Control de acceso basado en rol
Se aplica a: ✅Microsoft Fabric✅Azure Data Explorer
Azure Data Explorer usa un modelo de control de acceso basado en rol (RBAC) en el que las entidades de seguridad obtienen acceso a los recursos en función de sus roles asignados . Los roles se definen para un clúster específico, una base de datos, una tabla, una tabla externa, una vista materializada o una función. Cuando se define para un clúster, el rol se aplica a todas las bases de datos del clúster. Cuando se define para una base de datos, el rol se aplica a todas las entidades de la base de datos.
Los roles de Azure Resource Manager (ARM), como el propietario de la suscripción o el propietario del clúster, conceden permisos de acceso para la administración de recursos. Para la administración de datos, necesita los roles descritos en este documento.
Nota:
Para eliminar una base de datos, necesita al menos permisos arm de colaborador en el clúster. Para asignar permisos de ARM, consulte Asignación de roles de Azure mediante Azure Portal.
La inteligencia en tiempo real de Fabric usa un modelo de control de acceso basado en rol (RBAC) híbrido en el que las entidades de seguridad obtienen acceso a los recursos en función de sus roles asignados concedidos desde uno o ambos orígenes: Fabric y comandos de administración de Kusto. El usuario tendrá la unión de los roles concedidos desde ambos orígenes.
Dentro de Fabric, los roles se pueden asignar o heredar mediante la asignación de un rol en un área de trabajo o mediante el uso compartido de un elemento específico basado en el modelo de permisos de elemento.
Roles de tejido
| Role | Permisos concedidos en elementos |
|---|---|
| Administrador del área de trabajo | Rol RBAC de administrador en todos los elementos del área de trabajo. |
| Miembro del área de trabajo | Rol RBAC de administrador en todos los elementos del área de trabajo. |
| Colaborador del área de trabajo | Rol RBAC de administrador en todos los elementos del área de trabajo. |
| Visor del área de trabajo | Rol RBAC del visor en todos los elementos del área de trabajo. |
| Editor de elementos | Rol RBAC de administrador en el elemento. |
| Visor de elementos | Rol RBAC del visor en el elemento. |
Los roles se pueden definir aún más en el plano de datos de una base de datos específica, una tabla, una tabla externa, una vista materializada o una función mediante comandos de administración. En ambos casos, los roles aplicados en un nivel superior (Workspace, Eventhouse) se heredan por niveles inferiores (Base de datos, Tabla).
Roles y permisos
En la tabla siguiente se describen los roles y permisos disponibles en cada ámbito.
La columna Permisos muestra el acceso concedido a cada rol.
En la columna Dependencias se enumeran los roles mínimos necesarios para obtener el rol de esa fila. Por ejemplo, para convertirse en administrador de tablas, primero debe tener un rol como Usuario de base de datos o un rol que incluya los permisos de Usuario de base de datos, como Administrador de base de datos o AllDatabasesAdmin. Cuando se muestran varios roles en la columna Dependencias , solo se necesita uno de ellos para obtener el rol.
La columna Cómo se obtiene el rol ofrece formas en que se puede conceder o heredar el rol.
La columna Administrar ofrece formas de agregar o quitar entidades de seguridad de rol.
| Ámbito | Rol | Permisos | Dependencias | Administración |
|---|---|---|---|---|
| Clúster | AllDatabasesAdmin | Permiso completo para todas las bases de datos del clúster. Puede mostrar y modificar determinadas directivas de nivel de clúster. Incluye todos los permisos. | Azure Portal | |
| Clúster | AllDatabasesViewer | Lea todos los datos y metadatos de cualquier base de datos del clúster. | Azure Portal | |
| Clúster | AllDatabasesMonitor | Ejecute .show comandos en el contexto de cualquier base de datos del clúster. |
Azure Portal | |
| Base de datos | Administración | Permiso completo en el ámbito de una base de datos determinada. Incluye todos los permisos de nivel inferior. | Comandos de administración o Azure Portal | |
| Base de datos | Usuario | Lea todos los datos y metadatos de la base de datos. Cree tablas y funciones y conviértase en el administrador de esas tablas y funciones. | Comandos de administración o Azure Portal | |
| Base de datos | Espectador | Lea todos los datos y metadatos, excepto las tablas con la directiva RestrictedViewAccess activada. | Comandos de administración o Azure Portal | |
| Base de datos | Unrestrictedviewer | Lea todos los datos y metadatos, incluidos en tablas con la directiva RestrictedViewAccess activada. | Usuario de base de datos o Visor de bases de datos | Comandos de administración o Azure Portal |
| Base de datos | Agente de ingesta | Ingerir datos en todas las tablas de la base de datos sin acceso para consultar los datos. | Comandos de administración o Azure Portal | |
| Base de datos | Monitor | Ejecute .show comandos en el contexto de la base de datos y sus entidades secundarias. |
Comandos de administración o Azure Portal | |
| Tabla | Administración | Permiso completo en el ámbito de una tabla determinada. | Usuario de la base de datos | comandos de administración |
| Tabla | Agente de ingesta | Ingerir datos en la tabla sin acceso para consultar los datos. | Usuario de base de datos o ingeror de base de datos | comandos de administración |
| Tabla externa | Administración | Permiso completo en el ámbito de una tabla externa determinada. | Usuario de base de datos o Visor de bases de datos | comandos de administración |
| Vista materializada | Administración | Permiso completo para modificar la vista, eliminar la vista y conceder permisos de administrador a otra entidad de seguridad. | Usuario de base de datos o administrador de tablas | comandos de administración |
| Función | Administración | Permiso completo para modificar la función, eliminar la función y conceder permisos de administrador a otra entidad de seguridad. | Usuario de base de datos o administrador de tablas | comandos de administración |
| Ámbito | Rol | Permisos | Cómo se obtiene el rol |
|---|---|---|---|
| Eventhouse | AllDatabasesAdmin | Permiso completo para todas las bases de datos de Eventhouse. Puede mostrar y modificar determinadas directivas de nivel de Eventhouse. Incluye todos los permisos. | : se hereda como administrador del área de trabajo, miembro del área de trabajo o colaborador del área de trabajo. No se puede asignar con comandos de administración. |
| Base de datos | Administración | Permiso completo en el ámbito de una base de datos determinada. Incluye todos los permisos de nivel inferior. | : se hereda como administrador del área de trabajo, miembro del área de trabajo o colaborador del área de trabajo. - Elemento compartido con permisos de edición. - Asignado con comandos de administración |
| Base de datos | Usuario | Lea todos los datos y metadatos de la base de datos. Cree tablas y funciones y conviértase en el administrador de esas tablas y funciones. | - Asignado con comandos de administración |
| Base de datos | Espectador | Lea todos los datos y metadatos, excepto las tablas con la directiva RestrictedViewAccess activada. | - Elemento compartido con permisos de visualización. - Asignado con comandos de administración |
| Base de datos | Unrestrictedviewer | Lea todos los datos y metadatos, incluidos en tablas con la directiva RestrictedViewAccess activada. | - Asignado con comandos de administración. Depende de tener el usuario de base de datos o el Visor de bases de datos. |
| Base de datos | Agente de ingesta | Ingerir datos en todas las tablas de la base de datos sin acceso para consultar los datos. | - Asignado con comandos de administración |
| Base de datos | Monitor | Ejecute .show comandos en el contexto de la base de datos y sus entidades secundarias. |
- Asignado con comandos de administración |
| Tabla | Administración | Permiso completo en el ámbito de una tabla determinada. | : se hereda como administrador del área de trabajo, miembro del área de trabajo o colaborador del área de trabajo. - Elemento primario (base de datos KQL) compartido con permisos de edición. - Asignado con comandos de administración. Depende de tener el usuario de base de datos en la base de datos primaria. |
| Tabla | Agente de ingesta | Ingerir datos en la tabla sin acceso para consultar los datos. | - Asignado con comandos de administración. Depende de tener el usuario de base de datos o el ingeror de base de datos en la base de datos primaria. |
| Tabla externa | Administración | Permiso completo en el ámbito de una tabla externa determinada. | - Asignado con comandos de administración. Depende de tener el usuario de base de datos o el Visor de bases de datos en la base de datos primaria. |
| Vista materializada | Administración | Permiso completo para modificar la vista, eliminar la vista y conceder permisos de administrador a otra entidad de seguridad. | : se hereda como administrador del área de trabajo, miembro del área de trabajo o colaborador del área de trabajo. - Elemento primario (base de datos KQL) compartido con permisos de edición. - Asignado con comandos de administración. Depende de tener el usuario de base de datos o el administrador de tablas en los elementos primarios. |
| Función | Administración | Permiso completo para modificar la función, eliminar la función y conceder permisos de administrador a otra entidad de seguridad. | : se hereda como administrador del área de trabajo, miembro del área de trabajo o colaborador del área de trabajo. - Elemento primario (base de datos KQL) compartido con permisos de edición. - Asignado con comandos de administración. Depende de tener el usuario de base de datos o el administrador de tablas en los elementos primarios. |