Controle de acesso baseado em função do Kusto
O Kusto usa um modelo de RBAC (controle de acesso baseado em função) no qual as entidades de segurança obtêm acesso aos recursos com base em suas funções atribuídas. As funções são definidas para um cluster, banco de dados, tabela, tabela externa, exibição materializada ou função específica. Quando definida para um cluster, a função se aplica a todos os bancos de dados no cluster. Quando definida para um banco de dados, a função se aplica a todas as entidades no banco de dados.
Funções do ARM (Azure Resource Manager), como proprietário da assinatura ou proprietário do cluster, concedem permissões de acesso para administração de recursos. Para a administração de dados, você precisa das funções descritas neste documento.
Observação
Para excluir um banco de dados, você precisa de pelo menos permissões arm de colaborador no cluster. Para atribuir permissões do ARM, confira Atribuir funções do Azure usando o portal do Azure.
Funções e permissões
A tabela a seguir descreve as funções e permissões disponíveis em cada escopo.
A coluna Permissões exibe o acesso concedido a cada função.
A coluna Dependências lista as funções mínimas necessárias para obter a função nessa linha. Por exemplo, para se tornar um Administração de Tabela, primeiro você deve ter uma função como Usuário de Banco de Dados ou uma função que inclua as permissões de Usuário de Banco de Dados, como Administração de Banco de Dados ou AllDatabasesAdmin. Quando várias funções são listadas na coluna Dependências , apenas uma delas é necessária para obter a função.
A coluna Gerenciar oferece maneiras de adicionar ou remover entidades de segurança de função.
| Escopo | Função | Permissões | Dependências | Gerenciar |
|---|---|---|---|---|
| Cluster | AllDatabasesAdmin | Permissão completa para todos os bancos de dados no cluster. Pode mostrar e alterar determinadas políticas de nível de cluster. Inclui todas as permissões. | Azure portal | |
| Cluster | AllDatabasesViewer | Leia todos os dados e metadados de qualquer banco de dados no cluster. | Azure portal | |
| Cluster | AllDatabasesMonitor | Execute .show comandos no contexto de qualquer banco de dados no cluster. |
Azure portal | |
| Banco de dados | Admin | Permissão completa no escopo de um banco de dados específico. Inclui todas as permissões de nível inferior. | portal do Azure ou comandos de gerenciamento | |
| Banco de dados | Usuário | Ler todos os dados e metadados do banco de dados. Crie tabelas e funções e torne-se o administrador dessas tabelas e funções. | portal do Azure ou comandos de gerenciamento | |
| Banco de dados | Visualizador | Leia todos os dados e metadados, exceto tabelas com a política RestrictedViewAccess ativada. | portal do Azure ou comandos de gerenciamento | |
| Banco de dados | Visão irrestrita | Leia todos os dados e metadados, inclusive em tabelas com a política RestrictedViewAccess ativada. | Usuário do banco de dados ou Visualizador de Banco de Dados | portal do Azure ou comandos de gerenciamento |
| Banco de dados | Ingestor | Ingerir dados em todas as tabelas no banco de dados sem acesso para consultar os dados. | portal do Azure ou comandos de gerenciamento | |
| Banco de dados | Monitor | Execute .show comandos no contexto do banco de dados e suas entidades filho. |
portal do Azure ou comandos de gerenciamento | |
| Tabela | Admin | Permissão completa no escopo de uma tabela específica. | Usuário de banco de dados | Comandos de gerenciamento |
| Tabela | Ingestor | Ingerir dados na tabela sem acesso para consultar os dados. | Usuário do banco de dados ou ingestor de banco de dados | Comandos de gerenciamento |
| Tabela externa | Admin | Permissão completa no escopo de uma tabela externa específica. | Usuário do banco de dados ou Visualizador de Banco de Dados | Comandos de gerenciamento |
| Exibição materializada | Admin | Permissão completa para alterar a exibição, excluir a exibição e conceder permissões de administrador a outra entidade de segurança. | Usuário do banco de dados ou Administração de tabela | Comandos de gerenciamento |
| Função | Admin | Permissão completa para alterar a função, excluir a função e conceder permissões de administrador a outra entidade de segurança. | Usuário do banco de dados ou Administração de tabela | Comandos de gerenciamento |
Conteúdo relacionado
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de