Rollenbasierte Zugriffssteuerung in Kusto
Kusto verwendet ein rollenbasiertes Zugriffssteuerungsmodell (Role-Based Access Control, RBAC), bei dem Prinzipale basierend auf ihren zugewiesenen Rollen Zugriff auf Ressourcen erhalten. Rollen werden für einen bestimmten Cluster, eine bestimmte Datenbank, eine Tabelle, eine externe Tabelle, eine materialisierte Sicht oder eine bestimmte Funktion definiert. Wenn sie für einen Cluster definiert ist, gilt die Rolle für alle Datenbanken im Cluster. Wenn sie für eine Datenbank definiert ist, gilt die Rolle für alle Entitäten in der Datenbank.
Azure Resource Manager-Rollen (ARM), z. B. Abonnementbesitzer oder Clusterbesitzer, gewähren Zugriffsberechtigungen für die Ressourcenverwaltung. Für die Datenverwaltung benötigen Sie die in diesem Dokument beschriebenen Rollen.
Hinweis
Zum Löschen einer Datenbank benötigen Sie mindestens ARM-Berechtigungen für Mitwirkender für den Cluster. Informationen zum Zuweisen von ARM-Berechtigungen finden Sie unter Zuweisen von Azure-Rollen mithilfe des Azure-Portal.
Rollen und Berechtigungen
In der folgenden Tabelle sind die Rollen und Berechtigungen aufgeführt, die für jeden Bereich verfügbar sind.
In der Spalte Berechtigungen wird der Zugriff angezeigt, der jeder Rolle gewährt wird.
In der Spalte Abhängigkeiten werden die Mindestrollen aufgelistet, die zum Abrufen der Rolle in dieser Zeile erforderlich sind. Um beispielsweise ein Tabellen-Admin zu werden, müssen Sie zuerst über eine Rolle wie Datenbankbenutzer oder eine Rolle verfügen, die die Berechtigungen des Datenbankbenutzers enthält, z. B. Database Admin oder AllDatabasesAdmin. Wenn mehrere Rollen in der Spalte Abhängigkeiten aufgeführt sind, ist nur eine davon erforderlich, um die Rolle abzurufen.
Die Spalte Verwalten bietet Möglichkeiten zum Hinzufügen oder Entfernen von Rollenprinzipalen.
Bereich | Role | Berechtigungen | Abhängigkeiten | Verwalten |
---|---|---|---|---|
Cluster | AllDatabasesAdmin | Vollständige Berechtigung für alle Datenbanken im Cluster. Kann bestimmte Richtlinien auf Clusterebene anzeigen und ändern. Enthält alle Berechtigungen. | Azure portal | |
Cluster | AllDatabasesViewer | Lesen Sie alle Daten und Metadaten einer beliebigen Datenbank im Cluster. | Azure portal | |
Cluster | AllDatabasesMonitor | Führen Sie .show Befehle im Kontext einer beliebigen Datenbank im Cluster aus. |
Azure portal | |
Datenbank | Administrator | Vollständige Berechtigung im Bereich einer bestimmten Datenbank. Enthält alle Berechtigungen auf niedrigerer Ebene. | Azure-Portal- oder Verwaltungsbefehle | |
Datenbank | Benutzer | Lesen Sie alle Daten und Metadaten der Datenbank. Erstellen Sie Tabellen und Funktionen, und werden Sie administrator für diese Tabellen und Funktionen. | Azure-Portal- oder Verwaltungsbefehle | |
Datenbank | Viewer | Lesen Sie alle Daten und Metadaten mit Ausnahme von Tabellen, bei denen die Richtlinie RestrictedViewAccess aktiviert ist. | Azure-Portal- oder Verwaltungsbefehle | |
Datenbank | Uneingeschränkter Viewer | Lesen Sie alle Daten und Metadaten, auch in Tabellen mit aktivierter Richtlinie RestrictedViewAccess . | Datenbankbenutzer oder Datenbank-Viewer | Azure-Portal- oder Verwaltungsbefehle |
Datenbank | Ingestor | Erfassen Sie Daten in allen Tabellen in der Datenbank ohne Zugriff auf die Abfrage der Daten. | Azure-Portal- oder Verwaltungsbefehle | |
Datenbank | Monitor | Führen Sie .show Befehle im Kontext der Datenbank und ihrer untergeordneten Entitäten aus. |
Azure-Portal- oder Verwaltungsbefehle | |
Tabelle | Administrator | Vollständige Berechtigung im Bereich einer bestimmten Tabelle. | Datenbankbenutzer | Befehle für Verwaltung |
Tabelle | Ingestor | Erfassen Sie Daten in der Tabelle ohne Zugriff zum Abfragen der Daten. | Datenbankbenutzer oder Datenbank-Ingestor | Befehle für Verwaltung |
Externe Tabelle | Administrator | Vollständige Berechtigung im Bereich einer bestimmten externen Tabelle. | Datenbankbenutzer oder Datenbank-Viewer | Befehle für Verwaltung |
Materialisierte Sicht | Administrator | Vollständige Berechtigung zum Ändern der Ansicht, zum Löschen der Ansicht und zum Erteilen von Administratorberechtigungen für einen anderen Prinzipal. | Datenbankbenutzer oder Tabellen Admin | Befehle für Verwaltung |
Funktion | Administrator | Vollständige Berechtigung zum Ändern der Funktion, zum Löschen der Funktion und zum Erteilen von Administratorberechtigungen für einen anderen Prinzipal. | Datenbankbenutzer oder Tabellen Admin | Befehle für Verwaltung |
Verwandte Inhalte
Feedback
https://aka.ms/ContentUserFeedback.
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unterFeedback senden und anzeigen für