Ruoli Controllo degli accessi in base al ruolo di Synapse
L'articolo descrive i ruoli Controllo degli accessi in base al ruolo di Synapse predefiniti, le autorizzazioni che essi concedono e gli ambiti in cui possono essere usati.
Per altre informazioni sulla revisione e l'assegnazione delle appartenenze dei ruoli di Synapse, vedere come rivedere le assegnazioni di ruoli Controllo degli accessi in base al ruolo di Synapse e come assegnare i ruoli Controllo degli accessi in base al ruolo di Synapse.
Ruoli e ambiti del controllo degli accessi in base al ruolo di Synapse predefiniti
Nella tabella seguente sono descritti i ruoli predefiniti e gli ambiti in cui possono essere usati.
Nota
Gli utenti con qualsiasi ruolo Controllo degli accessi in base al ruolo di Synapse i,n qualsiasi ambito, hanno automaticamente il ruolo di Utente di Synapse nell'ambito dell'area di lavoro.
Importante
I ruoli Controllo degli accessi in base al ruolo di Synapse non concedono autorizzazioni per creare o gestire i pool SQL, i pool di Apache Spark e i runtime di integrazione nelle aree di lavoro di Azure Synapse. Per eseguire tali operazioni, sono necessari i ruoli Proprietario o Collaboratore di Azure nel gruppo di risorse.
| Ruolo | Autorizzazioni | Ambiti |
|---|---|---|
| Amministratore di Synapse | Accesso completo di Synapse ai pool SQL serverless e dedicati, ai pool di Esplora dati, ai pool di Apache Spark e ai runtime di integrazione. Include l'accesso per creare, leggere, aggiornare ed eliminare tutti gli artefatti di codice pubblicati. Include le autorizzazioni Operatore di calcolo, Data Manager collegato e Utente credenziali per le credenziali dell'identità del sistema dell'area di lavoro. Include l'assegnazione dei ruoli Controllo degli accessi in base al ruolo di Synapse. Oltre all'Amministratore di Synapse, anche i Proprietari di Azure possono assegnare ruoli Controllo degli accessi in base al ruolo di Synapse. Le autorizzazioni di Azure sono necessarie per creare, eliminare o gestire le risorse di calcolo. I ruoli controllo degli accessi in base al ruolo di Synapse possono essere assegnati anche quando la sottoscrizione associata è disabilitata. Può leggere e scrivere elementi Può eseguire tutte le azioni sulle attività Spark. Può visualizzare i log dei pool di Spark Può visualizzare l'output di notebook e pipeline salvato Può usare i segreti archiviati da servizi collegati o credenziali Può assegnare e revocare i ruoli Controllo degli accessi in base al ruolo di Synapse nell'ambito corrente |
Pool di Spark dell'area di lavoro Credenziali Servizio collegato del runtime di integrazione |
| Amministratore di Apache Spark per Synapse |
Accesso completo Synapse ai pool di Apache Spark. Creare, leggere, aggiornare ed eliminare l'accesso alle definizioni di processi Spark pubblicate, ai notebook e relativi output e alle librerie, ai servizi collegati e alle credenziali. Include l'accesso in lettura a tutti gli altri artefatti di codice pubblicati. Non include l'autorizzazione per utilizzare le credenziali ed eseguire le pipeline. Non include la capacita di concedere l'accesso. Può eseguire tutte le azioni sugli artefatti di Spark Può eseguire tutte le azioni sulle attività di Spark |
Pool di Spark dell'area di lavoro |
| Synapse SQL Administrator | Accesso completo Synapse ai pool SQL serverless. Creare, leggere, aggiornare ed eliminare l'accesso a script SQL pubblicati, credenziali e servizi collegati. Include l'accesso in lettura a tutti gli altri artefatti di codice pubblicati. Non include l'autorizzazione per utilizzare le credenziali ed eseguire le pipeline. Non include la capacita di concedere l'accesso. Può eseguire tutte le azioni sugli script SQL Può connettersi agli endpoint SQL serverless con le autorizzazioni SQL db_datareader, db_datawriter, connect e grant |
Area di lavoro |
| Collaboratore di Synapse | Accesso completo Synapse ai pool di Apache Spark e ai runtime di integrazione. Include l'accesso per creare, leggere, aggiornare ed eliminare tutti gli artefatti di codice pubblicati e relativi output, inclusi pipeline pianificate, credenziali e servizi collegati. Include le autorizzazioni dell'Operatore di calcolo. Non include l'autorizzazione per utilizzare le credenziali ed eseguire le pipeline. Non include la capacita di concedere l'accesso. Può leggere e scrivere artefatti Può visualizzare l'output di notebook e pipeline salvato Può eseguire tutte le azioni nelle attività di Spark Può visualizzare i log dei pool di Spark |
Pool di Spark dell'area di lavoro Runtime di integrazione |
| Autore artefatti di Synapse | Creare, leggere, aggiornare ed eliminare l'accesso agli artefatti di codice pubblicati e relativi output, incluse le pipeline pianificate. Non include l'autorizzazione per eseguire codice o pipeline, o per concedere l'accesso. Può leggere gli artefatti pubblicati e pubblicare artefatti Può visualizzare l'output di notebook, processo Spark e pipeline salvato |
Area di lavoro |
| Utente artefatti di Synapse | Accesso in lettura agli artefatti di codice pubblicati e relativi output. Può creare nuovi artefatti, tuttavia non può pubblicare modifiche o eseguire codice senza altre autorizzazioni. | Area di lavoro |
| Operatore di calcolo di Synapse | Inviare processi e notebook di Spark e visualizzare i log. Include l'annullamento dei processi di Spark inviati da qualsiasi utente. Richiede altre autorizzazioni per l'uso delle credenziali per l'identità del sistema dell'area di lavoro per eseguire pipeline, visualizzare le esecuzioni e gli output delle pipeline. Può inviare e annullare processi, inclusi i processi inviati da altri utenti Può visualizzare i log del pool di Spark |
Area di lavoro Pool di Spark Runtime di integrazione |
| Operatore monitoraggio Synapse | Leggere gli artefatti di codice pubblicati, inclusi i log e gli output delle esecuzioni della pipeline e dei notebook completati. Include la capacità di elencare e visualizzare i dettagli dei pool di Apache Spark, dei pool di Esplora dati e dei runtime di integrazione. Richiede altre autorizzazioni per eseguire/annullare pipeline, notebook di Spark e processi di Spark. | Area di lavoro |
| Utente credenziali di Synapse | Può usare il runtime e il tempo di configurazione dei segreti nelle credenziali e nei servizi collegati in attività quali le esecuzioni della pipeline. Per eseguire le pipeline, questo ruolo è obbligatorio, con ambito dell'identità del sistema dell'area di lavoro. Con ambito legato a credenziali, consente l'accesso ai dati tramite un servizio collegato, protetto da credenziali (potrebbe anche richiedere l'autorizzazione di utilizzo del calcolo) Consente l'esecuzione di pipeline protette da credenziali dell'identità del sistema dell'area di lavoro |
Credenziali del servizio collegato dell'area di lavoro |
| Data Manager collegato a Synapse | Creazione e gestione di endpoint privati gestiti, servizi collegati e credenziali. Può creare endpoint privati gestiti che usano servizi collegati protetti da credenziali | Area di lavoro |
| Utente di Synapse | Elencare e visualizzare i dettagli dei pool SQL, dei pool di Apache Spark, dei runtime di integrazione e delle credenziali e dei servizi collegati pubblicati. Non include altri artefatti di codice pubblicati. Può creare nuovi artefatti, ma non può eseguire o pubblicare senza altre autorizzazioni. Può elencare e leggere pool di Spark, runtime di integrazione. |
Area di lavoro, credenziali servizio collegato del pool di Spark |
Ruoli Controllo degli accessi in base al ruolo di Synapse e azioni da essi consentite
Nota
- Tutte le azioni elencate nelle tabelle seguenti hanno il prefisso "Microsoft.Synapse/..."
- Tutte le azioni di lettura, scrittura ed eliminazione degli artefatti riguardano gli artefatti pubblicati nel servizio Live. Queste autorizzazioni non influiscono sull'accesso agli artefatti presenti in un repository Git connesso.
Nella tabella seguente sono elencati i ruoli predefiniti e le azioni/autorizzazioni supportate da ciascuno di essi.
| Ruolo | Azioni |
|---|---|
| Amministratore di Synapse | workspaces/read workspaces/roleAssignments/write, eliminare aree di lavoro/managedPrivateEndpoint/write, eliminare aree di lavoro/bigDataPool/useCompute/action workspaces/bigDataPool/viewLogs/action workspaces/scopePool/useCompute/action workspaces/scopePool/viewLogs/action workspaces/integrationRuntime/useCompute/action workspaces/integrationRuntime/viewLogs/action workspaces/artifacts/read workspaces/notebooks/write workspaces/sparkJobDefinitions/write, delete workspaces/scopeJobDefinitions/write, delete workspaces/sqlScripts/write, delete workspaces/dataFlows/write, delete workspaces/dataMappers/write, delete workspaces/pipelines/write, delete workspaces/write, delete workspaces/write, delete workspaces/datasets/write, delete workspaces/linkedServices/write, delete workspaces/credentials/write, delete workspaces/notebooks/ eliminare aree di lavoro/cancelPipelineRun/action workspaces/notebooksViewOutputs/action workspaces/pipelinesViewOutputs/action workspaces/linkedServicesUseSecret/action workspaces/credentialsUseSecret/action workspaces/libraries/write, eliminare aree di lavoro/kQLScripts/write, eliminare aree di lavoro/sparkConfigurations/write, eliminare aree di lavoro/synapseLinkConnections/read, write, delete workspaces/synapseLinkConnections/ useCompute/action |
| Amministratore di Apache Spark per Synapse | workspaces/read orkspaces/bigDataPoolUseCompute/action orkspaces/bigDataPoolViewLogs/action orkspaces/artifacts/read orkspaces/notebooks/write, delete orkspaces/sparkJobDefinitions/write, delete orkspaces/linkedServices/write, delete orkspaces/credentials/write, delete orkspaces/libraries/write, delete orkspaces/notebooksViewOutputs/action |
| Synapse SQL Administrator | workspaces/read workspaces/artifacts/read workspaces/sqlScripts/write, delete workspaces/linkedServices/write, delete workspaces/credentials/write, delete |
| Amministratore dell'ambito di Synapse | workspaces/read workspaces/scopePoolUseCompute/action workspaces/scopePoolViewLogs/action workspaces/linkedServices/write, delete workspaces/credentials/write, delete workspaces/scopeJobDefinitions/write, delete |
| Synapse Private Endpoint Manager | workspaces/read workspaces/managedPrivateEndpoint/write, delete workspaces/linkedServices/write, delete workspaces/credentials/write, delete |
| Collaboratore di Synapse | workspaces/read workspaces/bigDataPool/useCompute/action workspaces/bigDataPool/viewLogs/action workspaces/scopePool/useCompute/action workspaces/scopePool/viewLogs/action workspaces/integrationRuntime/useCompute/action workspaces/integrationRuntime/viewLogs/action workspaces/artifacts/read workspaces/notebooks/write, eliminare aree di lavoro/sparkJobDefinitions/write, eliminare aree di lavoro/sqlScripts/write, eliminare workspaces/dataFlows/write, delete workspaces/dataMappers/write, delete workspaces/pipelines/write, delete workspaces/triggers/write, delete workspaces/datasets/write, delete workspaces/linkedServices/write, delete workspaces/credentials/write, delete workspaces/cancelPipelineRun/action workspaces/notebooksViewOutputs/action workspaces/pipelinesViewOutputs/action workspaces/libraries/write, delete workspaces/kQLScripts/write, delete workspaces/sparkConfigurations/write, delete workspaces/synapseLinkConnections/read,write, delete workspaces/synapseLinkConnections/useComputeAction |
| Autore artefatti di Synapse | workspaces/read workspaces/artifacts/read workspaces/notebooks/write, delete workspaces/sparkJobDefinitions/write, delete workspaces/scopeJobDefinitions/write, delete workspaces/sqlScripts/write, delete workspaces/dataFlows/write, delete workspaces/dataMappers/write, delete workspaces/pipelines/write, delete workspaces/triggers/write, delete workspaces/datasets/write, delete workspaces/linkedServices/write, write, eliminare aree di lavoro/credenziali/scrittura, eliminare aree di lavoro/notebooksViewOutputs/action workspaces/pipelinesViewOutputs/action workspaces/libraries/write, eliminare aree di lavoro/kQLScripts/write, eliminare aree di lavoro/sparkConfigurations/write, eliminare, eliminare |
| Utente artefatti di Synapse | workspaces/read workspaces/artifacts/read workspaces/notebooks/viewOutputs/action workspaces/pipelines/viewOutputs/action |
| Operatore di calcolo di Synapse | workspaces/read workspaces/bigDataPools/useCompute/action workspaces/bigDataPools/viewLogs/action workspaces/scopePool/useCompute/action workspaces/scopePool/viewLogs/action workspaces/integrationRuntimes/useCompute/action workspaces/integrationRuntimes/viewLogs/action workspaces/cancelPipelineRun/action workspaces/linkConnections/read workspaces/linkConnections/useCompute/action |
| Operatore monitoraggio Synapse | workspaces/read workspaces/artifacts/read workspaces/notebooks/viewOutputs/action workspaces/pipelines/viewOutputs/action workspaces/integrationRuntimes/viewLogs/action workspaces/bigDataPools/viewLogs/action |
| Utente credenziali di Synapse | workspaces/read workspaces/linkedServices/useSecret/action workspaces/credentials/useSecret/action |
| Data Manager collegato a Synapse | workspaces/read workspaces/managedPrivateEndpoint/write, delete workspaces/linkedServices/write, delete workspaces/credentials/write, delete |
| Utente di Synapse | workspaces/read |
Azioni Controllo degli accessi in base al ruolo di Synapse e ruoli che le autorizzano
Nella tabella seguente sono elencati le azioni di Synapse e i ruoli predefiniti che autorizzano queste azioni:
| Azione | Ruolo |
|---|---|
| workspaces/read | Amministratore di Synapse Amministratore Apache Spark di Synapse Amministratore Synapse SQL Collaboratore di Synapse Autore arefatti di Synapse Utente artefatti di Synapse Operatore di calcolo di Synapse Operatore monitoraggio di Synapse Utente credenziali di Synapse Data Manager collegato a Synapse Utente di Synapse |
| workspaces/roleAssignments/write, delete | Amministratore di Synapse |
| workspaces/managedPrivateEndpoint/write, delete | Amministratore di Synapse Data Manager collegato a Synapse |
| workspaces/bigDataPools/useCompute/action | Amministratore di Synapse Amministratore Apache Spark di Synapse Collaboratore di Synapse Operatore di calcolo di Synapse Operatore monitoraggio di Synapse |
| workspaces/bigDataPools/viewLogs/action | Amministratore di Synapse Amministratore Apache Spark di Synapse Collaboratore di Synapse Operatore di calcolo di Synapse |
| workspaces/integrationRuntimes/useCompute/action | Amministratore di Synapse Collaboratore di Synapse Operatore di calcolo di Synapse Operatore monitoraggio di Synapse |
| workspaces/integrationRuntimes/viewLogs/action | Amministratore di Synapse Collaboratore di Synapse Operatore di calcolo di Synapse Operatore monitoraggio di Synapse |
| workspaces/linkConnections/read | Amministratore di Synapse Collaboratore di Synapse Operatore di calcolo di Synapse |
| workspaces/linkConnections/useCompute/action | Amministratore di Synapse Collaboratore di Synapse Operatore di calcolo di Synapse |
| workspaces/artifacts/read | Amministratore di Synapse Amministratore di Apache Spark Amministratore di Synapse SQL Collaboratore di Synapse Autore artefatti di Synapse Utente artefatti di Synapse |
| workspaces/notebooks/write, delete | Amministratore di Synapse Amministratore Apache Spark di Synapse Collaboratore di Synapse Autore artefatti di Synapse |
| workspaces/sparkJobDefinitions/write, delete | Amministratore di Synapse Amministratore Apache Spark di Synapse Collaboratore di Synapse Autore artefatti di Synapse |
| workspaces/sqlScripts/write, delete | Amministratore di Synapse Amministratore di Synapse SQL Collaboratore di Synapse Autore artefatti di Synapse |
| workspaces/kqlScripts/write, delete | Amministratore di Synapse Collaboratore di Synapse Autore artefatti di Synapse |
| workspaces/dataFlows/write, delete | Amministratore di Synapse Collaboratore di Synapse Autore artefatti di Synapse |
| workspaces/pipelines/write, delete | Amministratore di Synapse Collaboratore di Synapse Autore artefatti di Synapse |
| workspaces/linkConnections/write, delete | Amministratore di Synapse Collaboratore di Synapse |
| workspaces/triggers/write, delete | Amministratore di Synapse Collaboratore di Synapse Autore artefatti di Synapse |
| workspaces/datasets/write, delete | Amministratore di Synapse Collaboratore di Synapse Autore artefatti di Synapse |
| workspaces/libraries/write, delete | Amministratore di Synapse Amministratore Apache Spark di Synapse Collaboratore di Synapse Autore artefatti di Synapse |
| workspaces/linkedServices/write, delete | Amministratore di Synapse Amministratore Apache Spark di Synapse Amministratore di Synapse SQL Collaboratore di Synapse Autore artefatti di Synapse Data Manager collegato a Synapse |
| workspaces/credentials/write, delete | Amministratore di Synapse Amministratore Apache Spark di Synapse Amministratore di Synapse SQL Collaboratore di Synapse Autore artefatti di Synapse Data Manager collegato a Synapse |
| workspaces/notebooks/viewOutputs/action | Amministratore di Synapse Amministratore Apache Spark di Synapse Collaboratore di Synapse Autore artefatti di Synapse Utente artefatti di Synapse |
| workspaces/pipelines/viewOutputs/action | Amministratore di Synapse Collaboratore di Synapse Autore artefatti di Synapse Utente artefatti di Synapse |
| workspaces/linkedServices/useSecret/action | Amministratore di Synapse Utente credenziali di Synapse |
| workspaces/credentials/useSecret/action | Amministratore di Synapse Utente credenziali di Synapse |
Ambiti Controllo degli accessi in base al ruolo di Synapse e relativi ruoli supportati
Nella tabella seguente sono elencati gli ambiti di Controllo degli accessi in base al ruolo di Synapse e i ruoli che possono essere assegnati a ciascun ambito.
Nota
Per creare o eliminare un oggetto è necessario disporre delle autorizzazioni per un ambito di livello superiore.
| Ambito | ruoli |
|---|---|
| Area di lavoro | Amministratore di Synapse Amministratore Apache Spark di Synapse Amministratore Synapse SQL Collaboratore di Synapse Autore arefatti di Synapse Utente artefatti di Synapse Operatore di calcolo di Synapse Operatore monitoraggio di Synapse Utente credenziali di Synapse Data Manager collegato a Synapse Utente di Synapse |
| Pool di Apache Spark | Amministratore di Synapse Collaboratore di Synapse Operatore di calcolo di Synapse |
| Runtime di integrazione | Amministratore di Synapse Collaboratore di Synapse Operatore di calcolo di Synapse |
| Servizio collegato | Amministratore di Synapse Credenziali di Synapse |
| Credenziale | Amministratore di Synapse Credenziali di Synapse |
Nota
Tutti i ruoli e le azioni per gli artefatti sono definiti per un ambito a livello di area di lavoro.
Passaggi successivi
- Informazioni su come rivedere le assegnazioni di ruolo Controllo degli accessi in base al ruolo per un'area di lavoro.
- Informazioni su come assegnare ruoli Controllo degli accessi in base al ruolo di Synapse