Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
O artigo descreve as funções incorporadas Synapse RBAC (controlo de acesso baseado em função), as permissões que elas concedem e os âmbitos nos quais elas podem ser aplicadas.
Para obter mais informações sobre como revisar e atribuir associações de função Synapse, consulte como revisar atribuições de função Synapse RBAC e como atribuir funções Synapse RBAC.
Funções e escopos do RBAC Synapse integrados
A tabela a seguir descreve as funções internas e os escopos nos quais elas podem ser usadas.
Observação
Os utilizadores com qualquer função Synapse RBAC em qualquer âmbito têm automaticamente a função Synapse User no âmbito do espaço de trabalho.
Importante
As funções Synapse RBAC não concedem permissões para criar ou gerenciar pools SQL, pools Apache Spark e tempos de execução de integração em espaços de trabalho do Azure Synapse. As funções de Proprietário do Azure ou Colaborador do Azure no grupo de recursos são necessárias para essas ações.
| Funções | Permissões | Alcances |
|---|---|---|
| Administrador de Sinapse | Acesso completo ao Synapse a pools SQL dedicados e sem servidor, pools do Data Explorer, pools do Apache Spark e ambientes de execução de integração. Inclui criar, ler, atualizar e excluir acesso a todos os artefatos de código publicados. Inclui as permissões Operador de Computação, Gerenciador de Dados Vinculados e Usuário de Credencial na credencial de identidade do sistema de espaço de trabalho. Inclui a atribuição de funções Synapse RBAC. Além do Synapse Administrator, os Proprietários do Azure também podem atribuir funções Synapse RBAC. As permissões do Azure são necessárias para criar, excluir e gerenciar recursos de computação. As funções Synapse RBAC podem ser atribuídas mesmo quando a assinatura associada está desativada. Pode ler e escrever artefatos Pode fazer todas as ações nas atividades do Spark. Pode visualizar os logs do pool do Spark Pode visualizar a saída dos blocos de anotações e do pipeline Pode usar os segredos armazenados por serviços vinculados ou credenciais Pode atribuir e revogar funções Synapse RBAC no escopo atual |
Espaço de trabalho Piscina de faíscas Runtime de integração Serviço vinculado Credencial |
| Synapse Apache Spark Administrador |
Acesso Synapse completo ao Apache Spark Pools. Crie, leia, atualize e exclua o acesso a definições de trabalho do Spark publicadas, blocos de anotações e suas saídas, bem como a bibliotecas, serviços vinculados e credenciais. Inclui acesso de leitura a todos os outros artefatos de código publicados. Não inclui permissão para usar credenciais e executar pipelines. Não inclui a concessão de acesso.
Pode fazer todas as ações nos artefatos do Spark Pode realizar todas as ações nas atividades do Spark |
Espaço de trabalho Piscina de faíscas |
| Administrador SQL do Synapse | Acesso completo ao Synapse para clusters SQL sem servidor. Crie, leia, atualize e exclua o acesso a scripts SQL, credenciais e serviços vinculados publicados. Inclui acesso de leitura a todos os outros artefatos de código publicados. Não inclui permissão para usar credenciais e executar pipelines. Não inclui a concessão de acesso.
Pode executar todas as ações em scripts SQL Pode conectar-se a endpoints sem servidor SQL com permissões de SQL db_datareader, db_datawriter, connect e grant |
Espaço de trabalho |
| Contribuidor Synapse | O acesso completo do Synapse aos pools do Apache Spark e aos runtimes de integração. Inclui criação, leitura, atualização e exclusão de acesso a todos os artefatos de código publicados e respetivas saídas, incluindo pipelines programados, credenciais e serviços vinculados. Inclui permissões de operador de computação. Não inclui permissão para usar credenciais e executar pipelines. Não inclui a concessão de acesso.
É capaz de ler e escrever artefactos Pode visualizar a saída do bloco de anotações e do pipeline guardada Pode executar todas as ações nas atividades do Spark Pode visualizar os logs do pool do Spark |
Espaço de trabalho Piscina de faíscas Tempo de execução de integração |
| Editora Synapse Artifact | Crie, leia, atualize e exclua o acesso a artefatos de código publicados e suas saídas, incluindo pipelines agendados. Não inclui permissão para executar código ou pipelines, ou para conceder acesso.
Pode ler artefatos publicados e publicar artefatos Pode visualizar o bloco de anotações salvo, o trabalho do Spark e a saída do pipeline |
Espaço de trabalho |
| Utilizador do Artefato de Sinapse | Acesso de leitura a artefatos de código publicados e suas saídas. Pode criar novos artefatos, mas não pode publicar alterações ou executar código sem mais permissões. | Espaço de trabalho |
| Operador de Computação do Synapse | Envie trabalhos e blocos de anotações do Spark e visualize logs. Inclui o cancelamento de trabalhos do Spark enviados por qualquer usuário. Requer permissões adicionais de credenciais de uso na identidade do sistema do espaço de trabalho para executar pipelines, visualizar execuções de pipeline e os seus resultados.
Pode enviar e cancelar trabalhos, incluindo trabalhos enviados por outras pessoas Pode visualizar os logs do pool do Spark |
Espaço de trabalho Pool do Spark Tempo de execução da integração |
| Operador de Monitorização de Sinapses | Leia artefatos de código publicados, incluindo logs e saídas para execuções de pipeline e blocos de anotações concluídos. Inclui a capacidade de listar e visualizar detalhes de pools do Apache Spark, pools do Data Explorer e tempos de execução de integração. Requer outras permissões para executar/cancelar pipelines, blocos de anotações do Spark e trabalhos do Spark. | Espaço de trabalho |
| Usuário de credenciais Synapse | Tempo de execução e tempo de configuração de segredos dentro de credenciais e serviços vinculados em atividades como a execução de pipelines. Para executar pipelines, essa função é necessária, com escopo para a identidade do sistema de espaço de trabalho.
Limitado a uma credencial, permite o acesso a dados por meio de um serviço associado protegido pela credencial (também pode exigir permissão de uso computacional) Permite a execução de pipelines protegidos pela credencial de identidade do sistema do espaço de trabalho |
Espaço de Trabalho Credencial de Serviço Vinculado |
| Synapse Gestor de Dados Ligados | Criação e gerenciamento de endpoints privados gerenciados, serviços vinculados e credenciais. Pode criar pontos de extremidade privados gerenciados que usam serviços vinculados protegidos por credenciais | Espaço de trabalho |
| Usuário Synapse | Liste e exiba detalhes de pools SQL, pools do Apache Spark, tempos de execução de integração e serviços vinculados e credenciais publicados. Não inclui outros artefatos de código publicados. Pode criar novos artefatos, mas não pode executar ou publicar sem mais permissões.
Pode listar e ler pools do Spark, tempos de execução de integração. |
Espaço de trabalho, Spark pool Serviço vinculado Credencial |
Sinapse RBAC papéis e as ações que eles permitem
Observação
- Todas as ações listadas nas tabelas abaixo são prefixadas, "Microsoft.Synapse/..."
- Todas as ações de leitura, gravação e exclusão de artefatos são referentes a artefatos publicados no serviço ao vivo. Essas permissões não afetam o acesso a artefatos em um repositório Git conectado.
A tabela a seguir lista as funções internas e as ações/permissões suportadas por cada uma.
| Funções | Ações |
|---|---|
| Administrador de Sinapse | espaços de trabalho/ler espaços de trabalho/funçãoAtribuições/escrever, excluir espaços de trabalho/managedPrivateEndpoint/escrever, excluir espaços de trabalho/bigDataPool/useCompute/action espaços de trabalho/bigDataPool/viewLogs/action espaços de trabalho/scopePool/useCompute/action espaços de trabalho/scopePool/viewLogs/action espaços de trabalho/integrationRuntime/useCompute/action espaços de trabalho/integrationRuntime/viewLogs/action espaços de trabalho/artifacts/read espaços de trabalho/notebooks/write espaços de trabalho/sparkJobDefinitions/write, delete espaços de trabalho/scopeJobDefinitions/write, delete espaços de trabalho/sqlScripts/write, delete espaços de trabalho/dataFlows/write, delete espaços de trabalho/dataMappers/write, delete espaços de trabalho/pipelines/write, delete espaços de trabalho/triggers/write, delete espaços de trabalho/datasets/write, delete espaços de trabalho/linkedServices/write, delete espaços de trabalho/credentials/write, delete espaços de trabalho/notebooks/excluir espaços de trabalho/cancelPipelineRun/action espaços de trabalho/notebooksViewOutputs/action espaços de trabalho/pipelinesViewOutputs/action espaços de trabalho/linkedServicesUseSecret/action espaços de trabalho/credentialsUseSecret/action espaços de trabalho/libraries/write, delete espaços de trabalho/kQLScripts/write, delete espaços de trabalho/sparkConfigurations/write, delete espaços de trabalho/synapseLinkConnections/read, write, delete espaços de trabalho/synapseLinkConnections/useCompute/ação |
| Synapse Apache Spark Administrador | espaços de trabalho/ler espaços de trabalho/utilizaçãoDoPoolBigData/action espaços de trabalho/visualizarLogsPoolBigData/action espaços de trabalho/artefatos/ler espaços de trabalho/blocos de notas/escrever, eliminar espaços de trabalho/definiçõesDeTarefasSpark/escrever, eliminar espaços de trabalho/serviçosVinculados/escrever, eliminar espaços de trabalho/credenciais/escrever, eliminar espaços de trabalho/bibliotecas/escrever, eliminar espaços de trabalho/visualizarResultadosBlocosDeNotas/action |
| Administrador SQL do Synapse | espaços de trabalho/ler espaços de trabalho/artefatos/ler espaços de trabalho/sqlScripts/escrever, eliminar espaços de trabalho/serviços associadas/escrever, eliminar espaços de trabalho/credenciais/escrever, eliminar |
| Administrador de Escopo para Synapse | espaços de trabalho/ler espaços de trabalho/escopoPoolUsarComputar/ação espaços de trabalho/escopoPoolVerRegistos/ação espaços de trabalho/serviçosVinculados/escrever, apagar espaços de trabalho/credenciais/escrever, apagar espaços de trabalho/definiçõesDeTarefaDoEscopo/escrever, apagar |
| Gestor de Endpoints Privados do Synapse | espaços de trabalho/ler espaços de trabalho/managedPrivateEndpoint/escrever, eliminar espaços de trabalho/linkedServices/escrever, eliminar espaços de trabalho/credenciais/escrever, eliminar |
| Contribuidor Synapse | espaços de trabalho/ler espaços de trabalho/bigDataPool/useCompute/action espaços de trabalho/bigDataPool/viewLogs/action espaços de trabalho/scopePool/useCompute/action espaços de trabalho/scopePool/viewLogs/action espaços de trabalho/integrationRuntime/useCompute/action espaços de trabalho/integrationRuntime/viewLogs/action espaços de trabalho/artifacts/ler espaços de trabalho/notebooks/write, eliminar espaços de trabalho/sparkJobDefinitions/write, eliminar espaços de trabalho/sqlScripts/write, eliminar espaços de trabalho/dataFlows/write, eliminar espaços de trabalho/dataMappers/write, eliminar espaços de trabalho/pipelines/write, eliminar espaços de trabalho/triggers/write, eliminar espaços de trabalho/datasets/write, eliminar espaços de trabalho/linkedServices/write, eliminar espaços de trabalho/credentials/write, eliminar espaços de trabalho/cancelPipelineRun/action espaços de trabalho/notebooksViewOutputs/action espaços de trabalho/pipelinesViewOutputs/action espaços de trabalho/libraries/write, eliminar espaços de trabalho/kQLScripts/write, eliminar espaços de trabalho/sparkConfigurations/write, eliminar espaços de trabalho/synapseLinkConnections/read,write, eliminar espaços de trabalho/synapseLinkConnections/usarAçãoDeComputação |
| Editora Synapse Artifact | workspaces/ler espaços de trabalho/artefatos/ler espaços de trabalho/notebooks/escrever, excluir espaços de trabalho/sparkJobDefinitions/write, excluir workspaces/scopeJobDefinitions/write, excluir workspaces/sqlScripts/write, excluir workspaces/dataFlows/write, excluir workspaces/dataMappers/write, excluir workspaces/pipelines/write, excluir workspaces/triggers/write, excluir workspaces/datasets/write, excluir workspaces/linkedServices/write, excluir espaços de trabalho/credenciais/gravação, excluir espaços de trabalho/notebooksViewOutputs/action workspaces/pipelinesViewOutputs/action workspaces/libraries/write, excluir workspaces/kQLScripts/write, excluir workspaces/sparkConfigurations/write, excluir |
| Utilizador do Artefato de Sinapse | espaços de trabalho/ler artefactos espaços de trabalho/artefatos/ler espaços de trabalho/blocos de notas/verSaídas/ação espaços de trabalho/pipelines/verSaídas/ação |
| Operador de Computação do Synapse | espaços de trabalho/ler espaços de trabalho/poolsDeDadosGigantes/usaremComputação/ação espaços de trabalho/poolsDeDadosGigantes/verRegistos/ação espaços de trabalho/poolDeEscopo/usaremComputação/ação espaços de trabalho/poolDeEscopo/verRegistos/ação espaços de trabalho/runtimesDeIntegração/usaremComputação/ação espaços de trabalho/runtimesDeIntegração/verRegistos/ação espaços de trabalho/cancelarExecuçãoDePipeline/ação espaços de trabalho/ligarConexões/ler espaços de trabalho/ligarConexões/usaremComputação/ação |
| Operador de Monitorização de Sinapses | espaços de trabalho/ler artefactos/ler blocos de notas/verSaídas/ação pipelines/verSaídas/ação integraçãoRuntimes/verRegistos/ação bigDataPools/verRegistos/ação |
| Usuário de credenciais Synapse | espaços de trabalho/ler espaços de trabalho/serviçosLigados/utilizarSegredo/ação espaços de trabalho/credenciais/utilizarSegredo/ação |
| Synapse Gestor de Dados Ligados | espaços de trabalho/ler espaços de trabalho/managedPrivateEndpoint/escrever, eliminar espaços de trabalho/linkedServices/escrever, eliminar espaços de trabalho/credenciais/escrever, eliminar |
| Usuário Synapse | espaços de trabalho/leitura |
Synapse ações RBAC e os papéis que os permitem
A tabela a seguir lista as ações Synapse e as funções internas que permitem essas ações:
| Ação | Funções |
|---|---|
| espaços de trabalho/leitura | Synapse Administrador Synapse Administrador do Apache Spark Synapse Administrador SQL Contribuidor Synapse Publicador de Artefatos Synapse Utilizador de Artefatos Synapse Operador de Computação Synapse Operador de Monitorização Synapse Utilizador de Credenciais Synapse Gestor de Dados Associados Synapse Utilizador Synapse |
| espaços de trabalho/funçãoAtribuições/gravação, exclusão | Administrador de Sinapse |
| workspaces/managedPrivateEndpoint/write, eliminar | Synapse Administrador Gestor de Dados Ligados Synapse |
| espaços de trabalho/bigDataPools/useCompute/action | Synapse Administrator Synapse Apache Spark Administrator Synapse Contributor Synapse Compute Operator Synapse Monitoring Operator |
| áreas de trabalho/pools de dados grandes/ver logs/ação | Synapse Administrator Synapse Apache Spark Administrator Synapse Contributor Synapse Synapse Compute Operator |
| espaços de trabalho/runtimes de integração/usarCompute/action | Administrador de Synapse Contribuidor de Synapse Operador de Computação de Synapse Operador de Monitoramento de Synapse |
| espaços de trabalho/runtimes de integração/ver logs/ação | Administrador de Synapse Contribuidor de Synapse Operador de Computação de Synapse Operador de Monitoramento de Synapse |
| Espaços de trabalho/conexõesdeLink/leitura | Administrador do Synapse Contribuidor do Synapse Operador de Computação do Synapse |
| espaços de trabalho/linkConnections/useCompute/action | Administrador do Synapse Contribuidor do Synapse Operador de Computação do Synapse |
| espaços de trabalho/artefactos/leitura | Synapse Administrator Synapse Apache Spark Administrator Synapse SQL Administrator Synapse Contributor Synapse Artifact Publisher Synapse Artifact User |
| espaços de trabalho/blocos de notas/escrever, eliminar | Synapse Administrator Synapse Apache Spark Administrator Synapse Contributor Synapse Artifact Publisher |
| workspaces/sparkJobDefinitions/write, eliminar | Synapse Administrator Synapse Apache Spark Administrator Synapse Contributor Synapse Artifact Publisher |
| workspaces/sqlScripts/escrever, excluir | Synapse Administrator Synapse SQL Administrator Synapse Contributor Synapse Artifact Publisher |
| workspaces/kqlScripts/write, excluir | Synapse Administrador Synapse Colaborador Synapse Artifact Publisher |
| espaços de trabalho/fluxos de dados/escrita, eliminação | Synapse Administrador Synapse Colaborador Synapse Artifact Publisher |
| espaços de trabalho/pipelines/escrever, eliminar | Synapse Administrador Synapse Colaborador Synapse Artifact Publisher |
| espaços de trabalho/linkConnections/escrever, eliminar | Synapse Administrador Synapse Colaborador |
| espaços de trabalho/gatilhos/escrever, apagar | Synapse Administrador Synapse Colaborador Synapse Artifact Publisher |
| espaços de trabalho/conjuntos de dados/escrever, apagar | Synapse Administrador Synapse Colaborador Synapse Artifact Publisher |
| espaços de trabalho/bibliotecas/escrever, eliminar | Synapse Administrator Synapse Apache Spark Administrator Synapse Contributor Synapse Artifact Publisher |
| espaços de trabalho/serviços vinculados/escrever, excluir | Synapse Administrador Administrador de Synapse Apache Spark Administrador de Synapse SQL Contribuidor de Synapse Publicador de Artefatos de Synapse Gestor de Dados Ligados de Synapse |
| espaços de trabalho/credenciais/escrever, apagar | Synapse Administrador Administrador de Synapse Apache Spark Administrador de Synapse SQL Contribuidor de Synapse Publicador de Artefatos de Synapse Gestor de Dados Ligados de Synapse |
| espaços de trabalho/blocos de notas/vistaSaídas/ação | Synapse Administrator Synapse Apache Spark Administrator Synapse Contributor Synapse Artifact Publisher Synapse Artifact User |
| espaços de trabalho/pipelines/verSaídas/ação | Synapse Administrator Synapse Contributor Synapse Artifact Publisher Synapse Artifact User |
| espaços de trabalho/serviços ligados/usarSegredo/ação | Administrador Synapse Utilizador de Credenciais Synapse |
| espaços de trabalho/credenciais/utilizarSegredo/ação | Administrador Synapse Utilizador de Credenciais Synapse |
Sinapse RBAC escopos e suas funções suportadas
A tabela abaixo lista os escopos Synapse RBAC e as funções que podem ser atribuídas em cada escopo.
Observação
Para criar ou excluir um objeto, você deve ter permissões em um escopo de nível superior.
| Âmbito de aplicação | Funções |
|---|---|
| Espaço de trabalho | Synapse Administrador Synapse Administrador do Apache Spark Synapse Administrador SQL Contribuidor Synapse Publicador de Artefatos Synapse Utilizador de Artefatos Synapse Operador de Computação Synapse Operador de Monitorização Synapse Utilizador de Credenciais Synapse Gestor de Dados Associados Synapse Utilizador Synapse |
| Piscina Apache Spark | Administrador Synapse Colaborador Synapse Operador de Computação Synapse |
| Tempo de execução de integração | Administrador Synapse Colaborador Synapse Operador de Computação Synapse |
| Serviço associado | Administrador de Sinapse Utilizador de Credenciais de Sinapse |
| Credencial | Administrador de Sinapse Utilizador de Credenciais de Sinapse |
Observação
Todas os papéis e ações de artefato estão definidos no nível do espaço de trabalho.
Próximos passos
- Saiba como revisar as atribuições de funções no RBAC do Synapse para uma área de trabalho.
- Saiba como atribuir funções Synapse RBAC