Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Cosmos DB en Microsoft Fabric se basa principalmente en la autenticación de Microsoft Entra ID y los roles integrados del plano de datos para gestionar la autenticación y la autorización. En esta guía, configurará los roles de plano de datos integrados para una base de datos Cosmos DB en Fabric. Puede configurar el acceso a Cosmos DB mediante roles de área de trabajo en controles de acceso de Microsoft Fabric.
Los controles de acceso en dos niveles diferentes funcionan juntos. Por ejemplo, para conectarse a una base de datos, un usuario debe tener al menos el permiso de lectura en el elemento de la base de datos Fabric.
Controles de acceso
En Fabric, usted controla el acceso mediante los roles de área de trabajo de Fabric. Los roles del espacio de trabajo de Fabric gestionan quién puede hacer qué en un espacio de trabajo de Microsoft Fabric.
En primer lugar, Cosmos DB en Fabric tiene permisos de nivel de elemento con tres roles bien definidos:
| Capacidad | |
|---|---|
| Leer | Conectarse a la base de datos, leer elementos, consultar elementos, leer feed de cambios, listar contenedores, leer rendimiento y leer metadatos |
| ReadAll | La misma funcionalidad que Read y, además, lee datos reflejados directamente desde archivos OneLake. |
| Escribir | La misma funcionalidad que ReadAll y, además, crear contenedor, eliminar contenedor, crear elemento, eliminar elemento, modificar elemento |
Los roles de área de trabajo de Fabric se traducen en los siguientes permisos de nivel de elemento para los elementos de Cosmos DB en Fabric:
| Administrador | Miembro | Colaborador | Visor | |
|---|---|---|---|---|
| Leer | ✅ Sí | ✅ Sí | ✅ Sí | ✅ Sí |
| ReadAll | ✅ Sí | ✅ Sí | ✅ Sí | ✅ Sí |
| Escribir | ✅ Sí | ✅ Sí | ✅ Sí | ✖️ No |
Como otra perspectiva, esta tabla captura las funcionalidades comunes que los usuarios pueden requerir con la base de datos de Cosmos DB y las asigna al rol de área de trabajo correcto:
| Administrador | Miembro | Colaborador | Visor | |
|---|---|---|---|---|
| Acceso administrativo completo y acceso total a los datos | ✅ Sí | ✅ Sí | ✅ Sí | ✖️ No |
| Leer datos y metadatos | ✅ Sí | ✅ Sí | ✅ Sí | ✅ Sí |
| Conexión a la base de datos | ✅ Sí | ✅ Sí | ✅ Sí | ✅ Sí |
Sugerencia
Para obtener más información sobre cómo funcionan los roles dentro de las áreas de trabajo, consulte Roles en áreas de trabajo. Para obtener más información sobre cómo asignar roles de área de trabajo, consulte Concesión de acceso a los usuarios a las áreas de trabajo.
Mapeo en Azure
Si tiene experiencia con Azure Cosmos DB para NoSQL, puede asignar permisos de elemento de Fabric en Azure Cosmos DB a los roles integrados del plano de datos de ese servicio.
Los permisos de los elementos de la base de datos Cosmos DB son comparables a las siguientes asignaciones de roles del plano de datos con ámbito de la base de datos de Azure Cosmos DB.
| Rol de Azure Cosmos DB para NoSQL | Ámbito | |
|---|---|---|
| Leer | Cosmos DB Built-in Data Reader |
Base de datos |
| ReadAll | Cosmos DB Built-in Data Reader |
Base de datos |
| Escribir | Cosmos DB Built-in Data Contributor |
Base de datos |
O, si lo prefiere, puede asignar los permisos de control de acceso basado en roles de Azure.
| Rol de Azure Cosmos DB para NoSQL | Ámbito | |
|---|---|---|
| Leer | [ "Microsoft.DocumentDB/databaseAccounts/readMetadata", "Microsoft.DocumentDB/databaseAccounts/sqlDatabases/containers/items/read", "Microsoft.DocumentDB/databaseAccounts/sqlDatabases/containers/executeQuery", "Microsoft.DocumentDB/databaseAccounts/sqlDatabases/containers/readChangeFeed" ] |
Base de datos |
| ReadAll | [ "Microsoft.DocumentDB/databaseAccounts/readMetadata", "Microsoft.DocumentDB/databaseAccounts/sqlDatabases/containers/items/read", "Microsoft.DocumentDB/databaseAccounts/sqlDatabases/containers/executeQuery", "Microsoft.DocumentDB/databaseAccounts/sqlDatabases/containers/readChangeFeed" ] |
Base de datos |
| Escribir | [ "Microsoft.DocumentDB/databaseAccounts/readMetadata", "Microsoft.DocumentDB/databaseAccounts/sqlDatabases/containers/*", "Microsoft.DocumentDB/databaseAccounts/sqlDatabases/containers/items/*" ] |
Base de datos |
Nota:
Para más información sobre los roles de Azure Cosmos DB para NoSQL, consulte Seguridad del plano de datos de Azure Cosmos DB para NoSQL.