Verwalten von Datenbanksicherheitsrollen
Prinzipale erhalten Zugriff auf Ressourcen über ein rollenbasiertes Zugriffssteuerungsmodell, bei dem ihre zugewiesenen Sicherheitsrollen den Ressourcenzugriff bestimmen.
In diesem Artikel erfahren Sie, wie Sie Verwaltungsbefehle verwenden, um vorhandene Sicherheitsrollen anzuzeigen sowie Sicherheitsrollen auf Datenbankebene hinzuzufügen und zu entfernen.
Hinweis
Zum Löschen einer Datenbank benötigen Sie mindestens Arm-Berechtigungen (Contributor Azure Resource Manager) für den Cluster. Informationen zum Zuweisen von ARM-Berechtigungen finden Sie unter Zuweisen von Azure-Rollen mithilfe des Azure-Portal.
Berechtigungen
Sie müssen mindestens über Datenbankadministratorberechtigungen verfügen, um diese Befehle auszuführen.
Sicherheitsrollen auf Datenbankebene
Die folgende Tabelle zeigt die möglichen Sicherheitsrollen auf Datenbankebene und beschreibt die berechtigungen, die für jede Rolle gewährt werden.
| Rolle | Berechtigungen |
|---|---|
admins |
Anzeigen und Ändern der Datenbank- und Datenbankentitäten. |
users |
Zeigen Sie die Datenbank an, und erstellen Sie neue Datenbankentitäten. |
viewers |
Zeigen Sie Tabellen in der Datenbank an, in denen RestrictedViewAccess nicht aktiviert ist. |
unrestrictedviewers |
Zeigen Sie die Tabellen in der Datenbank an, auch wenn RestrictedViewAccess aktiviert ist. Der Prinzipal muss auch über Berechtigungen viewers oder users Berechtigungen verfügenadmins. |
ingestors |
Nehmen Sie Daten ohne Zugriff auf Abfrage in die Datenbank ein. |
monitors |
Zeigen Sie Datenbankmetadaten wie Schemas, Vorgänge und Berechtigungen an. |
Hinweis
Es ist nicht möglich, die viewer Rolle nur für einige Tabellen in der Datenbank zuzuweisen. Unterschiedliche Ansätze zum Gewähren eines Prinzipalansichtszugriffs auf eine Teilmenge von Tabellen finden Sie unter Verwalten des Tabellenansichtszugriffs.
Vorhandene Sicherheitsrollen anzeigen
Bevor Sie Prinzipale hinzufügen oder entfernen, können Sie den .show Befehl verwenden, um eine Tabelle mit allen Prinzipale und Rollen anzuzeigen, die bereits in der Datenbank festgelegt sind.
Syntax
So zeigen Sie alle Rollen an:
.showdatabase DatabaseName principals
So zeigen Sie Ihre Rollen an:
.showdatabase DatabaseName principal roles
Erfahren Sie mehr über Syntaxkonventionen.
Parameter
| Name | Type | Erforderlich | Beschreibung |
|---|---|---|---|
| DatabaseName | string |
✔️ | Der Name der Datenbank, für die Prinzipale aufgeführt werden sollen. |
Beispiel
Der folgende Befehl listet alle Sicherheitsprinzipale auf, die Zugriff auf die Samples Datenbank haben.
.show database Samples principals
Beispielausgabe
| Role | PrincipalType | PrincipalDisplayName | PrincipalObjectId | PrincipalFQN |
|---|---|---|---|---|
| Datenbankbeispieladministrator | Microsoft Entra-Benutzer*in | Abbi Atkins | cd709aed-a26c-e3953dec735e | aaduser=abbiatkins@fabrikam.com |
Hinzufügen und Ablegen von Sicherheitsrollen
Dieser Abschnitt enthält Syntax, Parameter und Beispiele zum Hinzufügen und Entfernen von Prinzipale.
Syntax
Action DatabaseName-Rollenprinzipal ( [, Prinzipal...] ) [skip-results] [ Beschreibung ] database
Erfahren Sie mehr über Syntaxkonventionen.
Parameter
| Name | Type | Erforderlich | BESCHREIBUNG |
|---|---|---|---|
| Aktion | string |
✔️ | Der Befehl .add, .drop, oder .set..add fügt die angegebenen Prinzipale hinzu, .drop entfernt die angegebenen Prinzipale und fügt die angegebenen Prinzipale hinzu und .set entfernt alle vorherigen. |
| DatabaseName | string |
✔️ | Der Name der Datenbank, für die Prinzipale hinzugefügt werden sollen. |
| Rolle | string |
✔️ | Die Rolle, die dem Prinzipal zugewiesen werden soll. Bei Datenbanken kann dies wie folgt seinadmins: , users, , viewers, unrestrictedviewers, , oder ingestorsmonitors. |
| Prinzipal | string |
✔️ | Mindestens ein Prinzipal. Anleitungen zum Angeben dieser Prinzipale finden Sie unter Verweisen auf Sicherheitsprinzipale. |
skip-results |
string |
Wenn angegeben, gibt der Befehl die aktualisierte Liste der Datenbankprinzipale nicht zurück. | |
| Beschreibung | string |
Text zur Beschreibung der Änderung, die bei Verwendung des .show Befehls angezeigt wird. |
Hinweis
Der .set Befehl anstelle none einer Liste von Prinzipalen entfernt alle Prinzipale der angegebenen Rolle.
Beispiele
In den folgenden Beispielen erfahren Sie, wie Sie Sicherheitsrollen hinzufügen, Sicherheitsrollen entfernen und Sicherheitsrollen im selben Befehl hinzufügen und entfernen.
Hinzufügen von Sicherheitsrollen mit ".add"
Im folgenden Beispiel wird der Rolle in der users Samples Datenbank ein Prinzipal hinzugefügt.
.add database Samples users ('aaduser=imikeoein@fabrikam.com')
Im folgenden Beispiel wird der Rolle in der viewers Samples Datenbank eine Anwendung hinzugefügt.
.add database Samples viewers ('aadapp=4c7e82bd-6adb-46c3-b413-fdd44834c69b;fabrikam.com')
Entfernen von Sicherheitsrollen mit DROP
Im folgenden Beispiel werden alle Prinzipale in der Gruppe aus der Rolle in der admins Samples Datenbank entfernt.
.drop database Samples admins ('aadGroup=SomeGroupEmail@fabrikam.com')
Hinzufügen neuer Sicherheitsrollen und Entfernen der alten mit ".set"
Im folgenden Beispiel werden vorhandene viewers Und die bereitgestellten Prinzipale wie viewers in der Samples Datenbank hinzugefügt.
.set database Samples viewers ('aaduser=imikeoein@fabrikam.com', 'aaduser=abbiatkins@fabrikam.com')
Entfernen aller Sicherheitsrollen mit ".set"
Mit dem folgenden Befehl werden alle in der Samples Datenbank vorhandenen Elemente viewers entfernt.
.set database Samples viewers none
Zugehöriger Inhalt
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für