Vue d'ensemble des rôles de sécurité
Les principaux se voient accorder l’accès aux ressources par le biais d’un modèle de contrôle d’accès en fonction du rôle, où leurs rôles de sécurité attribués déterminent leur accès aux ressources.
Lorsqu’un principal tente une opération, le système effectue une case activée d’autorisation pour s’assurer que le principal est associé à au moins un rôle de sécurité qui accorde des autorisations pour effectuer l’opération. L’échec d’une autorisation case activée annule l’opération.
Les commandes de gestion répertoriées dans cet article peuvent être utilisées pour gérer les principaux et leurs rôles de sécurité sur des bases de données, des tables, des tables externes, des vues matérialisées et des fonctions.
Notes
Les trois rôles de sécurité au niveau du cluster de AllDatabasesAdmin, AllDatabasesVieweret AllDatabasesMonitor ne peuvent pas être configurés avec des commandes de gestion des rôles de sécurité. Pour savoir comment les configurer dans le Portail Azure, consultez Gérer les autorisations de cluster.
Commandes de gestion
Le tableau suivant décrit les commandes utilisées pour la gestion des rôles de sécurité.
| Commande | Description |
|---|---|
.show |
Listes principaux avec le rôle donné. |
.add |
Ajoute un ou plusieurs principaux au rôle. |
.drop |
Supprime un ou plusieurs principaux du rôle. |
.set |
Définit le rôle sur la liste spécifique des principaux, en supprimant tous les principaux précédents. |
Rôles de sécurité
Le tableau suivant décrit le niveau d’accès accordé pour chaque rôle et affiche une case activée si le rôle peut être attribué dans le type d’objet donné.
| Role | Autorisations | Bases de données | Tables | Tables externes | Vues matérialisées | Fonctions |
|---|---|---|---|---|---|---|
admins |
Affichez, modifiez et supprimez l’objet et les sous-objets. | ✔️ | ✔️ | ✔️ | ✔️ | ✔️ |
users |
Affichez l’objet et créez des sous-objets. | ✔️ | ||||
viewers |
Affichez l’objet sur lequel RestrictedViewAccess n’est pas activé. | ✔️ | ||||
unrestrictedviewers |
Affichez l’objet même là où RestrictedViewAccess est activé. Le principal doit également disposer des adminsautorisations ou viewersusers . |
✔️ | ||||
ingestors |
Ingérer des données dans l’objet sans accéder à la requête. | ✔️ | ✔️ | |||
monitors |
Affichez les métadonnées telles que les schémas, les opérations et les autorisations. | ✔️ |
Pour obtenir une description complète des rôles de sécurité à chaque étendue, consultez Contrôle d’accès en fonction du rôle Kusto.
Notes
Il n’est pas possible d’attribuer le viewer rôle uniquement pour certaines tables de la base de données. Pour obtenir différentes approches sur la façon d’accorder à une vue principale l’accès à un sous-ensemble de tables, consultez Gérer l’accès à la vue table.
Scénarios courants
Afficher vos rôles sur le cluster
Pour afficher vos propres rôles sur le cluster, exécutez la commande suivante :
.show cluster principal roles
Afficher vos rôles sur une ressource
Pour case activée les rôles qui vous ont été attribués sur une ressource spécifique, exécutez la commande suivante dans la base de données appropriée ou dans la base de données qui contient la ressource :
// For a database:
.show database DatabaseName principal roles
// For a table:
.show table TableName principal roles
// For an external table:
.show external table ExternalTableName principal roles
// For a function:
.show function FunctionName principal roles
// For a materialized view:
.show materialized-view MaterializedViewName principal roles
Afficher les rôles de tous les principaux sur une ressource
Pour afficher les rôles attribués à tous les principaux pour une ressource particulière, exécutez la commande suivante dans la base de données appropriée ou dans la base de données qui contient la ressource :
// For a database:
.show database DatabaseName principals
// For a table:
.show table TableName principals
// For an external table:
.show external table ExternalTableName principals
// For a function:
.show function FunctionName principals
// For a materialized view:
.show materialized-view MaterializedViewName principals
Conseil
Utilisez l’opérateur where pour filtrer les résultats en fonction d’un principal ou d’un rôle spécifique.
Modifier les attributions de rôles
Pour plus d’informations sur la modification de vos attributions de rôles au niveau de la base de données et de la table, consultez Gérer les rôles de sécurité de base de données et Gérer les rôles de sécurité de table.
Contenu connexe
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour