Synapse Serverless Pool 使用 CETAS 将数据写回 ADLS Gen-2 >> 权限问题

Posted

技术标签:

【中文标题】Synapse Serverless Pool 使用 CETAS 将数据写回 ADLS Gen-2 >> 权限问题【英文标题】:Synapse Server less Pool writing data back to ADLS Gen-2 using CETAS >> Permissions issue 【发布时间】:2021-06-07 15:53:24 【问题描述】:

用例- 在得知 AD Passthrough 在具有 ADLS Gen-2 的 Synapse Serverless 池上无法正常工作后;我正在尝试使用在无服务器池上创建外部表的传统方法,并授予用户对一组故事的只读访问权限,并使用 CETAS 选项为另一个 ADLS Gen-2 容器启用 WRITE BACK 选项。

看来我也被困在那里了——继续前进。

我试图在下图中解释我的场景。

现在 - 我在数据库上有 5 个外部表,我可以只读访问这些表所在的架构。 我想再创建几个表 - 理想情况下在这 5 个表之间进行 JOIN 并聚合数据并写回 ADLS Gen-2 以用于报告/数据科学目的。

我应该为写回目的授予什么访问权限? 我尝试创建新架构并授予对该架构的 ALTER、CONTROL、SELECT 访问权限以及数据库级别的 CREATE TABLE 访问权限。我不想授予对数据库级别的更多访问权限——因为它具有引用了托管标识的数据范围凭据——这将授予对 ROC 容器对象的完全访问权限。

Grant select on SCHEMA ::sandbox to sls_svc ;

Grant ALTER on SCHEMA ::sandbox to sls_svc ;

GRANT CONTROL ON SCHEMA::[sandbox ] TO [sls_svc];

Grant CREATE TABLE to sls_svc;


CREATE EXTERNAL TABLE sanbox.revenue-by-month
WITH (
    LOCATION = '/ROW/revenue-by-month/',
    DATA_SOURCE = ADLS-ROW,  
    FILE_FORMAT = EF_PARQUET
)  
AS
SELECT      * from table1;

sls_svc 角色中的所有用户对 READ-WRITE-CONTAINER (ROW) 具有 STORAGE DATA CONTRIBUTOR 访问权限

以下是我收到的错误消息

我也尝试创建一个新数据库。希望我可以授予对该数据库的完全访问权限 - 以便跨数据库查询可以工作 - 但我在那里也不走运。

有什么想法吗?

【问题讨论】:

【参考方案1】:

看来你已经正确设置了权限https://docs.microsoft.com/en-us/azure/synapse-analytics/sql/develop-storage-files-overview?tabs=impersonation#permissions

您确定您可以成功执行仅选择语句并且问题不在 SELECT 部分吗?

【讨论】:

是的,select 语句运行良好。我重新运行了 select 语句并检索了结果。【参考方案2】:

GRANT CONNECT 到创建的数据库 + 授予 DDL_ADMIN 访问权限

解决了问题

【讨论】:

以上是关于Synapse Serverless Pool 使用 CETAS 将数据写回 ADLS Gen-2 >> 权限问题的主要内容,如果未能解决你的问题,请参考以下文章

Synapse Spark Pool 在配置状态下挂起:删除错误

从 Azure Synapse Analytics Spark Pool 连接到 Azure SQL 数据库

无法将托管标识添加到 Synapse 池

Azure Synapse Analytics 专用 SQL 池 - IIF 语句不起作用

文档中显示的 sql 代码未在 azure synapse 专用 sql 池上运行

AWS + Serverless - 如何获取 cognito 用户池生成的密钥