwia dostęp do danych za pośrednictwem powiązanej usługi chronionej przez poświadczenie (może również wymagać zezwolenia na użycie zasobów obliczeniowych) Pozwala na wykonywanie potoków chronionych przez poświadczenie tożsamości systemu obszaru roboczego |
Obszar roboczy Połączona usługa Poświadczenie |
| Menedżer powiązanych danych Synapse | Tworzenie zarządzanych prywatnych punktów końcowych, połączonych usług i poświadczeń oraz zarządzanie nimi. Może tworzyć zarządzane prywatne punkty końcowe korzystające z połączonych usług chronionych przez poświadczenia | Obszar roboczy |
| Użytkownik usługi Synapse | Wyświetlanie i przeglądanie szczegółów pul SQL, pul Apache Spark, środowisk uruchomieniowych integracji oraz opublikowanych połączonych usług i poświadczeń. Nie zawiera opublikowanych innych artefaktów kodu źródłowego. Może tworzyć nowe artefakty, ale nie może uruchamiać ani publikować bez dodatkowych uprawnień.
Może wyświetlać listę i odczytywać pule Spark oraz środowiska uruchomieniowe integracji. |
Obszar roboczy, usługa połączona pula Spark Poświadczenia |
Role RBAC usługi Synapse i działania, na które zezwalają
Uwaga
- Wszystkie akcje wymienione w poniższych tabelach mają prefiks "Microsoft.Synapse/..."
- Wszystkie akcje odczytu, zapisu i usuwania artefaktów dotyczą opublikowanych artefaktów w usłudze live. Te uprawnienia nie mają wpływu na dostęp do artefaktów w połączonym repozytorium Git.
W poniższej tabeli wymieniono wbudowane role oraz akcje/uprawnienia, które obsługują poszczególne funkcje.
| Rola | Akcje |
|---|---|
| Administrator Synapse | workspaces/read workspaces/roleAssignments/zapisz, usuń workspaces/managedPrivateEndpoint/zapisz, usuń workspaces/bigDataPool/useCompute/akcja workspaces/bigDataPool/viewLogs/akcja workspaces/scopePool/useCompute/akcja workspaces/scopePool/viewLogs/akcja workspaces/integrationRuntime/useCompute/akcja workspaces/integrationRuntime/viewLogs/akcja workspaces/artifacts/read workspaces/notebooks/zapisz workspaces/sparkJobDefinitions/zapisz, usuń workspaces/scopeJobDefinitions/zapisz, usuń workspaces/sqlScripts/zapisz, usuń workspaces/dataFlows/zapisz, usuń workspaces/dataMappers/zapisz, usuń workspaces/pipelines/zapisz, usuń workspaces/triggers/zapisz, usuń workspaces/datasets/zapisz, usuń workspaces/linkedServices/zapisz, usuń workspaces/credentials/zapisz, usuń workspaces/notebooks/usuń workspaces/cancelPipelineRun/akcja workspaces/notebooksViewOutputs/akcja workspaces/pipelinesViewOutputs/akcja workspaces/linkedServicesUseSecret/akcja workspaces/credentialsUseSecret/akcja workspaces/libraries/zapisz, usuń workspaces/kQLScripts/zapisz, usuń workspaces/sparkConfigurations/zapisz, usuń workspaces/synapseLinkConnections/read, zapisz, usuń workspaces/synapseLinkConnections/useCompute/akcja |
| Synapse Apache Spark Administrator | workspaces/read workspaces/bigDataPoolUseCompute/action workspaces/bigDataPoolViewLogs/action workspaces/artifacts/read workspaces/write, delete workspaces/sparkJobDefinitions/write, delete workspaces/linkedServices/write, delete workspaces/credentials/write, delete workspaces/libraries/write, delete workspaces/notebooksViewOutputs/action |
| Synapse SQL Administrator | workspaces/read workspaces/artifacts/read workspaces/sqlScripts/write, delete workspaces/linkedServices/write, delete workspaces/credentials/write, delete workspaces/credentials/write, delete |
| Administrator zakresu usługi Synapse | workspaces/read workspaces/scopePoolUseCompute/action workspaces/scopePoolViewLogs/action workspaces/linkedServices/write, delete workspaces/credentials/write, delete workspaces/scopeJobDefinitions/write, delete workspaces/scopeJobDefinitions/write |
| Menedżer Prywatnego Punktu Końcowego Synapse | workspaces/read workspaces/managedPrivateEndpoint/write, delete workspaces/linkedServices/write, delete workspaces/credentials/write, delete workspaces/credentials/write |
| Współautor usługi Synapse | workspaces/odczyt workspaces/bigDataPool/użyjKomputera/akcja workspaces/bigDataPool/sesjeLogów/akcja workspaces/scopePool/użyjKomputera/akcja workspaces/scopePool/sesjeLogów/akcja workspaces/integrationRuntime/użyjKomputera/akcja workspaces/integrationRuntime/sesjeLogów/akcja workspaces/artefakty/odczyt workspaces/notatniki/zapisz, usuń workspaces/sparkJobDefinitions/zapisz, usuń workspaces/sqlScripts/zapisz, usuń workspaces/przepływyDanych/zapisz, usuń workspaces/maperyDanych/zapisz, usuń workspaces/potoki/zapisz, usuń workspaces/wyzwalacze/zapisz, usuń workspaces/zbioryDanych/zapisz, usuń workspaces/usługiPołączone/zapisz, usuń workspaces/poświadczenia/zapisz, usuń workspaces/anulujWykonywaniePipelin/akcja workspaces/notatnikiWyjścia/akcja workspaces/potokiWyjścia/akcja workspaces/biblioteki/zapisz, usuń workspaces/skryptyKQL/zapisz, usuń workspaces/sparkiKonfiguracje/zapisz, usuń workspaces/połączeniaSynapseLink/odczyt,zapisz, usuń workspaces/połączeniaSynapseLink/użyjKomputerAkcja |
| Wydawca artefaktów Synapse | workspaces/read workspaces/artifacts/read obszary robocze/notebooks/zapis, usuń obszary robocze/sparkJobDefinitions/zapis, usuń obszary robocze/scopeJobDefinitions/zapis, usuń obszary robocze/sqlScripts/zapis, usuń obszary robocze/przepływy danych/zapis, usuń obszary robocze/dataMappers/zapis, usuń obszary robocze/potoki/zapis, usuń obszary robocze/wyzwalacze/zapis, usuń obszary robocze/zestawy danych/zapis, usuń obszary robocze/połączoneUsługi/zapis, usuń obszary robocze/poświadczeń/zapis, usuń obszary robocze/notebooksViewOutputs/akcja obszary robocze/pipelinesViewOutputs/akcja obszary robocze/biblioteki/zapis, usuń obszary robocze/kQLScripts/zapis, usuń obszary robocze/sparkConfigurations/zapis, usuń |
| Użytkownik artefaktu Synapse | przestrzenie robocze/czytaj przestrzenie robocze/artefakty/czytaj przestrzenie robocze/notatniki/zobaczWyniki/akcja przestrzenie robocze/potoki/zobaczWyniki/akcja |
| Operator obliczeniowy Synapse | workspaces/read workspaces/bigDataPools/useCompute/action workspaces/bigDataPools/viewLogs/action workspaces/scopePool/useCompute/action workspaces/scopePool/viewLogs/action workspaces/integrationRuntimes/useCompute/action workspaces/integrationRuntimes/viewLogs/action workspaces/cancelPipelineRun/action workspaces/linkConnections/read Workspaces/useCompute /action |
| Operator monitorowania usługi Synapse | workspaces/read workspaces/artifacts/read workspaces/notebooks/viewOutputs/action workspaces/pipelines/viewOutputs/action workspaces/integrationRuntimes/viewLogs/action workspaces/bigDataPools/viewLogs/action |
| Użytkownik poświadczeń usługi Synapse | workspaces/read workspaces/linkedServices/useSecret/action workspaces/credentials/useSecret/action |
| Menedżer powiązanych danych Synapse | workspaces/read workspaces/managedPrivateEndpoint/write, delete workspaces/linkedServices/write, delete workspaces/credentials/write, delete workspaces/credentials/write |
| Użytkownik usługi Synapse | przestrzenie robocze/odczyt |
Akcje RBAC usługi Synapse i role, które je umożliwiają
W poniższej tabeli wymieniono akcje usługi Synapse i wbudowane role, które zezwalają na te akcje:
| Akcja | Rola |
|---|---|
| przestrzenie robocze/odczyt | Administrator usługi Synapse Administrator Synapse Apache Spark Administrator Synapse SQL Współautor Synapse Wydawca artefaktów Synapse Użytkownik artefaktów Synapse Operator przetwarzania Synapse Operator monitorowania Synapse Użytkownik poświadczeń Synapse Menadżer danych połączonych Synapse Użytkownik Synapse |
| workspaces/roleAssignments/zapisz, usuń | Administrator Synapse |
| workspaces/managedPrivateEndpoint/zapisywać, usuwać | Administrator usługi Synapse Menedżer połączonych danych usługi Synapse |
| przestrzenieRobocze/puleDużychDanych/użyjObliczeń/akcja | Administrator Synapse Apache Spark Administrator Synapse Apache Spark Współautor Synapse Operator obliczeń Synapse Operator monitorowania Synapse |
| workspaces/bigDataPools/przegladanieLogow/akcja | Administrator Synapse Administrator Synapse Apache Spark Kontrybutor Synapse Operator obsługi obliczeń Synapse |
| Since the text appears to be a technical path or command, if it is intended to remain untranslated for technical accuracy, the current translation is acceptable as-is. Ensure consistency in technical documentation, and context should decide whether to translate these components or leave them in English. | Administrator Synapse Kontrybutor Synapse Operator Obliczeń Synapse Operator Monitoringu Synapse |
| obszary robocze/środowiska integracji/przeglądanie logów/działanie | Administrator Synapse Kontrybutor Synapse Operator Obliczeń Synapse Operator Monitoringu Synapse |
| przestrzenie_robocze/połączenia_linków/czytaj | Administrator usługi Synapse — współautor usługi Synapse — operator obliczeniowy |
| foldery/połączeniaLinków/użycieObliczeń/akcja | Administrator usługi Synapse — współautor usługi Synapse — operator obliczeniowy |
| przestrzenie robocze/artefakty/odczyt | Administrator usługi Synapse Administrator Synapse Apache Spark Administrator Synapse SQL Kontrybutor Synapse Wydawca Artefaktów Synapse Użytkownik Artefaktów Synapse |
| obszary robocze/notesy/pisanie, usuwanie | Administrator usługi Synapse Administrator Synapse Apache Spark Współautor Synapse Wydawca artefaktu Synapse |
| przestrzenie robocze/definicje zadań Spark/zapisz, usuń | Administrator usługi Synapse Administrator Synapse Apache Spark Współautor Synapse Wydawca artefaktu Synapse |
| workspaces/sqlScripts/zapisywać, usuwać | Administrator Synapse Administrator Synapse SQL Współtwórca Synapse Opublikator Artefaktów Synapse |
| workspaces/kqlScripts/zapisz, usuń | Administrator Współtwórca Synapse Wydawca Artefaktów Synapse |
| workspaces/wodzie_przepływów/dopisz, usuń | Administrator Współtwórca Synapse Wydawca Artefaktów Synapse |
| obszary robocze/potoki danych/zapis, usuwanie | Administrator Współtwórca Synapse Wydawca Artefaktów Synapse |
| workspaces/linkConnections/zapisz, usuń | Administrator Synapse Współtwórca Synapse |
| obszary robocze/wyzwalacze/zapisywanie, usuwanie | Administrator Współtwórca Synapse Wydawca Artefaktów Synapse |
| obszary robocze/zestawy danych/zapis, usuwanie | Administrator Współtwórca Synapse Wydawca Artefaktów Synapse |
| obszary robocze/biblioteki/zapisywanie, usuwanie | Administrator usługi Synapse Administrator Synapse Apache Spark Współautor Synapse Wydawca artefaktu Synapse |
| przestrzenie robocze/połączoneUsługi/zapis, usunięcie | Administrator usługi Synapse Administrator Synapse Apache Spark Administrator Synapse SQL Współautor Synapse Wydawca artefaktów Synapse Menedżer połączonych danych Synapse |
| przestrzenie_robocze/poświadczenia/zapisz, usuń | Administrator usługi Synapse Administrator Synapse Apache Spark Administrator Synapse SQL Współautor Synapse Wydawca artefaktów Synapse Menedżer połączonych danych Synapse |
| workspace/notebook/widokWyników/akcja | Administrator Synapse Administrator Synapse Apache Spark Współautor Synapse Wydawca artefaktów Synapse Użytkownik artefaktów Synapse |
| przestrzenie robocze/rurociągi/podglądWyników/akcja | Administrator współtwórca usługi Synapse wydawca artefaktów usługi Synapse użytkownik artefaktów usługi Synapse |
| obszaryRobocze/połączoneUsługi/użyjSekret/działanie | Administrator usługi Synapse Użytkownik poświadczeń usługi Synapse |
| przestrzenie robocze/poświadczenia/użyjSekretu/akcja | Administrator usługi Synapse Użytkownik poświadczeń usługi Synapse |
Zakresy uprawnień RBAC w Synapse i ich obsługiwane role
W poniższej tabeli wymieniono zakresy RBAC usługi Synapse i role przypisane do każdego z nich.
Uwaga
Aby utworzyć lub usunąć obiekt, musisz mieć uprawnienia w zakresie wyższego poziomu.
| Zakres | Role |
|---|---|
| Obszar roboczy | Administrator usługi Synapse Administrator Synapse Apache Spark Administrator Synapse SQL Współautor Synapse Wydawca artefaktów Synapse Użytkownik artefaktów Synapse Operator przetwarzania Synapse Operator monitorowania Synapse Użytkownik poświadczeń Synapse Menadżer danych połączonych Synapse Użytkownik Synapse |
| Pula Apache Spark | Administrator usługi Synapse — współautor usługi Synapse — operator obliczeniowy |
| Środowisko uruchomieniowe integracji | Administrator usługi Synapse — współautor usługi Synapse — operator obliczeniowy |
| Połączona usługa | Administrator usługi Synapse Użytkownik poświadczeń usługi Synapse |
| Poświadczenie | Administrator usługi Synapse Użytkownik poświadczeń usługi Synapse |
Uwaga
Wszystkie role i działania artefaktów są określone w ramach obszaru roboczego.
Następne kroki
- Dowiedz się, jak przeglądać przypisania ról RBAC Synapse dla obszaru roboczego.
- Dowiedz się jak przypisać role Synapse RBAC