Synapse Apache Spark Pool の設定を可能にする特定のパーミッション

本記事では、Azure Synapse Analytics の Apache Spark プール に関して、管理や設定を行うためのパーミッションについて解説します。
カスタムロールを作る中で、このパーミッションを個別に指定したいケースがあると思います。そのようなシチュエーションで役立つ記事となっています。

Azure RBAC のカスタムロールにおけるアクション許可

カスタム Azure RBAC ロールの中で、以下の 2つのアクションを許可します。

• “Microsoft.Synapse/workspaces/bigDataPools/write”,
• “Microsoft.Synapse/workspaces/bigDataPools/read”,

カスタムロールの定義例は以下の通りです。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21

{
    "id": "/subscriptions/********-****-****-****-************/providers/Microsoft.Authorization/roleDefinitions/********-****-****-****-************",
    "properties": {
        "roleName": "{CUSTOM_ROLE_NAME}",
        "description": "",
        "assignableScopes": [
            "/subscriptions/********-****-****-****-************/resourceGroups/{RESOURCE_GROUP_NAME}"
        ],
        "permissions": [
            {
                "actions": [
                    "Microsoft.Synapse/workspaces/bigDataPools/write",
                    "Microsoft.Synapse/workspaces/bigDataPools/read"
                ],
                "notActions": [],
                "dataActions": [],
                "notDataActions": []
            }
        ]
    }
}

これらのアクションを許可することで、Synapse ワークスペースの 「管理」ブレード > Analytics プール > Apache Spark プール で以下の変更操作をすることができます。

• スケールの設定 (ノード サイズ, 自動スケーリング, ノード数, エグゼキューターの動的割り当て 有効/無効, インテリジェント キャッシュ サイズ)
• 一時停止設定 (自動一時停止中 有効/無効, アイドル状態の時間)
• パッケージ (セッション レベルのパッケージ許可 有効/無効, 要件ファイルのアップロード, ワークスペースパッケージの選択)
• Apache Spark 構成 (Use default configuration, etc.)

タグの割り当てに必要なパーミッション

Synapse ワークスペースの 「管理」ブレード > Analytics プール > Apache Spark プール ではタグの割り当ても行うことができますが、その許可のために必要なアクションは以下の通りです。

• “Microsoft.Synapse/workspaces/operationStatuses/read”

まとめ

Azure Synapse Analytics の Apache Spark Pool に関して、管理や設定を行うためのパーミッションについて解説しました。
カスタムロールを作る中で、このパーミッションを個別に指定したいケースがあると思います。その際の参考となると幸いです。

See also

• Azure Synapse で一般的なタスクを実行するために必要なロールについて - Azure Synapse Analytics | Microsoft Learn