Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Gilt für: ✅Microsoft Fabric✅Azure Data Explorer
Prinzipale erhalten Zugriff auf Ressourcen über ein rollenbasiertes Zugriffssteuerungsmodell, bei dem ihre zugewiesenen Sicherheitsrollen den Ressourcenzugriff bestimmen.
Wenn ein Prinzipal einen Vorgang versucht, führt das System eine Autorisierungsprüfung aus, um sicherzustellen, dass der Prinzipal mindestens einer Sicherheitsrolle zugeordnet ist, die Berechtigungen zum Ausführen des Vorgangs gewährt. Wenn eine Autorisierungsprüfung fehlschlägt, wird der Vorgang abgebrochen.
Die in diesem Artikel aufgeführten Verwaltungsbefehle können zum Verwalten von Prinzipalen und deren Sicherheitsrollen in Datenbanken, Tabellen, externen Tabellen, materialisierten Ansichten und Funktionen verwendet werden.
Hinweis
Die Sicherheitsrollen von AllDatabasesAdmin, AllDatabasesViewer können nicht mit Sicherheitsrollenverwaltungsbefehlen konfiguriert werden. Sie werden bzw. von den Admin Rollen Viewer im Arbeitsbereich geerbt.
Hinweis
Die drei Sicherheitsrollen auf Clusterebene von AllDatabasesAdmin, AllDatabasesViewerund AllDatabasesMonitor können nicht mit Sicherheitsrollenverwaltungsbefehlen konfiguriert werden.
Informationen zum Konfigurieren im Azure-Portal finden Sie unter "Verwalten von Clusterberechtigungen".
Befehle für Verwaltung
In der folgenden Tabelle werden die Befehle beschrieben, die zum Verwalten von Sicherheitsrollen verwendet werden.
| Befehl | BESCHREIBUNG |
|---|---|
.show |
Listet Prinzipale mit der angegebenen Rolle auf. |
.add |
Fügt der Rolle einen oder mehrere Prinzipale hinzu. |
.drop |
Entfernt einen oder mehrere Prinzipale aus der Rolle. |
.set |
Legt die Rolle auf die bestimmte Liste der Prinzipale fest, wobei alle vorherigen entfernt werden. |
Sicherheitsrollen
In der folgenden Tabelle wird die Zugriffsebene beschrieben, die für jede Rolle gewährt wird, und es wird eine Überprüfung angezeigt, ob die Rolle innerhalb des angegebenen Objekttyps zugewiesen werden kann.
| Rolle | Erlaubnisse | Datenbanken | Tabellen | Externe Tabellen | Materialisierte Ansichten | Funktionen |
|---|---|---|---|---|---|---|
admins |
Anzeigen, Ändern und Entfernen des Objekts und Unterobjekts. | ✔️ | ✔️ | ✔️ | ✔️ | ✔️ |
users |
Zeigen Sie das Objekt an, und erstellen Sie neue Unterobjekte. | ✔️ | ||||
viewers |
Zeigen Sie das Objekt an, in dem RestrictedViewAccess nicht aktiviert ist. | ✔️ | ||||
unrestrictedviewers |
Zeigen Sie das Objekt an, auch wenn RestrictedViewAccess aktiviert ist. Der Prinzipal muss auch über Berechtigungen viewers oder users Berechtigungen verfügenadmins. |
✔️ | ||||
ingestors |
Aufnehmen von Daten an das Objekt ohne Zugriff auf Abfrage. | ✔️ | ✔️ | |||
monitors |
Zeigen Sie Metadaten wie Schemas, Vorgänge und Berechtigungen an. | ✔️ |
Eine vollständige Beschreibung der Sicherheitsrollen in jedem Bereich finden Sie unter Kusto rollenbasierte Zugriffssteuerung.
Hinweis
Es ist nicht möglich, die viewer Rolle nur für einige Tabellen in der Datenbank zuzuweisen. Unterschiedliche Ansätze zum Gewähren eines Prinzipalansichtszugriffs auf eine Teilmenge von Tabellen finden Sie unter Verwalten des Tabellenansichtszugriffs.
Häufige Szenarien
Anzeigen Ihrer Hauptrollen
Führen Sie den folgenden Befehl aus, um Ihre eigenen Rollen im Cluster anzuzeigen:
Um Ihre eigenen Rollen im Eventhouse anzuzeigen, führen Sie den folgenden Befehl aus:
.show cluster principal roles
Anzeigen Ihrer Rollen für eine Ressource
Um die Ihnen für eine bestimmte Ressource zugewiesenen Rollen zu überprüfen, führen Sie den folgenden Befehl in der relevanten Datenbank oder der Datenbank aus, die die Ressource enthält:
// For a database:
.show database DatabaseName principal roles
// For a table:
.show table TableName principal roles
// For an external table:
.show external table ExternalTableName principal roles
// For a function:
.show function FunctionName principal roles
// For a materialized view:
.show materialized-view MaterializedViewName principal roles
Anzeigen der Rollen aller Prinzipale für eine Ressource
Um die Rollen anzuzeigen, die allen Prinzipale für eine bestimmte Ressource zugewiesen sind, führen Sie den folgenden Befehl in der relevanten Datenbank oder in der Datenbank aus, die die Ressource enthält:
// For a database:
.show database DatabaseName principals
// For a table:
.show table TableName principals
// For an external table:
.show external table ExternalTableName principals
// For a function:
.show function FunctionName principals
// For a materialized view:
.show materialized-view MaterializedViewName principals
Tipp
Verwenden Sie den " where "-Operator, um die Ergebnisse nach einem bestimmten Prinzipal oder einer bestimmten Rolle zu filtern.
Von Bedeutung
Wenn sich der Prinzipal im selben Mandanten wie der Benutzer befindet, wird sein vollqualifizierter Name (Fully Qualified Name, FQN) angezeigt.
Wenn sich der Prinzipal in einem anderen Mandanten als der Benutzer befindet:
- Der Anzeigename zeigt den FQN nicht an.
- Der Anzeigename gibt an, dass der Prinzipal von einem anderen Mandanten stammt. Das Format ist
[User/Group/Application] from AAD tenant [Tenant Id]. - Um identifizierende Informationen hinzuzufügen, weisen Sie dem Prinzipal eine Rolle in ihrem Mandanten zu, und verwenden Sie den
DescriptionParameter, um identifizierende Details hinzuzufügen. DiesDescriptionwird in der Spalte "Notizen " der Ausgabe angezeigt.
Ändern der Rollenzuweisungen
Ausführliche Informationen zum Ändern Ihrer Rollenzuweisungen auf Datenbank- und Tabellenebene finden Sie unter Verwalten von Datenbanksicherheitsrollen und Verwalten von Tabellensicherheitsrollen.