Controllo degli accessi in base al ruolo
Si applica a: ✅Microsoft Fabric✅Azure Esplora dati
Azure Esplora dati usa un modello di controllo degli accessi in base al ruolo in cui le entità ottengono l'accesso alle risorse in base ai ruoli assegnati. I ruoli sono definiti per un cluster, un database, una tabella, una tabella esterna, una vista materializzata o una funzione specifica. Se definito per un cluster, il ruolo si applica a tutti i database nel cluster. Se definito per un database, il ruolo si applica a tutte le entità nel database.
Ruoli di Azure Resource Manager (ARM), ad esempio proprietario della sottoscrizione o proprietario del cluster, concedere le autorizzazioni di accesso per l'amministrazione delle risorse. Per l'amministrazione dei dati, sono necessari i ruoli descritti in questo documento.
Nota
Per eliminare un database, sono necessarie almeno le autorizzazioni arm collaboratore nel cluster. Per assegnare le autorizzazioni arm, vedere Assegnare i ruoli di Azure usando il portale di Azure.
Intelligence in tempo reale in Fabric usa un modello di controllo degli accessi in base al ruolo ibrido in cui le entità ottengono l'accesso alle risorse in base ai ruoli assegnati concessi da una o entrambe le origini: Fabric e i comandi di gestione Kusto. L'utente avrà l'unione dei ruoli concessi da entrambe le origini.
All'interno di Fabric, i ruoli possono essere assegnati o ereditati assegnando un ruolo in un'area di lavoro o condividendo un elemento specifico in base al modello di autorizzazione dell'elemento.
Ruoli dell'infrastruttura
| Ruolo | Autorizzazioni concesse per gli elementi |
|---|---|
| Amministratore dell'area di lavoro | Ruolo controllo degli accessi in base al ruolo dell'amministratore in tutti gli elementi dell'area di lavoro. |
| Membro dell'area di lavoro | Ruolo controllo degli accessi in base al ruolo dell'amministratore in tutti gli elementi dell'area di lavoro. |
| Collaboratore area di lavoro | Ruolo controllo degli accessi in base al ruolo dell'amministratore in tutti gli elementi dell'area di lavoro. |
| Visualizzatore dell'area di lavoro | Ruolo Controllo degli accessi in base al ruolo del visualizzatore in tutti gli elementi dell'area di lavoro. |
| Editor di elementi | Ruolo controllo degli accessi in base al ruolo dell'amministratore nell'elemento. |
| Visualizzatore elementi | Ruolo Controllo degli accessi in base al ruolo del visualizzatore nell'elemento. |
I ruoli possono essere ulteriormente definiti nel piano dati per un database, una tabella, una tabella esterna, una vista materializzata o una funzione specifici usando i comandi di gestione. In entrambi i casi, i ruoli applicati a un livello superiore (Area di lavoro, Eventhouse) vengono ereditati da livelli inferiori (Database, Tabella).
Ruoli e autorizzazioni
Nella tabella seguente vengono descritti i ruoli e le autorizzazioni disponibili in ogni ambito.
Nella colonna Autorizzazioni viene visualizzato l'accesso concesso a ogni ruolo.
Nella colonna Dipendenze sono elencati i ruoli minimi necessari per ottenere il ruolo in tale riga. Ad esempio, per diventare amministratore tabella, è necessario avere un ruolo come Utente database o un ruolo che include le autorizzazioni dell'utente del database, ad esempio Amministratore database o AllDatabasesAdmin. Quando nella colonna Dipendenze sono elencati più ruoli, è necessario solo uno di essi per ottenere il ruolo.
La colonna Come viene ottenuto il ruolo offre modi in cui il ruolo può essere concesso o ereditato.
La colonna Gestisci offre modi per aggiungere o rimuovere entità ruolo.
| Ambito | Ruolo | Autorizzazioni | Dipendenze | Gestione |
|---|---|---|---|---|
| Cluster | AllDatabasesAdmin | Autorizzazione completa per tutti i database nel cluster. Può visualizzare e modificare determinati criteri a livello di cluster. Include tutte le autorizzazioni. | Azure portal | |
| Cluster | AllDatabasesViewer | Legge tutti i dati e i metadati di qualsiasi database nel cluster. | Azure portal | |
| Cluster | AllDatabasesMonitor | Eseguire .show comandi nel contesto di qualsiasi database nel cluster. |
Azure portal | |
| Database | Amministratore | Autorizzazione completa nell'ambito di un database specifico. Include tutte le autorizzazioni di livello inferiore. | portale di Azure o comandi di gestione | |
| Database | User | Legge tutti i dati e i metadati del database. Creare tabelle e funzioni e diventare l'amministratore di tali tabelle e funzioni. | portale di Azure o comandi di gestione | |
| Database | Visualizzatore | Leggere tutti i dati e i metadati, ad eccezione delle tabelle con i criteri RestrictedViewAccess attivati. | portale di Azure o comandi di gestione | |
| Database | Unrestrictedviewer | Leggere tutti i dati e i metadati, inclusi nelle tabelle con il criterio RestrictedViewAccess attivato. | Visualizzatore di database o utente del database | portale di Azure o comandi di gestione |
| Database | Ingestor | Inserire dati in tutte le tabelle del database senza accesso per eseguire query sui dati. | portale di Azure o comandi di gestione | |
| Database | Monitoraggio | Eseguire .show comandi nel contesto del database e delle relative entità figlio. |
portale di Azure o comandi di gestione | |
| Tabella | Amministratore | Autorizzazione completa nell'ambito di una tabella specifica. | Utente di database | comandi di gestione |
| Tabella | Ingestor | Inserire dati nella tabella senza accesso per eseguire query sui dati. | Database User or Database Ingestor | comandi di gestione |
| Tabella esterna | Amministratore | Autorizzazione completa nell'ambito di una tabella esterna specifica. | Visualizzatore di database o utente del database | comandi di gestione |
| Vista materializzata | Amministratore | Autorizzazione completa per modificare la visualizzazione, eliminare la vista e concedere autorizzazioni di amministratore a un'altra entità. | Utente database o amministratore tabella | comandi di gestione |
| Funzione | Amministratore | Autorizzazione completa per modificare la funzione, eliminare la funzione e concedere autorizzazioni di amministratore a un'altra entità. | Utente database o amministratore tabella | comandi di gestione |
| Ambito | Ruolo | Autorizzazioni | Come viene ottenuto il ruolo |
|---|---|---|---|
| Eventhouse | AllDatabasesAdmin | Autorizzazione completa per tutti i database nell'eventhouse. Può mostrare e modificare determinati criteri a livello di eventhouse. Include tutte le autorizzazioni. | - Ereditato come amministratore dell'area di lavoro, membro dell'area di lavoro o collaboratore dell'area di lavoro. Non è possibile assegnare comandi di gestione. |
| Database | Amministratore | Autorizzazione completa nell'ambito di un database specifico. Include tutte le autorizzazioni di livello inferiore. | - Ereditato come amministratore dell'area di lavoro, membro dell'area di lavoro o collaboratore dell'area di lavoro - Elemento condiviso con autorizzazioni di modifica. - Assegnato con i comandi di gestione |
| Database | User | Legge tutti i dati e i metadati del database. Creare tabelle e funzioni e diventare l'amministratore di tali tabelle e funzioni. | - Assegnato con i comandi di gestione |
| Database | Visualizzatore | Leggere tutti i dati e i metadati, ad eccezione delle tabelle con i criteri RestrictedViewAccess attivati. | - Elemento condiviso con autorizzazioni di visualizzazione. - Assegnato con i comandi di gestione |
| Database | Unrestrictedviewer | Leggere tutti i dati e i metadati, inclusi nelle tabelle con il criterio RestrictedViewAccess attivato. | - Assegnato con i comandi di gestione. Dipendente dalla presenza di un utente del database o di un visualizzatore di database. |
| Database | Ingestor | Inserire dati in tutte le tabelle del database senza accesso per eseguire query sui dati. | - Assegnato con i comandi di gestione |
| Database | Monitoraggio | Eseguire .show comandi nel contesto del database e delle relative entità figlio. |
- Assegnato con i comandi di gestione |
| Tabella | Amministratore | Autorizzazione completa nell'ambito di una tabella specifica. | - Ereditato come amministratore dell'area di lavoro, membro dell'area di lavoro o collaboratore dell'area di lavoro - Elemento padre (database KQL) condiviso con autorizzazioni di modifica. - Assegnato con i comandi di gestione. Dipendente dalla presenza dell'utente del database nel database padre. |
| Tabella | Ingestor | Inserire dati nella tabella senza accesso per eseguire query sui dati. | - Assegnato con i comandi di gestione. A seconda della presenza di Database User o Database Ingestor nel database padre. |
| Tabella esterna | Amministratore | Autorizzazione completa nell'ambito di una tabella esterna specifica. | - Assegnato con i comandi di gestione. A seconda della presenza di Un utente di database o di Un visualizzatore di database nel database padre. |
| Vista materializzata | Amministratore | Autorizzazione completa per modificare la visualizzazione, eliminare la vista e concedere autorizzazioni di amministratore a un'altra entità. | - Ereditato come amministratore dell'area di lavoro, membro dell'area di lavoro o collaboratore dell'area di lavoro - Elemento padre (database KQL) condiviso con autorizzazioni di modifica. - Assegnato con i comandi di gestione. Dipendente dalla presenza di un utente o di un amministratore tabella del database sugli elementi padre. |
| Funzione | Amministratore | Autorizzazione completa per modificare la funzione, eliminare la funzione e concedere autorizzazioni di amministratore a un'altra entità. | - Ereditato come amministratore dell'area di lavoro, membro dell'area di lavoro o collaboratore dell'area di lavoro - Elemento padre (database KQL) condiviso con autorizzazioni di modifica. - Assegnato con i comandi di gestione. Dipendente dalla presenza di un utente o di un amministratore tabella del database sugli elementi padre. |