Kusto ロールベースのアクセス制御
Kusto では、ロールベースのアクセス制御 (RBAC) モデルを使用します。このモデルでは 、プリンシパル が割り当てられたロールに基づいてリソースにアクセスできます。 ロールは、特定のクラスター、データベース、テーブル、外部テーブル、具体化されたビュー、または関数に対して定義されます。 クラスターに対して定義されている場合、ロールはクラスター内のすべてのデータベースに適用されます。 データベースに対して定義されている場合、ロールはデータベース内のすべてのエンティティに適用されます。
サブスクリプション所有者やクラスター所有者などの Azure Resource Manager (ARM) ロールは、リソース管理のアクセス許可を付与します。 データ管理には、このドキュメントで説明されているロールが必要です。
注意
データベースを削除するには、少なくともクラスターに対する 共同作成者 ARM アクセス許可が必要です。 ARM のアクセス許可を割り当てるには、「Azure portalを使用して Azure ロールを割り当てる」を参照してください。
ロールとアクセス許可
次の表は、各スコープで使用できるロールとアクセス許可の概要を示しています。
[ アクセス許可] 列には、各ロールに付与されたアクセス権が表示されます。
[ 依存関係] 列には、その行のロールを取得するために必要な最小ロールが一覧表示されます。 たとえば、テーブル 管理にするには、まず、データベース ユーザーなどのロール、またはデータベース 管理や AllDatabasesAdmin などのデータベース ユーザーのアクセス許可を含むロールが必要です。 [ 依存関係] 列に複数のロールが表示されている場合、ロールを取得するために必要なのはそのうちの 1 つだけです。
[ 管理 ] 列には、ロール プリンシパルを追加または削除する方法が用意されています。
| スコープ | Role | アクセス許可 | 依存関係 | 管理する |
|---|---|---|---|---|
| クラスター | AllDatabasesAdmin | クラスター内のすべてのデータベースに対する完全なアクセス許可。 特定のクラスター レベルのポリシーを表示および変更できます。 すべてのアクセス許可が含まれます。 | Azure Portal | |
| クラスター | AllDatabasesViewer | クラスター内の任意のデータベースのすべてのデータとメタデータを読み取る。 | Azure Portal | |
| クラスター | AllDatabasesMonitor | クラスター内の任意のデータベースのコンテキストでコマンドを実行 .show します。 |
Azure Portal | |
| データベース | [Admin] | 特定のデータベースのスコープ内の完全なアクセス許可。 すべての下位レベルの権限が含まれます。 | Azure portalコマンドまたは管理コマンド | |
| データベース | User | データベースのすべてのデータとメタデータを読み取る。 テーブルと関数を作成し、それらのテーブルと関数の管理者になります。 | Azure portalコマンドまたは管理コマンド | |
| データベース | Viewer | RestrictedViewAccess ポリシーが有効になっているテーブルを除き、すべてのデータとメタデータを読み取ります。 | Azure portalコマンドまたは管理コマンド | |
| データベース | Unrestrictedviewer | RestrictedViewAccess ポリシーが有効になっているテーブルを含め、すべてのデータとメタデータを読み取ります。 | データベース ユーザーまたはデータベース ビューアー | Azure portalコマンドまたは管理コマンド |
| データベース | Ingestor | データベース内のすべてのテーブルにデータを取り込み、データに対してクエリを実行するアクセス権がありません。 | Azure portalコマンドまたは管理コマンド | |
| データベース | Monitor | データベースとその子エンティティのコンテキストでコマンドを実行 .show します。 |
Azure portalコマンドまたは管理コマンド | |
| テーブル | [Admin] | 特定のテーブルのスコープ内の完全なアクセス許可。 | データベース ユーザー | 管理コマンド |
| テーブル | Ingestor | アクセスせずにテーブルにデータを取り込み、データに対してクエリを実行します。 | データベース ユーザーまたはデータベース 取り込み機能 | 管理コマンド |
| 外部テーブル | [Admin] | 特定の外部テーブルのスコープ内の完全なアクセス許可。 | データベース ユーザーまたはデータベース ビューアー | 管理コマンド |
| 具体化されたビュー | [Admin] | ビューを変更し、ビューを削除し、別のプリンシパルに管理者アクセス許可を付与するための完全なアクセス許可。 | データベース ユーザーまたはテーブル 管理 | 管理コマンド |
| 機能 | [Admin] | 関数を変更し、関数を削除し、管理者アクセス許可を別のプリンシパルに付与するための完全なアクセス許可。 | データベース ユーザーまたはテーブル 管理 | 管理コマンド |
関連コンテンツ
フィードバック
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「https://aka.ms/ContentUserFeedback」を参照してください。
フィードバックの送信と表示