Anmerkung
Der Zugriff auf diese Seite erfordert eine Genehmigung. Du kannst versuchen, dich anzumelden oder die Verzeichnisse zu wechseln.
Der Zugriff auf diese Seite erfordert eine Genehmigung. Du kannst versuchen , die Verzeichnisse zu wechseln.
Cosmos DB in Microsoft Fabric basiert in erster Linie auf der Microsoft Entra ID-Authentifizierung und integrierten Datenebenenrollen zum Verwalten von Authentifizierung und Autorisierung. In diesem Leitfaden konfigurieren Sie integrierte Datenebenenrollen für eine Cosmos DB in Fabric-Datenbank. Sie können den Zugriff auf Ihre Cosmos DB mithilfe von Arbeitsbereichsrollen in Microsoft Fabric-Zugriffssteuerungen konfigurieren.
Die Zugriffssteuerungen auf zwei verschiedenen Ebenen arbeiten zusammen. Um beispielsweise eine Verbindung mit einer Datenbank herzustellen, muss ein Benutzer mindestens über die Leseberechtigung für das Fabric-Datenbankelement verfügen.
Zugriffssteuerung
In Fabric steuern Sie den Zugriff mithilfe von Fabric-Arbeitsbereichsrollen. Fabric-Arbeitsbereichsrollen bestimmen, wer welche Aktionen in einem Microsoft Fabric-Arbeitsbereich ausführen kann.
Zuerst verfügt Cosmos DB in Fabric über Berechtigungen auf Elementebene mit drei klar definierten Rollen:
| Fähigkeit | |
|---|---|
| Lesen | Herstellen einer Verbindung mit der Datenbank, Lesen von Elementen, Abfragen von Elementen, Lesen des Änderungsfeeds, Auflisten von Containern, Auflisten von Containern, Durchsatz lesen und Lesen von Metadaten |
| ReadAll | Die gleiche Funktion wie "Lesen" und zusätzlich das lesen von gespiegelten Daten direkt aus OneLake-Dateien |
| Schreiben | Gleiche Funktion wie ReadAll und zusätzlich Container erstellen, Container löschen, Element erstellen, Element löschen, Element ändern |
Die Arbeitsbereichsrollen in Fabric werden in die folgenden Berechtigungen auf Elementebene für Elemente in Cosmos DB in Fabric übersetzt:
| Administrator | Mitglied | Beitragender | Viewer | |
|---|---|---|---|---|
| Lesen | ✅ Ja | ✅ Ja | ✅ Ja | ✅ Ja |
| ReadAll | ✅ Ja | ✅ Ja | ✅ Ja | ✅ Ja |
| Schreiben | ✅ Ja | ✅ Ja | ✅ Ja | ✖️ Nein |
In einer anderen Perspektive erfasst diese Tabelle allgemeine Funktionen, die Ihre Benutzer möglicherweise mit der Cosmos DB-Datenbank benötigen, und ordnet sie der richtigen Arbeitsbereichsrolle zu:
| Administrator | Mitglied | Beitragender | Viewer | |
|---|---|---|---|---|
| Vollständiger Administratorzugriff und vollständiger Datenzugriff | ✅ Ja | ✅ Ja | ✅ Ja | ✖️ Nein |
| Lesen von Daten und Metadaten | ✅ Ja | ✅ Ja | ✅ Ja | ✅ Ja |
| Herstellen einer Verbindung mit der Datenbank | ✅ Ja | ✅ Ja | ✅ Ja | ✅ Ja |
Tipp
Weitere Informationen dazu, wie Rollen innerhalb von Arbeitsbereichen funktionieren, finden Sie unter Rollen in Arbeitsbereichen. Weitere Informationen zum Zuweisen von Arbeitsbereichsrollen finden Sie unter Gewähren des Zugriffs auf Arbeitsbereiche.
Zuordnung zu Azure
Wenn Sie mit Azure Cosmos DB für NoSQL vertraut sind, können Sie Cosmos DB in Fabric-Elementberechtigungen den integrierten Datenebenenrollen dieses Diensts zuordnen:
Die Berechtigungen des Cosmos DB-Datenbankelements sind mit den folgenden Azure Cosmos DB-Datenbank-Rollenzuweisungen auf der Datenebene vergleichbar.
| Azure Cosmos DB für NoSQL-Rolle | Umfang | |
|---|---|---|
| Lesen | Cosmos DB Built-in Data Reader |
Datenbank |
| ReadAll | Cosmos DB Built-in Data Reader |
Datenbank |
| Schreiben | Cosmos DB Built-in Data Contributor |
Datenbank |
Wenn Sie es vorziehen, können Sie die Azure-Rollen-basierten Zugriffssteuerungsberechtigungen abgleichen:
| Azure Cosmos DB für NoSQL-Rolle | Umfang | |
|---|---|---|
| Lesen | [ "Microsoft.DocumentDB/databaseAccounts/readMetadata", "Microsoft.DocumentDB/databaseAccounts/sqlDatabases/containers/items/read", "Microsoft.DocumentDB/databaseAccounts/sqlDatabases/containers/executeQuery", "Microsoft.DocumentDB/databaseAccounts/sqlDatabases/containers/readChangeFeed" ] |
Datenbank |
| ReadAll | [ "Microsoft.DocumentDB/databaseAccounts/readMetadata", "Microsoft.DocumentDB/databaseAccounts/sqlDatabases/containers/items/read", "Microsoft.DocumentDB/databaseAccounts/sqlDatabases/containers/executeQuery", "Microsoft.DocumentDB/databaseAccounts/sqlDatabases/containers/readChangeFeed" ] |
Datenbank |
| Schreiben | [ "Microsoft.DocumentDB/databaseAccounts/readMetadata", "Microsoft.DocumentDB/databaseAccounts/sqlDatabases/containers/*", "Microsoft.DocumentDB/databaseAccounts/sqlDatabases/containers/items/*" ] |
Datenbank |
Hinweis
Weitere Informationen zu Azure Cosmos DB für NoSQL-Rollen finden Sie unter Azure Cosmos DB für NoSQL Data Plane Security.