Rollenbasierte Zugriffssteuerung
Gilt für: ✅Microsoft Fabric✅Azure Data Explorer
Azure Data Explorer verwendet ein rollenbasiertes Zugriffssteuerungsmodell (RBAC), in dem Prinzipale basierend auf ihren zugewiesenen Rollen Zugriff auf Ressourcen erhalten. Rollen werden für einen bestimmten Cluster, eine bestimmte Datenbank, eine Tabelle, eine externe Tabelle, eine materialisierte Sicht oder eine bestimmte Funktion definiert. Wenn sie für einen Cluster definiert ist, gilt die Rolle für alle Datenbanken im Cluster. Wenn sie für eine Datenbank definiert ist, gilt die Rolle für alle Entitäten in der Datenbank.
Azure Resource Manager (ARM)-Rollen, z. B. Abonnementbesitzer oder Clusterbesitzer, gewähren Zugriffsberechtigungen für die Ressourcenverwaltung. Für die Datenverwaltung benötigen Sie die in diesem Dokument beschriebenen Rollen.
Hinweis
Zum Löschen einer Datenbank benötigen Sie mindestens Arm-Berechtigungen für Mitwirkende für den Cluster. Informationen zum Zuweisen von ARM-Berechtigungen finden Sie unter Zuweisen von Azure-Rollen mithilfe des Azure-Portal.
Echtzeitintelligenz in Fabric verwendet ein hybrides rollenbasiertes Zugriffssteuerungsmodell (RBAC), bei dem Prinzipale basierend auf ihren zugewiesenen Rollen, die von einem oder beiden Quellen gewährt werden, Zugriff auf Ressourcen erhalten: Fabric- und Kusto-Verwaltungsbefehle. Der Benutzer verfügt über die Vereinigung der Rollen, die aus beiden Quellen gewährt werden.
Innerhalb von Fabric können Rollen zugewiesen oder geerbt werden, indem sie eine Rolle in einem Arbeitsbereich zuweisen oder ein bestimmtes Element basierend auf dem Elementberechtigungsmodell freigeben.
Fabric-Rollen
| Role | Berechtigungen, die für Elemente erteilt wurden |
|---|---|
| Arbeitsbereichsadministrator | Administrator-RBAC-Rolle für alle Elemente im Arbeitsbereich. |
| Arbeitsbereichsmitglied | Administrator-RBAC-Rolle für alle Elemente im Arbeitsbereich. |
| Arbeitsbereichsmitwirkender | Administrator-RBAC-Rolle für alle Elemente im Arbeitsbereich. |
| Arbeitsbereichsanzeige | Viewer-RBAC-Rolle für alle Elemente im Arbeitsbereich. |
| Element-Editor | Administrator-RBAC-Rolle für das Element. |
| Elementanzeige | RBAC-Rolle des Viewers für das Element. |
Rollen können auf der Datenebene für eine bestimmte Datenbank, Tabelle, externe Tabelle, materialisierte Ansicht oder Funktion mithilfe von Verwaltungsbefehlen weiter definiert werden. In beiden Fällen werden Rollen, die auf einer höheren Ebene (Arbeitsbereich, Eventhouse) angewendet werden, von niedrigeren Ebenen geerbt (Datenbank, Tabelle).
Rollen und Berechtigungen
In der folgenden Tabelle sind die Rollen und Berechtigungen aufgeführt, die in jedem Bereich verfügbar sind.
In der Spalte "Berechtigungen" wird der Zugriff angezeigt, der jeder Rolle gewährt wird.
In der Spalte "Abhängigkeiten" sind die Mindestrollen aufgeführt, die zum Abrufen der Rolle in dieser Zeile erforderlich sind. Um z. B. ein Tabellenadministrator zu werden, müssen Sie zuerst über eine Rolle wie Datenbankbenutzer oder eine Rolle verfügen, die die Berechtigungen des Datenbankbenutzers enthält, z. B. "Datenbankadministrator" oder "AllDatabasesAdmin". Wenn mehrere Rollen in der Spalte "Abhängigkeiten" aufgeführt sind, ist nur eine davon erforderlich, um die Rolle zu erhalten.
Die Spalte "Wie die Rolle abgerufen wird" bietet Möglichkeiten, wie die Rolle gewährt oder geerbt werden kann.
Die Spalte "Verwalten" bietet Möglichkeiten zum Hinzufügen oder Entfernen von Rollenprinzipalen.
| `Scope` | Rolle | Berechtigungen | Abhängigkeiten | Verwalten |
|---|---|---|---|---|
| Cluster | AllDatabasesAdmin | Vollständige Berechtigung für alle Datenbanken im Cluster. Kann bestimmte Richtlinien auf Clusterebene anzeigen und ändern. Enthält alle Berechtigungen. | Azure portal | |
| Cluster | AllDatabasesViewer | Alle Daten und Metadaten einer beliebigen Datenbank im Cluster lesen. | Azure portal | |
| Cluster | AllDatabasesMonitor | Führen Sie .show Befehle im Kontext einer beliebigen Datenbank im Cluster aus. |
Azure portal | |
| Datenbank | Administrator | Vollständige Berechtigung im Bereich einer bestimmten Datenbank. Enthält alle Berechtigungen auf niedrigerer Ebene. | Azure-Portal- oder Verwaltungsbefehle | |
| Datenbank | Benutzer | Alle Daten und Metadaten der Datenbank lesen. Erstellen Sie Tabellen und Funktionen, und werden Sie der Administrator für diese Tabellen und Funktionen. | Azure-Portal- oder Verwaltungsbefehle | |
| Datenbank | Zuschauer | Alle Daten und Metadaten lesen, mit Ausnahme von Tabellen mit aktivierter RestrictedViewAccess-Richtlinie . | Azure-Portal- oder Verwaltungsbefehle | |
| Datenbank | Unrestrictedviewer | Alle Daten und Metadaten lesen, einschließlich in Tabellen mit aktivierter RestrictedViewAccess-Richtlinie . | Datenbankbenutzer oder Datenbankanzeige | Azure-Portal- oder Verwaltungsbefehle |
| Datenbank | Ingestor | Daten in alle Tabellen in der Datenbank aufnehmen, ohne zugriff auf die Daten abzufragen. | Azure-Portal- oder Verwaltungsbefehle | |
| Datenbank | Monitor | Führen Sie .show Befehle im Kontext der Datenbank und ihrer untergeordneten Entitäten aus. |
Azure-Portal- oder Verwaltungsbefehle | |
| Tabelle | Administrator | Vollständige Berechtigung im Bereich einer bestimmten Tabelle. | Datenbankbenutzer | Verwaltungsbefehle |
| Tabelle | Ingestor | Nehmen Sie Daten ohne Zugriff auf die Daten in die Tabelle ein. | Datenbankbenutzer oder Datenbankingestor | Verwaltungsbefehle |
| Externe Tabelle | Administrator | Vollständige Berechtigung im Bereich einer bestimmten externen Tabelle. | Datenbankbenutzer oder Datenbankanzeige | Verwaltungsbefehle |
| Materialisierte Sicht | Administrator | Vollständige Berechtigung zum Ändern der Ansicht, Löschen der Ansicht und Erteilen von Administratorberechtigungen für einen anderen Prinzipal. | Datenbankbenutzer oder Tabellenadministrator | Verwaltungsbefehle |
| Funktion | Administrator | Vollständige Berechtigung zum Ändern der Funktion, Löschen der Funktion und Erteilen von Administratorberechtigungen für einen anderen Prinzipal. | Datenbankbenutzer oder Tabellenadministrator | Verwaltungsbefehle |
| `Scope` | Rolle | Berechtigungen | Wie die Rolle abgerufen wird |
|---|---|---|---|
| Eventhouse | AllDatabasesAdmin | Vollständige Berechtigung für alle Datenbanken im Eventhouse. Kann bestimmte Richtlinien auf Eventhouse-Ebene anzeigen und ändern. Enthält alle Berechtigungen. | – Geerbt als Arbeitsbereichsadministrator, Arbeitsbereichsmitglied oder Arbeitsbereichsmitwirkender. Kann nicht mit Verwaltungsbefehlen zugewiesen werden. |
| Datenbank | Administrator | Vollständige Berechtigung im Bereich einer bestimmten Datenbank. Enthält alle Berechtigungen auf niedrigerer Ebene. | – Geerbt als Arbeitsbereichsadministrator, Arbeitsbereichsmitglied oder Arbeitsbereichsmitwirkender - Element, das mit Bearbeitungsberechtigungen geteilt wurde . – Zugewiesen mit Verwaltungsbefehlen |
| Datenbank | Benutzer | Alle Daten und Metadaten der Datenbank lesen. Erstellen Sie Tabellen und Funktionen, und werden Sie der Administrator für diese Tabellen und Funktionen. | – Zugewiesen mit Verwaltungsbefehlen |
| Datenbank | Zuschauer | Alle Daten und Metadaten lesen, mit Ausnahme von Tabellen mit aktivierter RestrictedViewAccess-Richtlinie . | - Element, das mit Anzeigeberechtigungen geteilt wurde . – Zugewiesen mit Verwaltungsbefehlen |
| Datenbank | Unrestrictedviewer | Alle Daten und Metadaten lesen, einschließlich in Tabellen mit aktivierter RestrictedViewAccess-Richtlinie . | – Zugewiesen mit Verwaltungsbefehlen. Abhängig davon, dass Datenbankbenutzer oder Datenbank-Viewer vorhanden ist. |
| Datenbank | Ingestor | Daten in alle Tabellen in der Datenbank aufnehmen, ohne zugriff auf die Daten abzufragen. | – Zugewiesen mit Verwaltungsbefehlen |
| Datenbank | Monitor | Führen Sie .show Befehle im Kontext der Datenbank und ihrer untergeordneten Entitäten aus. |
– Zugewiesen mit Verwaltungsbefehlen |
| Tabelle | Administrator | Vollständige Berechtigung im Bereich einer bestimmten Tabelle. | – Geerbt als Arbeitsbereichsadministrator, Arbeitsbereichsmitglied oder Arbeitsbereichsmitwirkender – Übergeordnetes Element (KQL-Datenbank), das mit Bearbeitungsberechtigungen geteilt wurde . – Zugewiesen mit Verwaltungsbefehlen. Abhängig davon, dass der Datenbankbenutzer in der übergeordneten Datenbank vorhanden ist. |
| Tabelle | Ingestor | Nehmen Sie Daten ohne Zugriff auf die Daten in die Tabelle ein. | – Zugewiesen mit Verwaltungsbefehlen. Abhängig davon, dass Datenbankbenutzer oder Datenbankingestor in der übergeordneten Datenbank vorhanden ist. |
| Externe Tabelle | Administrator | Vollständige Berechtigung im Bereich einer bestimmten externen Tabelle. | – Zugewiesen mit Verwaltungsbefehlen. Abhängig davon, dass Datenbankbenutzer oder Datenbank-Viewer in der übergeordneten Datenbank vorhanden ist. |
| Materialisierte Sicht | Administrator | Vollständige Berechtigung zum Ändern der Ansicht, Löschen der Ansicht und Erteilen von Administratorberechtigungen für einen anderen Prinzipal. | – Geerbt als Arbeitsbereichsadministrator, Arbeitsbereichsmitglied oder Arbeitsbereichsmitwirkender – Übergeordnetes Element (KQL-Datenbank), das mit Bearbeitungsberechtigungen geteilt wurde . – Zugewiesen mit Verwaltungsbefehlen. Abhängig davon, dass Datenbankbenutzer oder Tabellenadministrator für die übergeordneten Elemente verwendet werden. |
| Funktion | Administrator | Vollständige Berechtigung zum Ändern der Funktion, Löschen der Funktion und Erteilen von Administratorberechtigungen für einen anderen Prinzipal. | – Geerbt als Arbeitsbereichsadministrator, Arbeitsbereichsmitglied oder Arbeitsbereichsmitwirkender – Übergeordnetes Element (KQL-Datenbank), das mit Bearbeitungsberechtigungen geteilt wurde . – Zugewiesen mit Verwaltungsbefehlen. Abhängig davon, dass Datenbankbenutzer oder Tabellenadministrator für die übergeordneten Elemente verwendet werden. |