ロール ベースの承認

承認とは、アクションを実行する権限を、セキュリティ プリンシパルに許可または禁止するプロセスです。 Azure Data Explorer では、認証されたプリンシパルがロールにマップされ、割り当てられたロールに従ってアクセスできる、ロ ール ベースのアクセス制御モデルを使用しています。

Kusto エンジン サービスには、次のロールがあります。

Role アクセス許可
All Databases admin(すべてのデータベース管理者) すべてのデータベースのスコープですべてを実行できます。 すべての下位レベルの All Databases 権限が含まれます。 特定のクラスター レベルのポリシーを表示し、変更することができます。
データベース管理者 特定のデータベースのスコープ内で何でも実行することができます。 すべての下位レベルの権限が含まれます。
データベース ユーザー データベースのすべてのデータとメタデータを読み取ることができます。 また、データベースにテーブルを作成し、それらのテーブルのテーブル管理者になり、関数を作成することもできます。
All Databases viewer(すべてのデータベース表示者) あらゆるデータベースのすべてのデータおよびメタデータを読み込むことができます。
データベース表示者 特定のデータベースのすべてのデータおよびメタデータを読み込むことができます。
データベース取り込み者 データベース内のすべての既存テーブルにデータを取り込むことができますが、データを照会することはできません。
Database unrestrictedviewer RestrictedViewAccess ポリシーが有効になっているデータベース内のすべてのテーブルに対してクエリを実行できます。
すべてのデータベース モニター データベースおよびその子エンティティのコンテキストで .show コマンドを実行できます。
データベース監視者 データベースおよびその子エンティティのコンテキストで .show コマンドを実行できます。
Function admin(関数管理者) 関数を変更したり、関数を削除したり、別のプリンシパルに管理者権限を付与したりできます。
テーブル管理者 特定のテーブルのスコープ内で何でも実行することができます。
テーブル取り込み者 特定のテーブルのスコープでデータを取り込むことはできますが、データを照会することはできません。

データベースのロールを割り当てるには、「ロールとアクセス許可の管理」を参照してください。

Note

別のテナントのプリンシパルにご自分のクラスターへのアクセスを許可するには、「クロステナント クエリとコマンドを許可する」を参照してください。