Omówienie ról zabezpieczeń
Podmioty zabezpieczeń otrzymują dostęp do zasobów za pośrednictwem modelu kontroli dostępu opartego na rolach, w którym przypisane role zabezpieczeń określają dostęp do zasobów.
Gdy podmiot zabezpieczeń próbuje wykonać operację, system wykonuje kontrolę autoryzacji, aby upewnić się, że podmiot zabezpieczeń jest skojarzony z co najmniej jedną rolą zabezpieczeń, która przyznaje uprawnienia do wykonywania operacji. Niepowodzenie sprawdzania autoryzacji przerywa operację.
Polecenia zarządzania wymienione w tym artykule mogą służyć do zarządzania jednostkami i ich rolami zabezpieczeń w bazach danych, tabelach, tabelach zewnętrznych, zmaterializowanych widokach i funkcjach.
Uwaga
Trzy role zabezpieczeń na poziomie klastra , AllDatabasesAdminAllDatabasesVieweri AllDatabasesMonitor nie można skonfigurować za pomocą poleceń zarządzania rolami zabezpieczeń. Aby dowiedzieć się, jak je skonfigurować w Azure Portal, zobacz Zarządzanie uprawnieniami klastra.
Polecenia zarządzania
W poniższej tabeli opisano polecenia używane do zarządzania rolami zabezpieczeń.
| Polecenie | Opis |
|---|---|
.show |
Listy podmioty z daną rolą. |
.add |
Dodaje co najmniej jedną podmiot zabezpieczeń do roli. |
.drop |
Usuwa co najmniej jedną podmiot zabezpieczeń z roli. |
.set |
Ustawia rolę na określoną listę podmiotów zabezpieczeń, usuwając wszystkie poprzednie. |
Role zabezpieczeń
W poniższej tabeli opisano poziom dostępu udzielony dla każdej roli i pokazano, czy rolę można przypisać w danym typie obiektu.
| Rola | Uprawnienia | Bazy danych | tabelami | Tabele zewnętrzne | Zmaterializowane widoki | Funkcje |
|---|---|---|---|---|---|---|
admins |
Wyświetl, zmodyfikuj i usuń obiekty i podobiekty. | ✔️ | ✔️ | ✔️ | ✔️ | ✔️ |
users |
Wyświetl obiekt i utwórz nowe podobiekty. | ✔️ | ||||
viewers |
Wyświetl obiekt, w którym funkcja RestrictedViewAccess nie jest włączona. | ✔️ | ||||
unrestrictedviewers |
Wyświetl obiekt nawet wtedy, gdy funkcja RestrictedViewAccess jest włączona. Podmiot zabezpieczeń musi również mieć adminsviewers uprawnienia lub users . |
✔️ | ||||
ingestors |
Pozyskiwanie danych do obiektu bez dostępu do zapytania. | ✔️ | ✔️ | |||
monitors |
Wyświetlanie metadanych, takich jak schematy, operacje i uprawnienia. | ✔️ |
Pełny opis ról zabezpieczeń w każdym zakresie można znaleźć w temacie Kontrola dostępu oparta na rolach usługi Kusto.
Uwaga
Nie można przypisać viewer roli tylko dla niektórych tabel w bazie danych. Aby uzyskać różne podejścia dotyczące udzielania dostępu widoku podmiotu zabezpieczeń do podzestawu tabel, zobacz Zarządzanie dostępem do widoku tabeli.
Typowe scenariusze
Wyświetlanie ról w klastrze
Aby wyświetlić własne role w klastrze, uruchom następujące polecenie:
.show cluster principal roles
Wyświetlanie ról w zasobie
Aby sprawdzić role przypisane do Ciebie w określonym zasobie, uruchom następujące polecenie w odpowiedniej bazie danych lub bazie danych zawierającej zasób:
// For a database:
.show database DatabaseName principal roles
// For a table:
.show table TableName principal roles
// For an external table:
.show external table ExternalTableName principal roles
// For a function:
.show function FunctionName principal roles
// For a materialized view:
.show materialized-view MaterializedViewName principal roles
Wyświetlanie ról wszystkich podmiotów zabezpieczeń w zasobie
Aby wyświetlić role przypisane do wszystkich podmiotów zabezpieczeń dla określonego zasobu, uruchom następujące polecenie w odpowiedniej bazie danych lub bazie danych zawierającej zasób:
// For a database:
.show database DatabaseName principals
// For a table:
.show table TableName principals
// For an external table:
.show external table ExternalTableName principals
// For a function:
.show function FunctionName principals
// For a materialized view:
.show materialized-view MaterializedViewName principals
Porada
Użyj operatora where , aby filtrować wyniki według określonego podmiotu zabezpieczeń lub roli.
Modyfikowanie przypisań ról
Aby uzyskać szczegółowe informacje na temat modyfikowania przypisań ról na poziomach bazy danych i tabeli, zobacz Zarządzanie rolami zabezpieczeń bazy danych i Zarządzanie rolami zabezpieczeń tabeli.
Zawartość pokrewna
Opinia
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź: https://aka.ms/ContentUserFeedback.
Prześlij i wyświetl opinię dla