Control de acceso basado en rol de Kusto
Kusto usa un modelo de control de acceso basado en rol (RBAC) en el que las entidades de seguridad obtienen acceso a los recursos en función de sus roles asignados . Los roles se definen para un clúster específico, una base de datos, una tabla, una tabla externa, una vista materializada o una función. Cuando se define para un clúster, el rol se aplica a todas las bases de datos del clúster. Cuando se define para una base de datos, el rol se aplica a todas las entidades de la base de datos.
Los roles de Azure Resource Manager (ARM), como el propietario de la suscripción o el propietario del clúster, conceden permisos de acceso para la administración de recursos. Para la administración de datos, necesita los roles descritos en este documento.
Nota:
Para eliminar una base de datos, necesita al menos permisos arm de colaborador en el clúster. Para asignar permisos de ARM, consulte Asignación de roles de Azure mediante el Azure Portal.
Roles y permisos
En la tabla siguiente se describen los roles y permisos disponibles en cada ámbito.
La columna Permisos muestra el acceso concedido a cada rol.
En la columna Dependencias se enumeran los roles mínimos necesarios para obtener el rol de esa fila. Por ejemplo, para convertirse en una tabla Administración, primero debe tener un rol como Usuario de base de datos o un rol que incluya los permisos de usuario de base de datos, como Database Administración o AllDatabasesAdmin. Cuando se muestran varios roles en la columna Dependencias , solo se necesita uno de ellos para obtener el rol.
La columna Administrar ofrece formas de agregar o quitar entidades de seguridad de rol.
| Ámbito | Rol | Permisos | Dependencias | Administrar |
|---|---|---|---|---|
| Clúster | AllDatabasesAdmin | Permiso completo para todas las bases de datos del clúster. Puede mostrar y modificar determinadas directivas de nivel de clúster. Incluye todos los permisos. | Azure Portal | |
| Clúster | AllDatabasesViewer | Lea todos los datos y metadatos de cualquier base de datos del clúster. | Azure Portal | |
| Clúster | AllDatabasesMonitor | Ejecute .show comandos en el contexto de cualquier base de datos del clúster. |
Azure Portal | |
| Base de datos | Administración | Permiso completo en el ámbito de una base de datos determinada. Incluye todos los permisos de nivel inferior. | Azure Portal o comandos de administración | |
| Base de datos | Usuario | Lea todos los datos y metadatos de la base de datos. Cree tablas y funciones y se convierta en el administrador de esas tablas y funciones. | Azure Portal o comandos de administración | |
| Base de datos | Visor | Lea todos los datos y metadatos, excepto las tablas con la directiva RestrictedViewAccess activada. | Azure Portal o comandos de administración | |
| Base de datos | Unrestrictedviewer | Lea todos los datos y metadatos, incluidos en tablas con la directiva RestrictedViewAccess activada. | Usuario de base de datos o Visor de bases de datos | Azure Portal o comandos de administración |
| Base de datos | Ingestor | Ingiera datos en todas las tablas de la base de datos sin acceso para consultar los datos. | Azure Portal o comandos de administración | |
| Base de datos | Monitor | Ejecute .show comandos en el contexto de la base de datos y sus entidades secundarias. |
Azure Portal o comandos de administración | |
| Tabla | Administración | Permiso completo en el ámbito de una tabla determinada. | Usuario de la base de datos | Comandos de administración |
| Tabla | Ingestor | Ingiera datos en la tabla sin acceso para consultar los datos. | Usuario de base de datos o ingeror de base de datos | Comandos de administración |
| Tabla externa | Administración | Permiso completo en el ámbito de una tabla externa determinada. | Usuario de base de datos o Visor de bases de datos | Comandos de administración |
| Vista materializada | Administración | Permiso completo para modificar la vista, eliminar la vista y conceder permisos de administrador a otra entidad de seguridad. | Usuario de base de datos o tabla Administración | Comandos de administración |
| Función | Administración | Permiso completo para modificar la función, eliminar la función y conceder permisos de administrador a otra entidad de seguridad. | Usuario de base de datos o tabla Administración | Comandos de administración |
Contenido relacionado
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de