使用CETAS >>权限问题将数据写回ADLS 2的Synapse池

Question

用例--在了解到ADLGEN-2的Serverless池上没有像预期的那样工作之后，我尝试使用传统的方法在Serverless池上创建外部表，并使用CETAS选项授予用户对一组that的只读访问权，并启用对另一个ADLGEN-2容器的写回选项。

看来我也被困在那里了--继续前进。

我试着用下面的图片来解释我的情景。

​

​

现在，我在数据库中有5个外部表，在那里我可以对模式的存在位置进行只读访问。我想再创建几个表--理想情况下，这5个表之间进行连接，并聚合数据并将其写回ADLS 2，用于报告/数据科学目的。

我应该允许什么样的访问权限来进行回写？我尝试创建新架构，并授予ALTER、控件、选择对该架构的访问权限以及数据库级别的CREATE访问权限。我不想授予对数据库级别的更多访问权限--因为它具有数据作用域证书，并且引用了托管身份--这将授予对ROC容器对象的完全访问权限。

Grant select on SCHEMA ::sandbox to sls_svc ;

Grant ALTER on SCHEMA ::sandbox to sls_svc ;

GRANT CONTROL ON SCHEMA::[sandbox ] TO [sls_svc];

Grant CREATE TABLE to sls_svc;


CREATE EXTERNAL TABLE sanbox.revenue-by-month
WITH (
    LOCATION = '/ROW/revenue-by-month/',
    DATA_SOURCE = ADLS-ROW,  
    FILE_FORMAT = EF_PARQUET
)  
AS
SELECT      * from table1; 

sls_svc角色中的所有用户都可以访问读写容器(行)上的存储数据贡献者。

下面是我收到的错误消息

​

​

我还尝试创建一个新的数据库。希望我能授予对数据库的完全访问权限--这样跨数据库查询就可以工作了--但是我也运气不好。

有什么想法吗？

Answer 1

格兰特连接到创建的数据库+授予DDL_ADMIN访问权限

解决了这个问题

Answer 2

您似乎正确地设置了权限https://learn.microsoft.com/en-us/azure/synapse-analytics/sql/develop-storage-files-overview?tabs=impersonation#permissions。

您是否确定可以成功执行select语句，并且问题不在SELECT部件中？