Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
O artigo descreve as funções RBAC (controle de acesso baseado em função) internas do Synapse, as permissões que elas concedem e os escopos nos quais elas podem ser usadas.
Para obter mais informações sobre como revisar e atribuir associações de função do Azure Synapse, confira como examinar as atribuições de função RBAC do Azure Synapse e como atribuir funções RBAC do Azure Synapse.
Funções RBAC e escopos internos do Synapse
A tabela a seguir descreve as funções internas e os escopos nos quais elas podem ser usadas.
Observação
Os usuários com qualquer função RBAC do Synapse em qualquer escopo têm automaticamente a função de usuário do Synapse no escopo do workspace.
Importante
As funções RBAC do Azure Synapse não concedem permissões para criar ou gerenciar pools de SQL, pools do Apache Spark e runtimes de integração em workspaces do Azure Synapse. As funções de Proprietário do Azure ou Colaborador do Azure no grupo de recursos são necessárias para essas ações.
| Função | Permissões | Escopos |
|---|---|---|
| Administrador do Azure Synapse | Acesso total ao Synapse para pools de SQL sem servidor e dedicados, pools do Data Explorer, pools do Apache Spark e runtimes de integração. Inclui criar, ler, atualizar e excluir o acesso a todos os artefatos de código publicados. Inclui permissões de operador de computação, Gerenciador de Dados Vinculados e de Usuário de Credencial na credencial de identidade do sistema do workspace. Inclui a atribuição de funções RBAC do Synapse. Além do Administrador do Synapse, os Proprietários do Azure também podem atribuir funções RBAC do Synapse. As permissões do Azure são necessárias para criar, excluir e gerenciar recursos de computação. As funções RBAC do Synapse podem ser atribuídas mesmo quando a assinatura associada está desabilitada. Pode ler e gravar artefatos Pode executar todas as ações em atividades do Spark. Pode exibir logs do pool do Spark Pode exibir a saída do notebook e do pipeline salvos Pode usar os segredos armazenados por serviços ou credenciais vinculados Pode atribuir e revogar funções RBAC do Synapse no escopo atual |
Workspace Pool do Spark Runtime de integração Serviço vinculado Credencial |
| Administrador do Spark do Azure Synapse |
Acesso total do Synapse a Pools do Apache Spark. Acesso de criação, leitura, atualização e exclusão a definições de trabalho do Spark publicadas, notebooks e suas saídas, e a bibliotecas, serviços vinculados e credenciais. Inclui acesso de leitura a todos os outros artefatos de código publicados. Não inclui permissão para usar credenciais e executar pipelines. Não inclui concessão de acesso.
Pode fazer todas as ações em artefatos do Spark Pode fazer todas as ações em atividades do Spark |
Workspace Pool do Spark |
| Administrador do SQL do Synapse | Acesso total do Synapse a pools de SQL sem servidor. Criar, ler, atualizar e excluir o acesso a scripts, credenciais e serviços vinculados do SQL publicados. Inclui acesso de leitura a todos os outros artefatos de código publicados. Não inclui permissão para usar credenciais e executar pipelines. Não inclui concessão de acesso.
Pode realizar todas as ações em scripts de SQL Pode se conectar a pontos de extremidade SQL sem servidor com permissões SQL db_datareader, db_datawriter, connect e grant |
Espaço de trabalho |
| Colaborador do Synapse | Acesso total do Synapse a pools do Apache Spark e runtimes de integração. Inclui acesso de criação, leitura, atualização e exclusão para todos os artefatos de código publicados e suas saídas, incluindo pipelines agendados, credenciais e serviços vinculados. Inclui permissões de operador de computação. Não inclui permissão para usar credenciais e executar pipelines. Não inclui concessão de acesso.
Pode ler e gravar artefatos Pode exibir a saída de notebook e pipeline salvos Pode realizar todas as ações em atividades do Spark Pode exibir logs do pool do Spark |
Workspace Pool do Spark Runtime de integração |
| Fornecedor de Artefatos do Synapse | Acesso de criação, leitura, atualização e exclusão a artefatos de código publicados e suas saídas, incluindo pipelines agendados. Não inclui permissão para executar código ou pipelines, nem para conceder acesso.
Pode ler artefatos publicados e publicar artefatos Pode exibir o notebook salvo, o trabalho do Spark e a saída do pipeline |
Espaço de trabalho |
| Usuário de Artefato do Azure Synapse | Acesso de leitura a artefatos de código publicados e suas saídas. Pode criar novos artefatos, mas não pode publicar alterações nem executar código sem permissões a mais. | Espaço de trabalho |
| Operador de Computação do Azure Synapse | Envie trabalhos e blocos de anotações do Spark e exiba logs. Inclui o cancelamento de trabalhos do Spark enviados por qualquer usuário. Requer outras permissões de uso de credenciais na identidade de sistema do workspace para executar pipelines, exibir execuções de pipeline e saídas.
Pode enviar e cancelar trabalhos, incluindo trabalhos enviados por outras pessoas Pode exibir logs do pool do Spark |
Workspace Pool do Spark Runtime de integração |
| Operador de monitoramento do Synapse | Ler artefatos de código publicados, incluindo logs e saídas de execuções de pipeline e notebooks concluídos. Inclui a capacidade de listar e ver detalhes dos pools do Apache Spark, dos pools do Data Explorer e dos runtimes de integração. Requer outras permissões para executar/cancelar pipelines, notebooks do Spark e trabalhos do Spark. | Espaço de trabalho |
| Usuário de Credencial do Synapse | Uso de segredos de runtime e tempo de configuração dentro de credenciais e serviços vinculados em atividades como execuções de pipeline. Para executar pipelines, essa função é necessária, com escopo para a identidade do sistema do workspace.
Com escopo para uma credencial, permite o acesso aos dados por meio de um serviço vinculado que é protegido pela credencial (também requer a permissão de uso de computação) permite a execução de pipelines protegidos pela credencial de identidade do sistema do workspace |
Workspace Serviço vinculado Credencial |
| Gerenciador de Dados Vinculados do Azure Synapse | Criação e gerenciamento de pontos de extremidade privados gerenciados, serviços vinculados e credenciais. Pode criar pontos de extremidade privados gerenciados que usam serviços vinculados protegidos por credenciais | Espaço de trabalho |
| Usuário do Azure Synapse | Liste e exiba detalhes de pools de SQL, pools do Apache Spark, tempos de execução de integração e credenciais e serviços vinculados publicados. Não inclui outros artefatos de código publicados. Pode criar novos artefatos, mas não pode executar nem publicar sem permissões a mais.
Pode listar e ler pools do Spark, runtimes de integração. |
Workspace, Pool do Spark Serviço vinculado Credencial |
Funções RBAC do Synapse e as ações que elas permitem
Observação
- Todas as ações listadas nas tabelas abaixo são prefixadas, “Microsoft.Synapse/...”
- Todas as ações de leitura, gravação e exclusão de artefatos são relacionadas aos artefatos publicados no serviço ativo. Essas permissões não afetam o acesso a artefatos em um repositório Git conectado.
A tabela a seguir lista as funções internas e as ações/permissões a que cada uma dá suporte.
| Função | Ações |
|---|---|
| Administrador do Azure Synapse | workspaces/read workspaces/roleAssignments/write, delete workspaces/managedPrivateEndpoint/write, excluir workspaces/bigDataPool/useCompute/action workspaces/bigDataPool/viewLogs/action workspaces/scopePool/useCompute/action workspaces/scopePool/viewLogs/action workspaces/integrationRuntime/useCompute/action workspaces/integrationRuntime/viewLogs/action workspaces/artifacts/read workspaces/notebooks/write workspaces/sparkJobDefinitions/write, delete workspaces/scopeJobDefinitions/write, excluir workspaces/sqlScripts/write, excluir workspaces/dataFlows/write, excluir workspaces/dataMappers/write, excluir workspaces/pipelines/gravação, excluir workspaces/gatilhos/gravação, excluir workspaces/conjuntos de dados/gravação, excluir workspaces/linkedServices/write, excluir workspaces/credenciais/gravação, excluir workspaces/notebooks/ excluir workspaces/cancelPipelineRun/action workspaces/notebooksViewOutputs/action workspaces/pipelinesViewOutputs/action workspaces/linkedServicesUseSecret/action workspaces/credentialsUseSecret/action workspaces/libraryes/write, excluir workspaces/kQLScripts/write, excluir workspaces/sparkConfigurations/write, excluir workspaces/synapseLinkConnections/read, write, delete workspaces/synapseLinkConnections/ useCompute/action |
| Administrador do Spark do Azure Synapse | workspaces/workspaces de leitura /bigDataPoolUseCompute/action workspaces/bigDataPoolViewLogs/action workspaces/artifacts/read workspaces/notebooks/write, delete workspaces/sparkJobDefinitions/write, delete workspaces/linkedServices/write, delete workspaces/credentials/write, delete workspaces/libraryes/write, delete workspaces/notebooksViewOutputs/action |
| Administrador do SQL do Synapse | workspaces/workspaces de leitura /artefatos/workspaces de leitura /sqlScripts/write, excluir workspaces/linkedServices/write, excluir workspaces/credenciais/gravação, excluir |
| Administrador de Escopo do Synapse | espaços de trabalho/leitura espaços de trabalho/scopePoolUseCompute/ação espaços de trabalho/scopePoolViewLogs/ação espaços de trabalho/linkedServices/gravação, excluir espaços de trabalho/credenciais/gravação, excluir espaços de trabalho/scopeJobDefinitions/gravação, excluir |
| Gerenciador de Pontos de Extremidade Privados do Synapse | workspaces/workspaces de leitura /managedPrivateEndpoint/write, delete workspaces/linkedServices/write, delete workspaces/credentials/write, delete |
| Colaborador do Synapse | workspaces/workspaces de leitura /bigDataPool/useCompute/action workspaces/bigDataPool/viewLogs/action workspaces/scopePool/useCompute/action workspaces/scopePool/viewLogs/action workspaces/integrationRuntime/useCompute/action workspaces/integrationRuntime/viewLogs/action workspaces/artifacts/read workspaces/notebooks/write, excluir workspaces/sparkJobDefinitions/write, excluir workspaces/sqlScripts/write, excluir workspaces/dataFlows/write, delete workspaces/dataMappers/write, excluir workspaces/pipelines/gravação, excluir workspaces/gatilhos/gravação, excluir workspaces/conjuntos de dados/gravação, excluir workspaces/linkedServices/write, excluir workspaces/credenciais/gravação, excluir workspaces/cancelPipelineRun/workspaces de ação /notebooksViewOutputs/workspaces de ação /pipelinesViewOutputs/workspaces de ação /bibliotecas/gravação, excluir workspaces/kQLScripts/write, delete workspaces/sparkConfigurations/write, delete workspaces/synapseLinkConnections/read, write, delete workspaces/synapseLinkConnections/useComputeAction |
| Fornecedor de Artefatos do Synapse | workspaces/workspaces de leitura /artefatos/workspaces de leitura /notebooks/gravação, delete workspaces/sparkJobDefinitions/write, delete workspaces/scopeJobDefinitions/write, delete workspaces/sqlScripts/write, delete workspaces/dataFlows/write, delete workspaces/dataMappers/write, delete workspaces/pipelines/write, delete workspaces/triggers/write, delete workspaces/datasets/write, delete workspaces/linkedServices/write, excluir workspaces/credenciais/gravação, excluir workspaces/notebooksViewOutputs/action workspaces/pipelinesViewOutputs/action workspaces/libraryes/write, excluir workspaces/kQLScripts/write, excluir workspaces/sparkConfigurations/write, excluir |
| Usuário de Artefato do Azure Synapse | workspaces/workspaces de leitura /artefatos/workspaces de leitura /notebooks/viewOutputs/action workspaces/pipelines/viewOutputs/action |
| Operador de Computação do Azure Synapse | workspaces/workspaces de leitura /bigDataPools/useCompute/action workspaces/bigDataPools/viewLogs/action workspaces/scopePool/useCompute/action workspaces/scopePool/viewLogs/action workspaces/integrationRuntimes/useCompute/action workspaces/integrationRuntimes/viewLogs/action workspaces/cancelPipelineRun/action workspaces/linkConnections/read workspaces/linkConnections/useCompute/action |
| Operador de monitoramento do Synapse | espaços de trabalho/ler espaços de trabalho/artefatos/ler espaços de trabalho/notebooks/viewOutputs/ação espaços de trabalho/pipelines/viewOutputs/ ação espaços de trabalho/integrationRuntimes/viewLogs/ação espaços de trabalho/bigDataPools/viewLogs/ação |
| Usuário de Credencial do Synapse | workspaces/workspaces de leitura /linkedServices/useSecret/action workspaces/credentials/useSecret/action |
| Gerenciador de Dados Vinculados do Azure Synapse | workspaces/workspaces de leitura /managedPrivateEndpoint/write, delete workspaces/linkedServices/write, delete workspaces/credentials/write, delete |
| Usuário do Azure Synapse | workspaces/leitura |
Ações de RBAC do Synapse e as funções que as permitem
A tabela a seguir lista as ações do Synapse e as funções internas que permitem estas ações:
| Ação | Função |
|---|---|
| workspaces/leitura | Administrador do Synapse Administrador do Apache Spark do Synapse Administrador de SQL do Synapse Colaborador do Synapse Editor de Artefatos do Synapse Usuário de Artefatos do Synapse Operador de Computação do Synapse Operador de Monitoramento do Synapse Usuário de Credenciais do Synapse Gerenciador de Dados Vinculados do Synapse Usuário do Synapse |
| workspaces/roleAssignments/write, delete | Administrador do Azure Synapse |
| workspaces/managedPrivateEndpoint/write, delete | Administrador do Synapse Gerenciador de Dados Vinculados do Synapse |
| workspaces/bigDataPools/useCompute/action | Administrador do Synapse Administrador do Apache Spark do Synapse Colaborador do Synapse Operador de Computação do Synapse Operador de Monitoramento do Synapse |
| workspaces/bigDataPools/viewLogs/action | Administrador do Synapse Administrador do Apache Spark do Synapse Colaborador do Synapse Operador de Computação do Synapse |
| workspaces/integrationRuntimes/useCompute/action | Administrador do Synapse Colaborador do Synapse Operador de Computação do Synapse Operador de Monitoramento do Synapse |
| workspaces/integrationRuntimes/viewLogs/action | Administrador do Synapse Colaborador do Synapse Operador de Computação do Synapse Operador de Monitoramento do Synapse |
| workspaces/linkConnections/read | Administrador do Synapse Colaborador do Synapse Operador de Computação do Synapse |
| workspaces/linkConnections/useCompute/action | Administrador do Synapse Colaborador do Synapse Operador de Computação do Synapse |
| workspaces/artifacts/read | Administrador do Synapse Administrador do Apache Spark do Synapse Administrador de SQL do Synapse Colaborador do Synapse Editor de Artefatos do Synapse Usuário de Artefatos do Synapse |
| workspaces/notebooks/write, delete | Administrador do Synapse Administrador do Apache Spark do Synapse Colaborador do Synapse Editor de Artefatos do Synapse |
| workspaces/sparkJobDefinitions/write, delete | Administrador do Synapse Administrador do Apache Spark do Synapse Colaborador do Synapse Editor de Artefatos do Synapse |
| workspaces/sqlScripts/write, delete | Administrador do Synapse Administrador de SQL do Synapse Colaborador do Synapse Editor de Artefatos do Synapse |
| workspaces/kqlScripts/write, delete | Administrador do Synapse Colaborador do Synapse Editor de Artefatos do Synapse |
| workspaces/dataFlows/write, delete | Administrador do Synapse Colaborador do Synapse Editor de Artefatos do Synapse |
| workspaces/pipelines/write, delete | Administrador do Synapse Colaborador do Synapse Editor de Artefatos do Synapse |
| workspaces/linkConnections/write, delete | Administrador do Synapse Contribuidor do Synapse |
| workspaces/gatilhos/gravação, excluir | Administrador do Synapse Colaborador do Synapse Editor de Artefatos do Synapse |
| workspaces/conjuntos de dados/gravação, excluir | Administrador do Synapse Colaborador do Synapse Editor de Artefatos do Synapse |
| workspaces/bibliotecas/gravação, excluir | Administrador do Synapse Administrador do Apache Spark do Synapse Colaborador do Synapse Editor de Artefatos do Synapse |
| workspaces/linkedServices/write, delete | Administrador do Synapse Administrador do Apache Spark do Synapse Administrador de SQL do Synapse Colaborador do Synapse Editor de Artefatos do Synapse Gerenciador de Dados Vinculados do Synapse |
| workspaces/credenciais/gravação, excluir | Administrador do Synapse Administrador do Apache Spark do Synapse Administrador de SQL do Synapse Colaborador do Synapse Editor de Artefatos do Synapse Gerenciador de Dados Vinculados do Synapse |
| workspaces/notebooks/viewOutputs/action | Administrador do Synapse Administrador do Apache Spark do Synapse Colaborador do Synapse Editor de Artefatos do Synapse Usuário de Artefatos do Synapse |
| workspaces/pipelines/viewOutputs/action | Administrador do Synapse Colaborador do Synapse Editor de Artefatos do Synapse Usuário de Artefatos do Synapse |
| workspaces/linkedServices/useSecret/action | Administrador do Synapse Usuário de Credenciais do Synapse |
| workspaces/credentials/useSecret/action | Administrador do Synapse Usuário de Credenciais do Synapse |
Escopos de RBAC do Synapse e suas funções com suporte
A tabela a seguir lista os escopos de RBAC do Synapse e as funções que podem ser atribuídas em cada escopo.
Observação
Para criar ou excluir um objeto, você deve ter permissões em um escopo de nível superior.
| Escopo | Funções |
|---|---|
| Espaço de trabalho | Administrador do Synapse Administrador do Apache Spark do Synapse Administrador de SQL do Synapse Colaborador do Synapse Editor de Artefatos do Synapse Usuário de Artefatos do Synapse Operador de Computação do Synapse Operador de Monitoramento do Synapse Usuário de Credenciais do Synapse Gerenciador de Dados Vinculados do Synapse Usuário do Synapse |
| Pool do Apache Spark | Administrador do Synapse Colaborador do Synapse Operador de Computação do Synapse |
| Runtime de integração | Administrador do Synapse Colaborador do Synapse Operador de Computação do Synapse |
| Serviço vinculado | Administrador do Synapse Usuário de Credenciais do Synapse |
| Credencial | Administrador do Synapse Usuário de Credenciais do Synapse |
Observação
Todas as funções de artefato e ações são delimitadas no nível do workspace.
Próximas etapas
- Saiba como examinar as atribuições de função RBAC do Azure Synapse para um workspace.
- Saiba como atribuir funções RBAC do Azure Synapse