Synapse RBAC 角色
本文介绍了内置的 Synapse RBAC(基于角色的访问控制)角色、这些角色授予的权限以及可以使用这些角色的范围。
有关查看和分配 Synapse 角色成员资格的详细信息,请参阅如何查看 Synapse RBAC 角色分配和如何分配 Synapse RBAC 角色。
内置 Synapse RBAC 角色和范围
下表描述了内置角色和可以使用这些角色的范围。
注意
在任何范围内具有任意 Synapse RBAC 角色的用户在工作区范围内自动具有 Synapse 用户角色。
重要
Synapse RBAC 角色不会授予在 Azure Synapse 工作区中创建和管理 SQL 池、Apache Spark 池和集成运行时的权限。 这些操作需要资源组的“Azure 所有者”或“Azure 参与者”角色。
| 角色 | 权限 | 作用域 |
|---|---|---|
| Synapse 管理员 | 对无服务器的和专用的 SQL 池、Apache Spark 池以及集成运行时的完全 Synapse 访问。 包括对所有已发布代码项目的创建、读取、更新和删除访问权限。 包括对工作区系统标识凭据的计算操作员、链接数据管理员和凭据用户权限。 包括分配 Synapse RBAC 角色。 除了 Synapse 管理员以外,Azure 所有者也可以分配 Synapse RBAC 角色。 创建、删除和管理计算资源需要 Azure 权限。 即使禁用了关联的订阅,也可以分配 Synapse RBAC 角色。 可以读取和写入项目 可以对 Spark 活动执行所有操作。 可以查看 Spark 池日志 可以查看已保存的笔记本和管道输出 可以使用链接服务或凭据存储的机密 可以在当前范围内分配和撤消 Synapse RBAC 角色 |
工作区 Spark 池 集成运行时 链接服务 凭据 |
| Synapse Apache Spark 管理员 |
对 Apache Spark 池的完全 Synapse 访问权限。 对已发布的 Spark 作业定义、笔记本及其输出以及对库、链接服务和凭据的创建、读取、更新和删除访问权限。 包括对所有其他已发布代码项目的读取权限。 不包括使用凭据和运行管道的权限。 不包括授予访问权限。 可以对 Spark 项目执行所有操作 可以对 Spark 活动执行所有操作 |
工作区 Spark 池 |
| Synapse SQL 管理员 | 对无服务器 SQL 池的完全 Synapse 访问权限。 对已发布的 SQL 脚本、凭据和链接服务的创建、读取、更新和删除访问权限。 包括对所有其他已发布代码项目的读取权限。 不包括使用凭据和运行管道的权限。 不包括授予访问权限。 可以对 SQL 脚本执行所有操作 可以使用 SQL db_datareader、db_datawriter、connect 和 grant 权限连接到 SQL 无服务器终结点 |
工作区 |
| Synapse 参与者 | 对 Apache Spark 池和集成运行时的完全 Synapse 访问权限。 包括对所有已发布项目及其输出(包括凭据和链接的服务)的创建、读取、更新和删除访问权限。 包括计算操作员权限。 不包括使用凭据和运行管道的权限。 不包括授予访问权限。 可以读取和写入项目 可以查看已保存的笔记本和管道输出 可以对 Spark 活动执行所有操作 可以查看 Spark 池日志 |
工作区 Spark 池 集成运行时 |
| Synapse 项目发布者 | 对已发布代码项目及其输出的创建、读取、更新和删除访问权限。 不包括运行代码或管道(或授予访问权限)的权限。 可以读取已发布的项目并发布项 可以查看已保存的笔记本、Spark 作业和管道输出 |
工作区 |
| Synapse 项目用户 | 对已发布代码项目及其输出的读取访问权限。 可以创建新项目,但不能发布更改,也不能在没有其他权限的情况下运行代码。 | 工作区 |
| Synapse 计算操作员 | 提交 Spark 作业和笔记本以及查看日志。 包括取消任何用户提交的 Spark 作业。 需要对工作区系统标识使用额外的凭据权限来运行管道、查看管道运行和输出。 可以提交和取消作业,包括其他人提交的作业 可以查看 Spark 池日志 |
工作区 Spark 池 集成运行时 |
| Synapse 监视运算符 | 阅读已发布的代码工件,包括管道运行和已完成笔记本的日志和输出。 包括列出和查看 Apache Spark 池和集成运行时的详细信息的功能。 需要额外的权限才能运行/取消管道、Spark 笔记本和 Spark 作业。 | 工作区 |
| Synapse 凭据用户 | 在管道运行等活动中,对凭据和链接服务中的机密的运行时和配置时使用。 若要运行管道,则需要此角色,其范围限定为工作区系统标识。 范围限定为凭据,允许通过受凭据保护的链接服务访问数据(可能还需要计算使用权限) 允许执行受工作区系统标识凭据保护的管道 |
工作区 链接服务 凭据 |
| Synapse 链接数据管理员 | 创建和管理托管专用终结点、链接服务和凭据。 可以创建使用受凭据保护的链接服务的托管专用终结点 | 工作区 |
| Synapse 用户 | 列出并查看 SQL 池、Apache Spark 池、集成运行时和已发布的链接服务和凭据的详细信息。 不包括其他已发布的代码项目。 可以创建新项目,但不能在没有其他权限的情况下运行或发布项目。 可以列出和读取 Spark 池、集成运行时。 |
工作区、Spark 池 链接服务 凭据 |
Synapse RBAC 角色及其允许的操作
注意
- 下表中列出的所有操作都带有前缀“Microsoft.Synapse/...”
- 所有项目读取、写入和删除操作都与实时服务中的已发布项目有关。 这些权限不会影响对连接的 Git 存储库中项目的访问。
下表列出了内置角色以及每个角色支持的操作/权限。
| 角色 | 操作 |
|---|---|
| Synapse 管理员 | workspaces/read workspaces/roleAssignments/write, delete workspaces/managedPrivateEndpoint/write, delete workspaces/bigDataPools/useCompute/action workspaces/bigDataPools/viewLogs/action workspaces/integrationRuntimes/useCompute/action workspaces/integrationRuntimes/viewLogs/action workspaces/artifacts/read workspaces/notebooks/write, delete workspaces/sparkJobDefinitions/write, delete workspaces/sqlScripts/write, delete workspaces/kqlScripts/write, delete workspaces/dataFlows/write, delete workspaces/pipelines/write, delete workspaces/triggers/write, delete workspaces/datasets/write, delete workspaces/libraries/write, delete workspaces/linkedServices/write, delete workspaces/credentials/write, delete workspaces/notebooks/viewOutputs/action workspaces/pipelines/viewOutputs/action workspaces/linkedServices/useSecret/action workspaces/credentials/useSecret/action workspaces/linkConnections/read workspaces/linkConnections/write workspaces/linkConnections/delete workspaces/linkConnections/useCompute/action |
| Synapse Apache Spark 管理员 | workspaces/read workspaces/bigDataPools/useCompute/action workspaces/bigDataPools/viewLogs/action workspaces/notebooks/viewOutputs/action workspaces/artifacts/read workspaces/notebooks/write、delete workspaces/sparkJobDefinitions/write、delete workspaces/libraries/write、delete workspaces/linkedServices/write、delete workspaces/credentials/write、delete |
| Synapse SQL 管理员 | workspaces/read workspaces/artifacts/read workspaces/sqlScripts/write、delete workspaces/linkedServices/write、delete workspaces/credentials/write、delete |
| Synapse 参与者 | workspaces/read workspaces/bigDataPools/useCompute/action workspaces/bigDataPools/viewLogs/action workspaces/integrationRuntimes/useCompute/action workspaces/integrationRuntimes/viewLogs/action workspaces/artifacts/read workspaces/notebooks/write, delete workspaces/sparkJobDefinitions/write, delete workspaces/sqlScripts/write, delete workspaces/kqlScripts/write, delete workspaces/dataFlows/write, delete workspaces/pipelines/write, delete workspaces/triggers/write, delete workspaces/datasets/write, delete workspaces/libraries/write, delete workspaces/linkedServices/write, delete workspaces/credentials/write, delete workspaces/notebooks/viewOutputs/action workspaces/pipelines/viewOutputs/action workspaces/linkConnections/read workspaces/linkConnections/write workspaces/linkConnections/delete workspaces/linkConnections/useCompute/action |
| Synapse 项目发布者 | workspaces/read workspaces/artifacts/read workspaces/notebooks/write、delete workspaces/sparkJobDefinitions/write、delete workspaces/sqlScripts/write、delete workspaces/kqlScripts/write、delete workspaces/dataFlows/write、delete workspaces/pipelines/write、delete workspaces/triggers/write、delete workspaces/datasets/write、delete workspaces/libraries/write、delete workspaces/linkedServices/write、delete workspaces/credentials/write、delete workspaces/notebooks/viewOutputs/action workspaces/pipelines/viewOutputs/action |
| Synapse 项目用户 | workspaces/read workspaces/artifacts/read workspaces/notebooks/viewOutputs/action workspaces/pipelines/viewOutputs/action |
| Synapse 计算操作员 | workspaces/read workspaces/bigDataPools/useCompute/action workspaces/bigDataPools/viewLogs/action workspaces/integrationRuntimes/useCompute/action workspaces/integrationRuntimes/viewLogs/action workspaces/linkConnections/read workspaces/linkConnections/useCompute/action |
| Synapse 监视运算符 | workspaces/read workspaces/artifacts/read workspaces/notebooks/viewOutputs/action workspaces/pipelines/viewOutputs/action workspaces/integrationRuntimes/viewLogs/action workspaces/bigDataPools/viewLogs/action |
| Synapse 凭据用户 | workspaces/read workspaces/linkedServices/useSecret/action workspaces/credentials/useSecret/action |
| Synapse 链接数据管理员 | workspaces/read workspaces/managedPrivateEndpoint/write, delete workspaces/linkedServices/write, delete workspaces/credentials/write, delete |
| Synapse 用户 | workspaces/read |
Synapse RBAC 操作及允许这些操作的角色
下表列出了 Synapse 操作以及允许这些操作的内置角色:
| 操作 | 角色 |
|---|---|
| workspaces/read | Synapse 管理员 Synapse Apache Spark 管理员 Synapse SQL 管理员 Synapse 参与者 Synapse 项目发布者 Synapse 项目用户 Synapse 计算操作员 Synapse 监视操作员 Synapse 凭据用户 Synapse 链接数据管理员 Synapse 用户 |
| workspaces/roleAssignments/write, delete | Synapse 管理员 |
| workspaces/managedPrivateEndpoint/write, delete | Synapse 管理员 Synapse 链接数据管理者 |
| workspaces/bigDataPools/useCompute/action | Synapse 管理员 Synapse Apache Spark 管理员 Synapse 参与者 Synapse 计算操作员 Synapse 监视操作员 |
| workspaces/bigDataPools/viewLogs/action | Synapse 管理员 Synapse Apache Spark 管理员 Synapse 参与者 Synapse 计算操作员 |
| workspaces/integrationRuntimes/useCompute/action | Synapse 管理员 Synapse 参与者 Synapse 计算操作员 Synapse 监视操作员 |
| workspaces/integrationRuntimes/viewLogs/action | Synapse 管理员 Synapse 参与者 Synapse 计算操作员 Synapse 监视操作员 |
| workspaces/linkConnections/read | Synapse 管理员 Synapse 参与者 Synapse 计算操作员 |
| workspaces/linkConnections/useCompute/action | Synapse 管理员 Synapse 参与者 Synapse 计算操作员 |
| workspaces/artifacts/read | Synapse 管理员 Synapse Apache Spark 管理员 Synapse SQL 管理员 Synapse 参与者 Synapse 项目发布者 Synapse 项目用户 |
| workspaces/notebooks/write, delete | Synapse 管理员 Synapse Apache Spark 管理员 Synapse 参与者 Synapse 项目发布者 |
| workspaces/sparkJobDefinitions/write, delete | Synapse 管理员 Synapse Apache Spark 管理员 Synapse 参与者 Synapse 项目发布者 |
| workspaces/sqlScripts/write, delete | Synapse 管理员 Synapse SQL 管理员 Synapse 参与者 Synapse 项目发布者 |
| workspaces/kqlScripts/write, delete | Synapse 管理员 Synapse 参与者 Synapse 项目发布者 |
| workspaces/dataFlows/write, delete | Synapse 管理员 Synapse 参与者 Synapse 项目发布者 |
| workspaces/pipelines/write, delete | Synapse 管理员 Synapse 参与者 Synapse 项目发布者 |
| workspaces/linkConnections/write, delete | Synapse 管理员 Synapse 参与者 |
| workspaces/triggers/write, delete | Synapse 管理员 Synapse 参与者 Synapse 项目发布者 |
| workspaces/datasets/write, delete | Synapse 管理员 Synapse 参与者 Synapse 项目发布者 |
| workspaces/libraries/write, delete | Synapse 管理员 Synapse Apache Spark 管理员 Synapse 参与者 Synapse 项目发布者 |
| workspaces/linkedServices/write, delete | Synapse 管理员 Synapse Apache Spark 管理员 Synapse SQL 管理员 Synapse 参与者 Synapse 项目发布者 Synapse 链接数据管理者 |
| workspaces/credentials/write, delete | Synapse 管理员 Synapse Apache Spark 管理员 Synapse SQL 管理员 Synapse 参与者 Synapse 项目发布者 Synapse 链接数据管理者 |
| workspaces/notebooks/viewOutputs/action | Synapse 管理员 Synapse Apache Spark 管理员 Synapse 参与者 Synapse 项目发布者 Synapse 项目用户 |
| workspaces/pipelines/viewOutputs/action | Synapse 管理员 Synapse 参与者 Synapse 项目发布者 Synapse 项目用户 |
| workspaces/linkedServices/useSecret/action | Synapse 管理员 Synapse 凭据用户 |
| workspaces/credentials/useSecret/action | Synapse 管理员 Synapse 凭据用户 |
Synapse RBAC 范围及其支持的角色
下表列出了可在每个范围分配的 Synapse RBAC 范围和角色。
注意
若要创建或删除对象,必须具有更高级别范围的权限。
| 范围 | 角色 |
|---|---|
| 工作区 | Synapse 管理员 Synapse Apache Spark 管理员 Synapse SQL 管理员 Synapse 参与者 Synapse 项目发布者 Synapse 项目用户 Synapse 计算操作员 Synapse 监视操作员 Synapse 凭据用户 Synapse 链接数据管理员 Synapse 用户 |
| Apache Spark 池 | Synapse 管理员 Synapse 参与者 Synapse 计算操作员 |
| 集成运行时 | Synapse 管理员 Synapse 参与者 Synapse 计算操作员 |
| 链接服务 | Synapse 管理员 Synapse 凭据用户 |
| 凭据 | Synapse 管理员 Synapse 凭据用户 |
注意
所有项目角色和操作的范围都限制在工作区级别。