Kontrola dostępu oparta na rolach usługi Kusto
Usługa Kusto używa modelu kontroli dostępu opartej na rolach (RBAC), w którym podmioty zabezpieczeń uzyskują dostęp do zasobów na podstawie przypisanych ról. Role są definiowane dla określonego klastra, bazy danych, tabeli, tabeli zewnętrznej, zmaterializowanego widoku lub funkcji. Po zdefiniowaniu klastra rola ma zastosowanie do wszystkich baz danych w klastrze. Po zdefiniowaniu bazy danych rola ma zastosowanie do wszystkich jednostek w bazie danych.
Role usługi Azure Resource Manager (ARM), takie jak właściciel subskrypcji lub właściciel klastra, udzielają uprawnień dostępu do administrowania zasobami. W przypadku administrowania danymi potrzebne są role opisane w tym dokumencie.
Uwaga
Aby usunąć bazę danych, musisz mieć co najmniej uprawnienia współautora usługi ARM w klastrze. Aby przypisać uprawnienia usługi ARM, zobacz Przypisywanie ról platformy Azure przy użyciu Azure Portal.
Role i uprawnienia
W poniższej tabeli przedstawiono role i uprawnienia dostępne w każdym zakresie.
W kolumnie Uprawnienia jest wyświetlany dostęp przyznany każdemu roli.
Kolumna Zależności zawiera listę minimalnych ról wymaganych do uzyskania roli w tym wierszu. Aby na przykład stać się Administracja tabeli, musisz najpierw mieć rolę, taką jak użytkownik bazy danych lub rola obejmująca uprawnienia użytkownika bazy danych, takie jak Baza danych Administracja lub AllDatabasesAdmin. Jeśli w kolumnie Dependencies znajduje się wiele ról, do uzyskania roli potrzebny jest tylko jeden z nich.
Kolumna Zarządzanie oferuje sposoby dodawania lub usuwania podmiotów zabezpieczeń ról.
Zakres | Rola | Uprawnienia | Zależności | Zarządzanie |
---|---|---|---|---|
Klaster | AllDatabasesAdmin | Pełne uprawnienie do wszystkich baz danych w klastrze. Może pokazywać i zmieniać niektóre zasady na poziomie klastra. Obejmuje wszystkie uprawnienia. | Witryna Azure Portal | |
Klaster | AllDatabasesViewer | Odczytaj wszystkie dane i metadane dowolnej bazy danych w klastrze. | Witryna Azure Portal | |
Klaster | AllDatabasesMonitor | Wykonaj .show polecenia w kontekście dowolnej bazy danych w klastrze. |
Witryna Azure Portal | |
baza danych | Administrator | Pełne uprawnienie w zakresie określonej bazy danych. Obejmuje wszystkie uprawnienia niższego poziomu. | polecenia Azure Portal lub zarządzania | |
baza danych | Użytkownik | Odczytaj wszystkie dane i metadane bazy danych. Utwórz tabele i funkcje i zostań administratorem tych tabel i funkcji. | polecenia Azure Portal lub zarządzania | |
baza danych | Przeglądarka | Odczytaj wszystkie dane i metadane, z wyjątkiem tabel z włączonymi zasadami funkcji RestrictedViewAccess . | polecenia Azure Portal lub zarządzania | |
baza danych | Nieograniczonyviewer | Odczytaj wszystkie dane i metadane, w tym w tabelach z włączonymi zasadami funkcji RestrictedViewAccess . | Użytkownik bazy danych lub przeglądarka bazy danych | polecenia Azure Portal lub zarządzania |
baza danych | Ingestor | Pozyskiwanie danych do wszystkich tabel w bazie danych bez dostępu do wykonywania zapytań dotyczących danych. | polecenia Azure Portal lub zarządzania | |
baza danych | Monitor | Wykonaj .show polecenia w kontekście bazy danych i jej jednostek podrzędnych. |
polecenia Azure Portal lub zarządzania | |
Tabela | Administrator | Pełne uprawnienie w zakresie określonej tabeli. | Użytkownik bazy danych | Polecenia zarządzania |
Tabela | Ingestor | Pozyskiwanie danych do tabeli bez dostępu do wykonywania zapytań dotyczących danych. | Użytkownik bazy danych lub ingestor bazy danych | Polecenia zarządzania |
Tabela zewnętrzna | Administrator | Pełne uprawnienie w zakresie określonej tabeli zewnętrznej. | Użytkownik bazy danych lub przeglądarka bazy danych | Polecenia zarządzania |
Zmaterializowany widok | Administrator | Pełne uprawnienia do zmiany widoku, usunięcia widoku i udzielenia uprawnień administratora do innego podmiotu zabezpieczeń. | Administracja użytkownika lub tabeli bazy danych | Polecenia zarządzania |
Funkcja | Administrator | Pełne uprawnienia do zmiany funkcji, usunięcia funkcji i udzielenia uprawnień administratora do innego podmiotu zabezpieczeń. | Administracja użytkownika lub tabeli bazy danych | Polecenia zarządzania |
Zawartość pokrewna
Opinia
https://aka.ms/ContentUserFeedback.
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź:Prześlij i wyświetl opinię dla