Condividi tramite


Controllo degli accessi in base al ruolo

Si applica a: ✅Microsoft FabricAzure Esplora dati

Azure Esplora dati usa un modello di controllo degli accessi in base al ruolo in cui le entità ottengono l'accesso alle risorse in base ai ruoli assegnati. I ruoli sono definiti per un cluster, un database, una tabella, una tabella esterna, una vista materializzata o una funzione specifica. Se definito per un cluster, il ruolo si applica a tutti i database nel cluster. Se definito per un database, il ruolo si applica a tutte le entità nel database.

Ruoli di Azure Resource Manager (ARM), ad esempio proprietario della sottoscrizione o proprietario del cluster, concedere le autorizzazioni di accesso per l'amministrazione delle risorse. Per l'amministrazione dei dati, sono necessari i ruoli descritti in questo documento.

Nota

Per eliminare un database, sono necessarie almeno le autorizzazioni arm collaboratore nel cluster. Per assegnare le autorizzazioni arm, vedere Assegnare i ruoli di Azure usando il portale di Azure.

Intelligence in tempo reale in Fabric usa un modello di controllo degli accessi in base al ruolo ibrido in cui le entità ottengono l'accesso alle risorse in base ai ruoli assegnati concessi da una o entrambe le origini: Fabric e i comandi di gestione Kusto. L'utente avrà l'unione dei ruoli concessi da entrambe le origini.

All'interno di Fabric, i ruoli possono essere assegnati o ereditati assegnando un ruolo in un'area di lavoro o condividendo un elemento specifico in base al modello di autorizzazione dell'elemento.

Ruoli dell'infrastruttura

Ruolo Autorizzazioni concesse per gli elementi
Amministratore dell'area di lavoro Ruolo controllo degli accessi in base al ruolo dell'amministratore in tutti gli elementi dell'area di lavoro.
Membro dell'area di lavoro Ruolo controllo degli accessi in base al ruolo dell'amministratore in tutti gli elementi dell'area di lavoro.
Collaboratore area di lavoro Ruolo controllo degli accessi in base al ruolo dell'amministratore in tutti gli elementi dell'area di lavoro.
Visualizzatore dell'area di lavoro Ruolo Controllo degli accessi in base al ruolo del visualizzatore in tutti gli elementi dell'area di lavoro.
Editor di elementi Ruolo controllo degli accessi in base al ruolo dell'amministratore nell'elemento.
Visualizzatore elementi Ruolo Controllo degli accessi in base al ruolo del visualizzatore nell'elemento.

I ruoli possono essere ulteriormente definiti nel piano dati per un database, una tabella, una tabella esterna, una vista materializzata o una funzione specifici usando i comandi di gestione. In entrambi i casi, i ruoli applicati a un livello superiore (Area di lavoro, Eventhouse) vengono ereditati da livelli inferiori (Database, Tabella).

Ruoli e autorizzazioni

Nella tabella seguente vengono descritti i ruoli e le autorizzazioni disponibili in ogni ambito.

Nella colonna Autorizzazioni viene visualizzato l'accesso concesso a ogni ruolo.

Nella colonna Dipendenze sono elencati i ruoli minimi necessari per ottenere il ruolo in tale riga. Ad esempio, per diventare amministratore tabella, è necessario avere un ruolo come Utente database o un ruolo che include le autorizzazioni dell'utente del database, ad esempio Amministratore database o AllDatabasesAdmin. Quando nella colonna Dipendenze sono elencati più ruoli, è necessario solo uno di essi per ottenere il ruolo.

La colonna Come viene ottenuto il ruolo offre modi in cui il ruolo può essere concesso o ereditato.

La colonna Gestisci offre modi per aggiungere o rimuovere entità ruolo.

Ambito Ruolo Autorizzazioni Dipendenze Gestione
Cluster AllDatabasesAdmin Autorizzazione completa per tutti i database nel cluster. Può visualizzare e modificare determinati criteri a livello di cluster. Include tutte le autorizzazioni. Azure portal
Cluster AllDatabasesViewer Legge tutti i dati e i metadati di qualsiasi database nel cluster. Azure portal
Cluster AllDatabasesMonitor Eseguire .show comandi nel contesto di qualsiasi database nel cluster. Azure portal
Database Amministratore Autorizzazione completa nell'ambito di un database specifico. Include tutte le autorizzazioni di livello inferiore. portale di Azure o comandi di gestione
Database User Legge tutti i dati e i metadati del database. Creare tabelle e funzioni e diventare l'amministratore di tali tabelle e funzioni. portale di Azure o comandi di gestione
Database Visualizzatore Leggere tutti i dati e i metadati, ad eccezione delle tabelle con i criteri RestrictedViewAccess attivati. portale di Azure o comandi di gestione
Database Unrestrictedviewer Leggere tutti i dati e i metadati, inclusi nelle tabelle con il criterio RestrictedViewAccess attivato. Visualizzatore di database o utente del database portale di Azure o comandi di gestione
Database Ingestor Inserire dati in tutte le tabelle del database senza accesso per eseguire query sui dati. portale di Azure o comandi di gestione
Database Monitoraggio Eseguire .show comandi nel contesto del database e delle relative entità figlio. portale di Azure o comandi di gestione
Tabella Amministratore Autorizzazione completa nell'ambito di una tabella specifica. Utente di database comandi di gestione
Tabella Ingestor Inserire dati nella tabella senza accesso per eseguire query sui dati. Database User or Database Ingestor comandi di gestione
Tabella esterna Amministratore Autorizzazione completa nell'ambito di una tabella esterna specifica. Visualizzatore di database o utente del database comandi di gestione
Vista materializzata Amministratore Autorizzazione completa per modificare la visualizzazione, eliminare la vista e concedere autorizzazioni di amministratore a un'altra entità. Utente database o amministratore tabella comandi di gestione
Funzione Amministratore Autorizzazione completa per modificare la funzione, eliminare la funzione e concedere autorizzazioni di amministratore a un'altra entità. Utente database o amministratore tabella comandi di gestione
Ambito Ruolo Autorizzazioni Come viene ottenuto il ruolo
Eventhouse AllDatabasesAdmin Autorizzazione completa per tutti i database nell'eventhouse. Può mostrare e modificare determinati criteri a livello di eventhouse. Include tutte le autorizzazioni. - Ereditato come amministratore dell'area di lavoro, membro dell'area di lavoro o collaboratore dell'area di lavoro.

Non è possibile assegnare comandi di gestione.
Database Amministratore Autorizzazione completa nell'ambito di un database specifico. Include tutte le autorizzazioni di livello inferiore. - Ereditato come amministratore dell'area di lavoro, membro dell'area di lavoro o collaboratore dell'area di lavoro
- Elemento condiviso con autorizzazioni di modifica.
- Assegnato con i comandi di gestione
Database User Legge tutti i dati e i metadati del database. Creare tabelle e funzioni e diventare l'amministratore di tali tabelle e funzioni. - Assegnato con i comandi di gestione
Database Visualizzatore Leggere tutti i dati e i metadati, ad eccezione delle tabelle con i criteri RestrictedViewAccess attivati. - Elemento condiviso con autorizzazioni di visualizzazione.
- Assegnato con i comandi di gestione
Database Unrestrictedviewer Leggere tutti i dati e i metadati, inclusi nelle tabelle con il criterio RestrictedViewAccess attivato. - Assegnato con i comandi di gestione. Dipendente dalla presenza di un utente del database o di un visualizzatore di database.
Database Ingestor Inserire dati in tutte le tabelle del database senza accesso per eseguire query sui dati. - Assegnato con i comandi di gestione
Database Monitoraggio Eseguire .show comandi nel contesto del database e delle relative entità figlio. - Assegnato con i comandi di gestione
Tabella Amministratore Autorizzazione completa nell'ambito di una tabella specifica. - Ereditato come amministratore dell'area di lavoro, membro dell'area di lavoro o collaboratore dell'area di lavoro
- Elemento padre (database KQL) condiviso con autorizzazioni di modifica.
- Assegnato con i comandi di gestione. Dipendente dalla presenza dell'utente del database nel database padre.
Tabella Ingestor Inserire dati nella tabella senza accesso per eseguire query sui dati. - Assegnato con i comandi di gestione. A seconda della presenza di Database User o Database Ingestor nel database padre.
Tabella esterna Amministratore Autorizzazione completa nell'ambito di una tabella esterna specifica. - Assegnato con i comandi di gestione. A seconda della presenza di Un utente di database o di Un visualizzatore di database nel database padre.
Vista materializzata Amministratore Autorizzazione completa per modificare la visualizzazione, eliminare la vista e concedere autorizzazioni di amministratore a un'altra entità. - Ereditato come amministratore dell'area di lavoro, membro dell'area di lavoro o collaboratore dell'area di lavoro
- Elemento padre (database KQL) condiviso con autorizzazioni di modifica.
- Assegnato con i comandi di gestione. Dipendente dalla presenza di un utente o di un amministratore tabella del database sugli elementi padre.
Funzione Amministratore Autorizzazione completa per modificare la funzione, eliminare la funzione e concedere autorizzazioni di amministratore a un'altra entità. - Ereditato come amministratore dell'area di lavoro, membro dell'area di lavoro o collaboratore dell'area di lavoro
- Elemento padre (database KQL) condiviso con autorizzazioni di modifica.
- Assegnato con i comandi di gestione. Dipendente dalla presenza di un utente o di un amministratore tabella del database sugli elementi padre.