Share via

Berechtigungen

  • Artikel

Azure Cosmos DB ist eine global verteilte Datenbank mit mehreren Modellen, die die Dokument-, Graph- und Schlüssel-Wert-Datenmodelle unterstützt. Der Inhalt in diesem Abschnitt dient zum Verwalten von Berechtigungsressourcen mithilfe der SQL-API über REST.

Eine Berechtigung ist ein Autorisierungstoken, das einem Benutzer für den autorisierten Zugriff auf eine bestimmte Ressource zugewiesen wird. Es wird verwendet, um den Zugriff auf Auflistungen, Dokumente, Anlagen, gespeicherte Prozeduren, Trigger und benutzerdefinierte Funktionen für einen bestimmten Benutzer zu verwalten.

Sie können nur eine Berechtigung für eine bestimmte Ressource für einen Benutzer zuordnen. Beispielsweise kann MarketingCollection mit der ID "permision2" nur einer Berechtigung für den Benutzer JanetSmith@contoso.comzugeordnet werden. Der Versuch, "MarketingCollection" eine andere Berechtigung für Janet hinzuzufügen, führt zu einem Fehler ("409 Conflict").

Es gibt nur zwei Berechtigungsmodi: Alle und Lesen. Der Modus "Alle " bietet Lese-, Schreib- und Löschzugriff auf eine Ressource. Der Lesemodus bietet schreibgeschützten Zugriff auf eine Ressource. Wenn eine GET-, PUT- oder POST-Anforderung für eine Berechtigung ausgeführt wird, wird jedes Mal ein Ressourcentoken erstellt. Standardmäßig beträgt der Gültigkeitszeitraum eines Ressourcentokens eine Stunde und kann auf bis zu 5 Stunden verlängert werden, indem der gewünschte Wert in der x-ms-documentdb-expiry-seconds Headereinstellung angegeben wird. Informationen zum Festlegen dieses Headers finden Sie im Abschnitt Header des Artikels Erstellen einer Berechtigung . Die Gültigkeitsdauer kann bis zu fünf Stunden verlängert werden. Das folgende Beispiel zeigt das JSON-Konstrukt einer Berechtigung:

{  
   "id":"permision2",  
   "permissionMode":"All",  
   "resource":"dbs/ruJjAA==/colls/ruJjAM9UnAA=/",  
   "_rid":"ruJjAFjqQABUp3QAAAAAAA==",  
   "_ts":1408237846,  
   "_self":"dbs/ruJjAA==/users/ruJjAFjqQAA=/permissions/ruJjAFjqQABUp3QAAAAAAA==/",  
   "_etag":"00004900-0000-0000-0000-53f001160000",  
   "_token":"type=resource&ver=1&sig=m32/00W65F8ADb3psljJ0g==;v0kQGihedau1pVGGQmuPgzlEcfsYDWSdfn2kyjDc1qF1aZfPHXzIS/BFMcuZQRUr6C5c5PgiyCSwhiAgZMJne2DorfMbE/GUHmxBLjOnykLARqwn3zpZpz9b2axWtL8+qQFX81nocdEDvBVzFuobyul6QimbmeZ7D6D1K4qJT9feuJkIBfczeAp/sKaSupXEgB3qyih0rej5N6Wv14Gufohh1QTlCRIzK3FqQv4xjcY=;"  
}
Eigenschaft BESCHREIBUNG
id Erforderlich. Es handelt sich um eine vom Benutzer festgelegte Eigenschaft. Es ist der eindeutige Name, der die Berechtigung identifiziert, d. h., keine zwei Berechtigungen teilen dieselbe ID innerhalb eines Benutzers. Die ID darf 255 Zeichen nicht überschreiten.
permissionMode Erforderlich. Der Zugriffsmodus für die Ressource für den Benutzer: Alle oder Lesen. Alle bieten Lese-, Schreib- und Löschzugriff auf eine Ressource. Mithilfe von Read verfügt der Benutzer lediglich über Lesezugriff auf die Ressource.
resource Erforderlich. Der vollständige adressierbare Pfad der Ressource, der der Berechtigung zugeordnet ist. Beispiel: dbs/ruJjAA==/colls/ruJjAM9UnAA=/.
_los Es handelt sich um eine vom System generierte Eigenschaft. Die Ressourcen-ID (_rid) ist ein eindeutiger Bezeichner, der auch für den Ressourcenstapel im Ressourcenmodell hierarchisch ist. Sie wird intern für die Platzierung und Navigation der Berechtigungsressource verwendet.
_Ts Es handelt sich um eine vom System generierte Eigenschaft. Sie gibt den zuletzt aktualisierten Zeitstempel der Ressource an. Der Wert ist ein Zeitstempel.
_Selbst Es handelt sich um eine vom System generierte Eigenschaft. Es handelt sich um den eindeutigen, adressierbaren URI für die Ressource.
_Etag Es handelt sich um eine vom System generierte Eigenschaft, die das Ressourcen-etag angibt, das für die Steuerung der optimistischen Parallelität erforderlich ist.
_Token Es handelt sich um ein vom System generiertes Ressourcentoken für die jeweilige Ressource und den jeweiligen Benutzer.

Aufgaben

Sie können die folgenden Aufgaben mit Berechtigungen ausführen:

Weitere Informationen