Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Cosmos DB v Microsoft Fabric primárně využívá ověřování Microsoft Entra ID a předdefinované role roviny dat ke správě ověřování a autorizace. V této příručce nakonfigurujete vestavěné role datové roviny pro Cosmos DB v databázi Fabric. Přístup ke službě Cosmos DB můžete nakonfigurovat pomocí rolí pracovního prostoru v ovládacích prvcích přístupu k Microsoft Fabric.
Řízení přístupu na dvou různých úrovních spolupracuje. Pokud se například chcete připojit k databázi, musí mít uživatel alespoň oprávnění ke čtení položky databáze Fabric.
Ovládací prvky přístupu
V systému Fabric řídíte přístup pomocí rolí pracovního prostoru. Role pracovního prostoru Microsoft Fabric spravují, kdo co může dělat v pracovním prostoru.
Cosmos DB ve Fabricu má oprávnění na úrovni položek se třemi dobře definovanými rolemi:
| Schopnost | |
|---|---|
| Přečíst | Připojit se k databázi, číst položky, dotazovat se na položky, číst kanál změn, vypsání kontejnerů, čtení propustnosti a metadat |
| ReadAll | Stejná funkce jako čtení a navíc čtení zrcadlených dat přímo ze souborů OneLake |
| Piš | Stejná funkce jako ReadAll a navíc vytvořit kontejner, odstranit kontejner, vytvořit položku, odstranit položku, upravit položku |
Pracovní role ve Fabric se promítají do následujících oprávnění na úrovni jednotlivých položek v rámci Cosmos DB ve Fabric.
| Administrátor | Člen | Přispěvatel | Prohlížeč | |
|---|---|---|---|---|
| Přečíst | ✅ Ano | ✅ Ano | ✅ Ano | ✅ Ano |
| ReadAll | ✅ Ano | ✅ Ano | ✅ Ano | ✅ Ano |
| Piš | ✅ Ano | ✅ Ano | ✅ Ano | ✖️ Ne |
V jiné perspektivě tato tabulka zachycuje běžné možnosti, které uživatelé můžou vyžadovat s databází Cosmos DB, a mapuje je na správnou roli pracovního prostoru:
| Administrátor | Člen | Přispěvatel | Prohlížeč | |
|---|---|---|---|---|
| Úplný přístup pro správu a úplný přístup k datům | ✅ Ano | ✅ Ano | ✅ Ano | ✖️ Ne |
| Čtení dat a metadat | ✅ Ano | ✅ Ano | ✅ Ano | ✅ Ano |
| Připojení k databázi | ✅ Ano | ✅ Ano | ✅ Ano | ✅ Ano |
Návod
Další informace o tom, jak role fungují v rámci pracovních prostorů, najdete v tématu Role v pracovních prostorech. Další informace o přiřazování rolí pracovního prostoru najdete v tématu Udělení přístupu uživatelům k pracovním prostorům.
Mapování na Azure
Pokud máte zkušenosti se službou Azure Cosmos DB pro NoSQL, můžete mapovat oprávnění položek služby Cosmos DB v rámci Fabric k vestavěným rolím datové roviny této služby.
Oprávnění k položkám databáze Cosmos DB jsou srovnatelná s následujícími přiřazeními rolí v rámci datové roviny databáze Azure Cosmos DB.
| Role v Azure Cosmos DB for NoSQL | Scope | |
|---|---|---|
| Přečíst | Cosmos DB Built-in Data Reader |
Databáze |
| ReadAll | Cosmos DB Built-in Data Reader |
Databáze |
| Piš | Cosmos DB Built-in Data Contributor |
Databáze |
Nebo, pokud chcete, můžete mapovat na oprávnění řízení přístupu založeného na rolích v Azure.
| Role v Azure Cosmos DB for NoSQL | Scope | |
|---|---|---|
| Přečíst | [ "Microsoft.DocumentDB/databaseAccounts/readMetadata", "Microsoft.DocumentDB/databaseAccounts/sqlDatabases/containers/items/read", "Microsoft.DocumentDB/databaseAccounts/sqlDatabases/containers/executeQuery", "Microsoft.DocumentDB/databaseAccounts/sqlDatabases/containers/readChangeFeed" ] |
Databáze |
| ReadAll | [ "Microsoft.DocumentDB/databaseAccounts/readMetadata", "Microsoft.DocumentDB/databaseAccounts/sqlDatabases/containers/items/read", "Microsoft.DocumentDB/databaseAccounts/sqlDatabases/containers/executeQuery", "Microsoft.DocumentDB/databaseAccounts/sqlDatabases/containers/readChangeFeed" ] |
Databáze |
| Piš | [ "Microsoft.DocumentDB/databaseAccounts/readMetadata", "Microsoft.DocumentDB/databaseAccounts/sqlDatabases/containers/*", "Microsoft.DocumentDB/databaseAccounts/sqlDatabases/containers/items/*" ] |
Databáze |
Poznámka:
Další informace o rolích Azure Cosmos DB for NoSQL najdete v tématu Zabezpečení roviny dat Azure Cosmos DB for NoSQL.