Kontrol Akses Berbasis Peran
Berlaku untuk: ✅Microsoft Fabric✅Azure Data Explorer
Azure Data Explorer menggunakan model kontrol akses berbasis peran (RBAC) di mana prinsipal mendapatkan akses ke sumber daya berdasarkan peran yang ditetapkan. Peran didefinisikan untuk kluster, database, tabel, tabel eksternal, tampilan materialisasi, atau fungsi tertentu. Ketika didefinisikan untuk kluster, peran berlaku untuk semua database dalam kluster. Saat ditentukan untuk database, peran berlaku untuk semua entitas dalam database.
Peran Azure Resource Manager (ARM), seperti pemilik langganan atau pemilik kluster, memberikan izin akses untuk administrasi sumber daya. Untuk administrasi data, Anda memerlukan peran yang dijelaskan dalam dokumen ini.
Catatan
Untuk menghapus database, Anda memerlukan setidaknya izin ARM Kontributor pada kluster. Untuk menetapkan izin ARM, lihat Menetapkan peran Azure menggunakan portal Azure.
Real-Time Intelligence in Fabric menggunakan model kontrol akses berbasis peran hibrid (RBAC) di mana prinsipal mendapatkan akses ke sumber daya berdasarkan peran yang ditetapkan yang diberikan dari satu atau kedua sumber: Fabric, dan perintah manajemen Kusto. Pengguna akan memiliki persatuan peran yang diberikan dari kedua sumber.
Dalam Fabric, peran dapat ditetapkan atau diwariskan dengan menetapkan peran di ruang kerja, atau dengan berbagi item tertentu berdasarkan model izin item.
Peran fabric
| Peran | Izin yang diberikan pada item |
|---|---|
| Admin Ruang Kerja | Peran RBAC admin pada semua item di ruang kerja. |
| Anggota Ruang Kerja | Peran RBAC admin pada semua item di ruang kerja. |
| Kontributor Ruang Kerja | Peran RBAC admin pada semua item di ruang kerja. |
| Penampil Ruang Kerja | Peran RBAC penampil pada semua item di ruang kerja. |
| Editor Item | Peran RBAC admin pada item. |
| Penampil Item | Peran RBAC penampil pada item. |
Peran selanjutnya dapat ditentukan pada bidang data untuk database, tabel, tabel eksternal, tampilan materialisasi, atau fungsi tertentu, dengan menggunakan perintah manajemen. Dalam kedua kasus, peran yang diterapkan pada tingkat yang lebih tinggi (Ruang Kerja, Eventhouse) diwarisi oleh tingkat yang lebih rendah (Database, Tabel).
Peran dan izin
Tabel berikut menguraikan peran dan izin yang tersedia di setiap cakupan.
Kolom Izin menampilkan akses yang diberikan untuk setiap peran.
Kolom Dependensi mencantumkan peran minimum yang diperlukan untuk mendapatkan peran dalam baris tersebut. Misalnya, untuk menjadi Admin Tabel, Anda harus terlebih dahulu memiliki peran seperti Pengguna Database atau peran yang menyertakan izin Pengguna Database, seperti Admin Database atau AllDatabasesAdmin. Ketika beberapa peran tercantum di kolom Dependensi , hanya satu dari mereka yang diperlukan untuk mendapatkan peran tersebut.
Kolom Bagaimana peran diperoleh menawarkan cara agar peran dapat diberikan atau diwariskan.
Kolom Kelola menawarkan cara untuk menambahkan atau menghapus prinsip peran.
| Cakupan | Peran | Izin | Dependensi | Kelola |
|---|---|---|---|---|
| Kluster | AllDatabasesAdmin | Izin penuh untuk semua database dalam kluster. Dapat menunjukkan dan mengubah kebijakan tingkat kluster tertentu. Mencakup semua izin. | Portal Azure | |
| Kluster | AllDatabasesViewer | Baca semua data dan metadata database apa pun di kluster. | Portal Azure | |
| Kluster | AllDatabasesMonitor | Jalankan .show perintah dalam konteks database apa pun dalam kluster. |
Portal Azure | |
| Database | Admin | Izin penuh dalam cakupan database tertentu. Memiliki semua izin tingkat yang lebih rendah. | portal Azure atau perintah manajemen | |
| Database | Pengguna | Membaca semua data dan metadata database. Buat tabel dan fungsi, dan menjadi admin untuk tabel dan fungsi tersebut. | portal Azure atau perintah manajemen | |
| Database | Penampil | Baca semua data dan metadata, kecuali untuk tabel dengan kebijakan RestrictedViewAccess diaktifkan. | portal Azure atau perintah manajemen | |
| Database | Penampil tidak dibatasi | Baca semua data dan metadata, termasuk dalam tabel dengan kebijakan RestrictedViewAccess diaktifkan. | Pengguna Database atau Penampil Database | portal Azure atau perintah manajemen |
| Database | Ingestor | Menyerap data ke semua tabel dalam database tanpa akses untuk mengkueri data. | portal Azure atau perintah manajemen | |
| Database | Monitor | Jalankan .show perintah dalam konteks database dan entitas anaknya. |
portal Azure atau perintah manajemen | |
| Tabel | Admin | Izin penuh dalam cakupan tabel tertentu. | Pengguna Database | perintah manajemen |
| Tabel | Ingestor | Menyerap data ke tabel tanpa akses untuk mengkueri data. | Pengguna Database atau Database Ingestor | perintah manajemen |
| Tabel Eksternal | Admin | Izin penuh dalam cakupan tabel eksternal tertentu. | Pengguna Database atau Penampil Database | perintah manajemen |
| Tampilan Materialisasi | Admin | Izin penuh untuk mengubah tampilan, menghapus tampilan, dan memberikan izin admin kepada prinsipal lain. | Pengguna Database atau Admin Tabel | perintah manajemen |
| Fungsi | Admin | Izin penuh untuk mengubah fungsi, menghapus fungsi, dan memberikan izin admin kepada prinsipal lain. | Pengguna Database atau Admin Tabel | perintah manajemen |
| Cakupan | Peran | Izin | Bagaimana peran diperoleh |
|---|---|---|---|
| Eventhouse | AllDatabasesAdmin | Izin penuh untuk semua database di Eventhouse. Dapat menunjukkan dan mengubah kebijakan tingkat Eventhouse tertentu. Mencakup semua izin. | - Diwarisi sebagai admin ruang kerja, anggota ruang kerja, atau kontributor ruang kerja. Tidak dapat ditetapkan dengan perintah manajemen. |
| Database | Admin | Izin penuh dalam cakupan database tertentu. Memiliki semua izin tingkat yang lebih rendah. | - Diwarisi sebagai admin ruang kerja, anggota ruang kerja, atau kontributor ruang kerja - Item yang dibagikan dengan izin pengeditan. - Ditetapkan dengan perintah manajemen |
| Database | Pengguna | Membaca semua data dan metadata database. Buat tabel dan fungsi, dan menjadi admin untuk tabel dan fungsi tersebut. | - Ditetapkan dengan perintah manajemen |
| Database | Penampil | Baca semua data dan metadata, kecuali untuk tabel dengan kebijakan RestrictedViewAccess diaktifkan. | - Item yang dibagikan dengan izin tampilan. - Ditetapkan dengan perintah manajemen |
| Database | Penampil tidak dibatasi | Baca semua data dan metadata, termasuk dalam tabel dengan kebijakan RestrictedViewAccess diaktifkan. | - Ditetapkan dengan perintah manajemen. Bergantung pada memiliki Pengguna Database atau Penampil Database. |
| Database | Ingestor | Menyerap data ke semua tabel dalam database tanpa akses untuk mengkueri data. | - Ditetapkan dengan perintah manajemen |
| Database | Monitor | Jalankan .show perintah dalam konteks database dan entitas anaknya. |
- Ditetapkan dengan perintah manajemen |
| Tabel | Admin | Izin penuh dalam cakupan tabel tertentu. | - Diwarisi sebagai admin ruang kerja, anggota ruang kerja, atau kontributor ruang kerja - Item induk (KQL Database) dibagikan dengan izin pengeditan. - Ditetapkan dengan perintah manajemen. Bergantung pada memiliki Pengguna Database pada database induk. |
| Tabel | Ingestor | Menyerap data ke tabel tanpa akses untuk mengkueri data. | - Ditetapkan dengan perintah manajemen. Bergantung pada memiliki Pengguna Database atau Database Ingestor pada database induk. |
| Tabel Eksternal | Admin | Izin penuh dalam cakupan tabel eksternal tertentu. | - Ditetapkan dengan perintah manajemen. Bergantung pada memiliki Pengguna Database atau Penampil Database pada database induk. |
| Tampilan Materialisasi | Admin | Izin penuh untuk mengubah tampilan, menghapus tampilan, dan memberikan izin admin kepada prinsipal lain. | - Diwarisi sebagai admin ruang kerja, anggota ruang kerja, atau kontributor ruang kerja - Item induk (KQL Database) dibagikan dengan izin pengeditan. - Ditetapkan dengan perintah manajemen. Bergantung pada memiliki Pengguna Database atau Admin Tabel pada item induk. |
| Fungsi | Admin | Izin penuh untuk mengubah fungsi, menghapus fungsi, dan memberikan izin admin kepada prinsipal lain. | - Diwarisi sebagai admin ruang kerja, anggota ruang kerja, atau kontributor ruang kerja - Item induk (KQL Database) dibagikan dengan izin pengeditan. - Ditetapkan dengan perintah manajemen. Bergantung pada memiliki Pengguna Database atau Admin Tabel pada item induk. |