Roles and permissions for Azure Data Factory (Role i uprawnienia w usłudze Data Factory)

  • Artykuł

DOTYCZY: Azure Data Factory Azure Synapse Analytics

Napiwek

Wypróbuj usługę Data Factory w usłudze Microsoft Fabric — rozwiązanie analityczne typu all-in-one dla przedsiębiorstw. Usługa Microsoft Fabric obejmuje wszystko, od przenoszenia danych do nauki o danych, analizy w czasie rzeczywistym, analizy biznesowej i raportowania. Dowiedz się, jak bezpłatnie rozpocząć nową wersję próbną !

W tym artykule opisano role wymagane do tworzenia zasobów usługi Azure Data Factory i zarządzania nimi oraz uprawnienia przyznane przez te role.

Role i wymagania

Aby utworzyć wystąpienia usługi Data Factory, konto użytkownika używane do logowania się na platformie Azure musi być członkiem roli współautora , roli właściciela lub administratora subskrypcji platformy Azure. Aby wyświetlić uprawnienia, które masz w subskrypcji, w witrynie Azure Portal wybierz swoją nazwę użytkownika w prawym górnym rogu, a następnie wybierz pozycję Moje uprawnienia. Jeśli masz dostęp do wielu subskrypcji, wybierz odpowiednią subskrypcję.

Aby utworzyć zasoby podrzędne — w tym zestawy danych, połączone usługi, potoki, wyzwalacze i środowiska Integration Runtime — oraz nimi zarządzać w usłudze Data Factory, należy spełnić następujące wymagania:

  • Aby utworzyć zasoby podrzędne i zarządzać nimi w witrynie Azure Portal, musisz należeć do roli Współautor usługi Data Factory na poziomie grupy zasobów lub wyższym.

    Uwaga

    Jeśli masz już przypisaną rolę Współautor na poziomie grupy zasobów lub wyższym, nie potrzebujesz roli Współautor usługi Data Factory. Rola Współautor jest rolą nadzbioru, która obejmuje wszystkie uprawnienia przyznane roli Współautor usługi Data Factory.

  • W przypadku tworzenia zasobów podrzędnych i zarządzania nimi za pomocą programu PowerShell lub zestawu SDK rola współautora na poziomie grupy zasobów lub wyższej jest wystarczająca.

Aby uzyskać przykładowe instrukcje dotyczące dodawania użytkownika do roli, zobacz artykuł Add roles (Dodawanie ról).

Konfigurowanie uprawnień

Po utworzeniu fabryki danych możesz zezwolić innym użytkownikom na pracę z fabryką danych. Aby zapewnić ten dostęp innym użytkownikom, musisz dodać je do wbudowanej roli Współautor usługi Data Factory w grupie zasobów zawierającej usługę Data Factory.

Zakres roli Współautor usługi Data Factory

Członkostwo roli Współautor usługi Data Factory umożliwia użytkownikom wykonywanie następujących czynności:

  • Tworzenie, edytowanie i usuwanie fabryk danych oraz zasobów podrzędnych, w tym zestawów danych, połączonych usług, potoków, wyzwalaczy i środowisk Integration Runtime.
  • Wdrażanie szablonów usługi Resource Manager. Wdrożenie przy użyciu usługi Resource Manager to metoda wdrażania używana przez usługę Data Factory w witrynie Azure Portal.
  • Zarządzanie alertami usługi App Szczegółowe informacje dla fabryki danych.
  • Tworzenie biletów pomocy technicznej.

Aby uzyskać więcej informacji na temat tej roli, zobacz Rola współautora usługi Data Factory.

Wdrażanie szablonu usługi Resource Manager

Rola Współautor usługi Data Factory na poziomie grupy zasobów lub wyższym umożliwia użytkownikom wdrażanie szablonów usługi Resource Manager. W związku z tym członkowie roli mogą używać szablonów usługi Resource Manager do wdrażania fabryk danych i ich zasobów podrzędnych, w tym zestawów danych, połączonych usług, potoków, wyzwalaczy i środowisk Integration Runtime. Członkostwo w tej roli nie umożliwia użytkownikowi tworzenia innych zasobów.

Uprawnienia w usługach Azure Repos i GitHub są niezależne od uprawnień usługi Data Factory. W związku z tym użytkownik z uprawnieniami repozytorium, który jest tylko członkiem roli Czytelnik, może edytować zasoby podrzędne usługi Data Factory i zatwierdzać zmian w repozytorium, ale nie może opublikować tych zmian.

Ważne

Wdrożenie szablonu usługi Resource Manager z rolą Współautor usługi Data Factory nie podnosi uprawnień. Jeśli na przykład wdrożysz szablon, który tworzy maszynę wirtualną platformy Azure i nie masz uprawnień do tworzenia maszyn wirtualnych, wdrożenie zakończy się niepowodzeniem z powodu błędu autoryzacji.

W kontekście publikowania uprawnienie Microsoft.DataFactory/factory/write ma zastosowanie do następujących trybów.

  • To uprawnienie jest wymagane tylko w trybie na żywo, gdy klient modyfikuje parametry globalne.
  • To uprawnienie jest zawsze wymagane w trybie Git, ponieważ za każdym razem po opublikowaniu klienta obiekt fabryki o ostatnim identyfikatorze zatwierdzenia musi zostać zaktualizowany.

Scenariusze niestandardowe i role niestandardowe

Czasami może być konieczne przyznanie różnych poziomów dostępu różnym użytkownikom fabryki danych. Na przykład:

  • Może być potrzebna grupa, w której użytkownicy mają uprawnienia tylko do określonej fabryki danych.
  • Może też być potrzebna grupa, w której użytkownicy mogą monitorować fabrykę danych (lub fabryki), ale nie mogą jej modyfikować.

Te scenariusze niestandardowe można osiągnąć, tworząc role niestandardowe i przypisując użytkowników do tych ról. Aby uzyskać więcej informacji na temat ról niestandardowych, zobacz Role niestandardowe na platformie Azure.

Oto kilka przykładów, które pokazują, co można osiągnąć za pomocą ról niestandardowych:

  • Zezwalaj użytkownikowi na tworzenie, edytowanie lub usuwanie dowolnej fabryki danych w grupie zasobów z witryny Azure Portal.

    Przypisz wbudowaną rolę współautora usługi Data Factory na poziomie grupy zasobów dla użytkownika. Jeśli chcesz zezwolić na dostęp do dowolnej fabryki danych w subskrypcji, przypisz rolę na poziomie subskrypcji.

  • Pozwól użytkownikowi wyświetlać (odczytywać) i monitorować fabrykę danych, ale nie edytować ani zmieniać jej.

    Przypisz wbudowaną rolę czytelnika w zasobie fabryki danych dla użytkownika.

  • Pozwól użytkownikowi edytować pojedynczą fabrykę danych w witrynie Azure Portal.

    Ten scenariusz wymaga dwóch przypisań ról.

    1. Przypisz wbudowaną rolę współautora na poziomie fabryki danych.
    2. Utwórz rolę niestandardową z uprawnieniem Microsoft.Resources/deployments/. Przypisz tę rolę niestandardową do użytkownika na poziomie grupy zasobów.

  • Umożliwianie użytkownikowi testowania połączenia w połączonej usłudze lub podglądzie danych w zestawie danych

    Utwórz rolę niestandardową z uprawnieniami dla następujących akcji: Microsoft.DataFactory/factory/getFeatureValue/read i Microsoft.DataFactory/factory/getDataPlaneAccess/action. Przypisz tę rolę niestandardową do zasobu fabryki danych dla użytkownika.

  • Pozwól użytkownikowi zaktualizować fabrykę danych z poziomu programu PowerShell lub zestawu SDK, ale nie w witrynie Azure Portal.

    Przypisz wbudowaną rolę współautora w zasobie fabryki danych dla użytkownika. Ta rola umożliwia użytkownikowi wyświetlanie zasobów w witrynie Azure Portal, ale użytkownik nie może uzyskać dostępu do przycisków Publikuj i Opublikuj wszystko .

Powiązana zawartość

  • Dowiedz się więcej o rolach na platformie Azure — Omówienie definicji ról

  • Dowiedz się więcej o roli współautora usługi Data Factory — Rola współautora usługi Data Factory.