Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
本文介绍您需要在 Synapse Studio 中开展工作时使用的 Synapse RBAC(基于角色的访问控制)角色或 Azure RBAC 角色。 若要管理角色成员身份,请参阅如何管理 Synapse RBAC 角色分配。
访问控制和工作流摘要的 Synapse Studio
Access Synapse Studio
可以打开Synapse Studio并查看工作区的详细信息,并列出其任何Azure资源,例如 SQL 池、Spark 池或集成运行时。 可以查看您是否被分配了任何 Synapse RBAC 角色,或在工作区中拥有 Azure 拥有者、参与者或读取者角色。
资源管理
如果你是资源组上的Azure所有者或参与者,则可以创建 SQL 池、Apache Spark 池。 如果你是工作区的Azure所有者或参与者,则可以创建Integration Runtime。 使用 ARM 模板进行自动部署时,需要成为资源组上的Azure参与者。
如果你是工作区或该资源的 Azure 所有者或贡献者,可以暂停或缩放专用 SQL 池,配置 Spark 池或集成运行时。
查看和编辑代码工件
访问 Synapse Studio,您可以创建新的代码工件,例如 SQL 脚本、KQL 脚本、笔记本、Spark 作业、链接服务、管道、数据流、触发器和凭据。 可以使用附加权限发布或保存这些工件。
如果你是 Synapse Artifact User、Synapse Artifact Publisher、Synapse Contributor 或 Synapse Administrator,则可以列出、打开和编辑已发布的代码工件,包括计划的管道。
执行你的代码
如果你具有 SQL 池中定义的必需的 SQL 权限,则可以在 SQL 池上执行 SQL 脚本。
如果你具有对工作区或特定 Apache Spark 池的 Synapse 计算操作员权限,则可以运行笔记本和 Spark 作业。
在拥有工作区或特定集成运行时的计算权限以及相应的凭据权限的情况下,可以执行管道。
监视和管理执行情况
如果你是 Synapse 用户,则可以查看 Apache Spark 池中正在运行的笔记本和作业的状态。
如果您是工作区或特定 Spark 池或管道上的 Synapse 计算操作员,则可以查看日志并取消正在运行的作业和管道。
调试流水线
可以作为 Synapse 用户查看和更改数据流水线。 如果想要调试管道,还需要有 Synapse 凭据用户权限。
发布和保存代码
如果你是 Synapse Artifact Publisher、Synapse 参与者或 Synapse 管理员,可以将新的或更新的代码制品发布到该服务。
如果在不发布或提交对代码工件的更改的情况下关闭 Synapse Studio,则这些更改将丢失。
任务和所需角色
下表列出了每个任务所需的常见任务和 Synapse RBAC 或 Azure RBAC 角色。
注意
不会针对每项任务列出 Synapse 管理员,除非它是提供必要权限的唯一角色。 Synapse 管理员可以执行其他 Synapse RBAC 角色启用的所有任务。
注意
来自其他租户的来宾用户在被分配为 Synapse 管理员后,也可以查看、添加或更改角色分配。
显示了所需的最小 Synapse RBAC 角色。 任何范围内的所有 Synapse RBAC 角色都提供对工作区的 Synapse 用户权限。
表中显示的所有 Synapse RBAC 权限/操作都带有前缀 Microsoft/Synapse/workspaces/...。
| 任务(我想要…) | 角色(我需要成为…) | Synapse RBAC 权限/操作 |
|---|---|---|
| 在工作区上打开Synapse Studio | Synapse 用户或 Azure 所有者、参与者或工作区读者 |
读取 无 |
| 列出 SQL 池、Apache Spark 池或集成运行时,并访问其配置详细信息。 | Synapse 用户或 Azure 所有者或参与者或工作区上的读者 |
读取 无 |
| 列出链接服务、凭据或托管的专用终结点 | Synapse 用户 | 读取 |
| SQL 池 | ||
| 创建专用 SQL 池或无服务器 SQL 池 | Azure资源组的所有者或参与者 | 无 |
| 管理(暂停、缩放或删除)专用 SQL 池 | 在 SQL 池或工作区上的 Azure 所有者或参与者 | 无 |
| 创建 SQL 脚本 |
运行 SQL 脚本、发布或提交更改需要拥有 Synapse User 或 Azure 所有者或参与者权限 ,并且需要额外的 SQL 权限。 |
|
| 列出并打开任何已发布的 SQL 脚本 | Synapse 成果用户或成果发布者或 Synapse 贡献者 | 工件/读取 |
| 在无服务器 SQL 池上运行 SQL 脚本 | 池的 SQL 权限(自动授予 Synapse 管理员) | 无 |
| 在专用 SQL 池上运行 SQL 脚本 | 池的 SQL 权限(自动授予 Synapse 管理员) | 无 |
| 发布新的、已更新的或已删除的 SQL 脚本 | Synapse Artifact Publisher 或 Synapse 参与者 | sqlScripts/写入、删除 |
| 在工作区上分配Active Directory管理员(通过Azure portal中的工作区属性) | Azure工作区的所有者或参与者 | |
| APACHE SPARK 池 | ||
| 创建 Apache Spark 池 | Azure资源组的所有者或参与者 | |
| 监视 Apache Spark 应用程序 | Synapse 用户 | 读取 |
| 查看已完成的笔记本和作业执行的日志 | Synapse 监视操作员 | |
| 取消 Apache Spark 池上运行的任何笔记本或 Spark 作业 | Apache Spark 池的 Synapse 计算操作员 | bigDataPools/useCompute |
| 创建笔记本或作业定义 | 需要 Synapse User 或 Azure 所有者、参与者或工作区上的读者 需要额外的权限来运行、发布或提交更改 |
读取 |
| 列出并打开已发布的笔记本或作业定义,包括查看保存的输出 | 工作区的 Synapse 项目用户或 Synapse 监视操作员 | 工件/读取 |
| 运行笔记本并查看其输出,或提交 Spark 作业 | 所选 Apache Spark 池的 Synapse Apache Spark 管理员或 Synapse 计算操作员 | bigDataPools/useCompute |
| 将笔记本或作业定义(包括输出)发布到服务或将其删除 | 工作区或 Synapse Apache Spark 管理员上的制品发布者 | 笔记本/写入、删除 |
| PIPELINES、INTEGRATION RUNTIMES、数据流、数据集和触发器 | ||
| 创建、更新或删除Integration runtime | Azure工作区的所有者或参与者 | |
| 监视集成运行时状态 | Synapse 监视操作员 | 读取、integrationRuntimes/viewLogs |
| 查看管道运行 | Synapse 监视操作员 | read、pipelines/viewOutputs |
| 创建管道 | Synapse 用户 进行调试、添加触发器、发布或提交更改时,需要额外的 Synapse 权限 |
读取 |
| 创建数据流或数据集 | Synapse 用户 发布更改或提交更改时需要其他 Synapse 权限 |
读取 |
| 列出并打开已发布的管道 | Synapse 项目用户或 Synapse 监视操作员 | 工件/读取 |
| 预览数据集数据 | WorkspaceSystemIdentity 的 Synapse 用户和 Synapse 凭据用户 | |
| 使用默认Integration runtime调试管道 | WorkspaceSystemIdentity 凭据的 Synapse 用户和 Synapse 凭据用户 | read、credentials/useSecret |
| 创建触发器,包括“立即触发”(需要权限才能执行管道) | WorkspaceSystemIdentity 的 Synapse 用户和 Synapse 凭据用户 | 读取、凭据/useSecret/操作 |
| 执行/运行管道 | WorkspaceSystemIdentity 的 Synapse 用户和 Synapse 凭据用户 | 读取、凭据/useSecret/操作 |
| 使用“复制数据”工具复制数据 | 工作区系统标识的 Synapse 用户和 Synapse 凭据用户 | 读取、凭据/useSecret/操作 |
| 导入数据(使用时间表) | 工作区系统标识的 Synapse 创建者和 Synapse 凭据用户 | 读取、凭据/useSecret/操作 |
| 向服务发布新的、已更新的或已删除的管道、数据流或触发器 | 工作区上的 Synapse Artifact Publisher | 管道/写入、删除 数据流/写入、删除 触发器/写入、删除 |
| 链接服务 | ||
| 创建链接服务(包括分配凭据) | Synapse 用户 如果要使用带凭据的链接服务、发布内容或提交更改,则需要其他权限。 |
读取 |
| 列出并打开已发布的链接服务 | Synapse 项目用户 | linkedServices/写入、删除 |
| 对受凭据保护的链接服务进行连接测试 | Synapse 用户和 Synapse 凭据用户 | 凭据/useSecret/操作 |
| 发布链接服务 | Synapse 工件发布器或 Synapse 链接数据管理器 | linkedServices/写入、删除 |
| 访问管理 | ||
| 查看任何范围内的 Synapse RBAC 角色分配 | Synapse 用户 | 读取 |
| 为用户、组和服务主体分配和删除 Synapse RBAC 角色分配 | 工作区或特定工作区项范围内的 Synapse 管理员 | roleAssignments/写入、删除 |