Dokumentacja akcji płaszczyzny danych NoSQL dla usługi Azure Cosmos DB
DOTYCZY: 
NoSQL
Diagram sekwencji przewodnika wdrażania, w tym tych lokalizacji, w kolejności: Przegląd, Pojęcia, Przygotowanie, Kontrola dostępu oparta na rolach, Sieć i Dokumentacja. Lokalizacja "Odwołanie" jest obecnie wyróżniona.
Usługa Azure Cosmos DB for NoSQL uwidacznia unikatowy zestaw akcji danych w ramach natywnej implementacji kontroli dostępu opartej na rolach. Ten artykuł zawiera listę tych akcji i opisów dotyczących uprawnień przyznanych dla każdej akcji.
Ostrzeżenie
Natywna kontrola dostępu oparta na rolach usługi Azure Cosmos DB for NoSQL nie obsługuje notDataActions właściwości . Każda akcja, która nie jest określona jako dozwolona dataAction , jest automatycznie wykluczana.
Akcje dotyczące danych
Oto lista akcji danych, które można ustawić indywidualnie w definicji roli.
| opis | |
|---|---|
Microsoft.DocumentDB/databaseAccounts/readMetadata |
Odczytywanie wymaganych metadanych z konta na potrzeby operacji płaszczyzny danych |
Microsoft.DocumentDB/databaseAccounts/sqlDatabases/containers/items/create |
Tworzy nowe elementy |
Microsoft.DocumentDB/databaseAccounts/sqlDatabases/containers/items/read |
Odczytuje określone elementy, wykonując odczyt punktu przy użyciu klucza partycji i unikatowego identyfikatora |
Microsoft.DocumentDB/databaseAccounts/sqlDatabases/containers/items/replace |
Zamienia istniejące elementy |
Microsoft.DocumentDB/databaseAccounts/sqlDatabases/containers/items/upsert |
Tworzy nowy element, jeśli nie istnieje lub zastępuje istniejący element |
Microsoft.DocumentDB/databaseAccounts/sqlDatabases/containers/items/delete |
Usuwa element |
Microsoft.DocumentDB/databaseAccounts/sqlDatabases/containers/executeQuery |
Wykonuje zapytanie NoSQL |
Microsoft.DocumentDB/databaseAccounts/sqlDatabases/containers/readChangeFeed |
Odczytuje ze źródła zmian kontenera |
Microsoft.DocumentDB/databaseAccounts/sqlDatabases/containers/executeStoredProcedure |
Wykonuje procedury składowane |
Microsoft.DocumentDB/databaseAccounts/sqlDatabases/containers/manageConflicts |
Zarządzanie konfliktami dla kont przy użyciu kanału informacyjnego konfliktów |
Uwaga
Aby wykonywać zapytania NoSQL przy użyciu zestawów SDK (Software Development Kit), musisz mieć uprawnienia Microsoft.DocumentDB/databaseAccounts/sqlDatabases/containers/executeQuery i Microsoft.DocumentDB/databaseAccounts/sqlDatabases/containers/readChangeFeed .
Symbole wieloznaczne akcji danych
Symbole wieloznaczne są obsługiwane zarówno na poziomie kontenerów, jak i elementów.
| opis | |
|---|---|
Microsoft.DocumentDB/databaseAccounts/sqlDatabases/containers/* |
Wykonywanie wszystkich operacji specyficznych dla kontenera, takich jak wykonywanie zapytań, odczytywanie zestawienia zmian, zarządzanie konfliktami i wykonywanie procedur składowanych |
Microsoft.DocumentDB/databaseAccounts/sqlDatabases/containers/items/* |
Wykonywanie wszystkich operacji specyficznych dla elementu, takich jak tworzenie, odczytywanie, aktualizowanie, zastępowanie i usuwanie elementów |
Wymagane metadane
Zestawy SDK (Software Development Kit) usługi Azure Cosmos DB wystawiają żądania metadanych tylko do odczytu podczas inicjowania i obsługują określone żądania danych. Te żądania pobierają różne szczegóły konfiguracji, takie jak:
- Globalna konfiguracja konta, która obejmuje regiony platformy Azure, w których konto jest dostępne
- Klucz partycji kontenerów lub ich zasad indeksowania
- Lista partycji fizycznych, które tworzą kontener i ich adresy
- Nie pobierają żadnych danych przechowywanych na Twoim koncie
Aby zapewnić najlepszą przejrzystość naszego modelu uprawnień, te żądania metadanych są jawnie objęte Microsoft.DocumentDB/databaseAccounts/readMetadata akcją danych. Ta akcja musi być dozwolona w każdej sytuacji, w której twoje konto usługi Azure Cosmos DB jest dostępne za pośrednictwem jednego z zestawów SDK usługi Azure Cosmos DB.
Akcję można przypisać na dowolnym poziomie w hierarchii konta usługi Azure Cosmos DB, w tym konta, bazy danych lub kontenera. Dozwolone rzeczywiste żądania metadanych zależą od zakresu:
- Klient
- Wyświetlanie listy baz danych na koncie
- Dla każdej bazy danych w ramach konta dozwolone akcje w zakresie bazy danych
- Baza danych
- Odczytywanie metadanych bazy danych
- Wyświetlanie listy kontenerów w bazie danych
- Dla każdego kontenera w bazie danych dozwolone akcje w zakresie kontenera
- Kontener
- Odczytywanie metadanych kontenera
- Wyświetlanie listy partycji fizycznych w kontenerze
- Rozpoznawanie adresu każdej partycji fizycznej
Ważne
Nie można zarządzać przepływnością za Microsoft.DocumentDB/databaseAccounts/readMetadata pomocą akcji danych.