Visão geral das funções de segurança
As entidades de segurança recebem acesso aos recursos por meio de um modelo de controle de acesso baseado em função, em que suas funções de segurança atribuídas determinam o acesso aos recursos.
Quando uma entidade de segurança tenta uma operação, o sistema executa uma marcar de autorização para garantir que a entidade de segurança esteja associada a pelo menos uma função de segurança que concede permissões para executar a operação. Falha em uma autorização marcar anula a operação.
Os comandos de gerenciamento listados neste artigo podem ser usados para gerenciar entidades de segurança e suas funções de segurança em bancos de dados, tabelas, tabelas externas, exibições materializadas e funções.
Observação
As três funções de segurança no nível do cluster de AllDatabasesAdmin, AllDatabasesViewere AllDatabasesMonitor não podem ser configuradas com comandos de gerenciamento de função de segurança. Para saber como configurá-los no portal do Azure, consulte Gerenciar permissões de cluster.
Comandos de gerenciamento
A tabela a seguir descreve os comandos usados para gerenciar funções de segurança.
| Comando | Descrição |
|---|---|
.show |
Listas entidades de segurança com a função fornecida. |
.add |
Adiciona uma ou mais entidades de segurança à função. |
.drop |
Remove uma ou mais entidades de segurança da função. |
.set |
Define a função para a lista específica de entidades de segurança, removendo todas as anteriores. |
Funções de segurança
A tabela a seguir descreve o nível de acesso concedido para cada função e mostra um marcar se a função pode ser atribuída dentro do tipo de objeto fornecido.
| Função | Permissões | Bancos de dados | Tabelas | Tabelas externas | Exibições materializadas | Funções |
|---|---|---|---|---|---|---|
admins |
Exiba, modifique e remova o objeto e os subobjetos. | ✔️ | ✔️ | ✔️ | ✔️ | ✔️ |
users |
Exiba o objeto e crie novos subobjetos. | ✔️ | ||||
viewers |
Exiba o objeto em que RestrictedViewAccess não está ativado. | ✔️ | ||||
unrestrictedviewers |
Exiba o objeto mesmo onde RestrictedViewAccess está ativado. A entidade de segurança também deve ter adminsviewers permissões ou users . |
✔️ | ||||
ingestors |
Ingerir dados no objeto sem acesso à consulta. | ✔️ | ✔️ | |||
monitors |
Exiba metadados como esquemas, operações e permissões. | ✔️ |
Para obter uma descrição completa das funções de segurança em cada escopo, consulte Controle de acesso baseado em função do Kusto.
Observação
Não é possível atribuir a viewer função apenas para algumas tabelas no banco de dados. Para obter abordagens diferentes sobre como conceder acesso de exibição principal a um subconjunto de tabelas, consulte gerenciar o acesso ao modo de exibição de tabela.
Cenários comuns
Mostrar suas funções no cluster
Para ver suas próprias funções no cluster, execute o seguinte comando:
.show cluster principal roles
Mostrar suas funções em um recurso
Para marcar as funções atribuídas a você em um recurso específico, execute o seguinte comando no banco de dados relevante ou no banco de dados que contém o recurso:
// For a database:
.show database DatabaseName principal roles
// For a table:
.show table TableName principal roles
// For an external table:
.show external table ExternalTableName principal roles
// For a function:
.show function FunctionName principal roles
// For a materialized view:
.show materialized-view MaterializedViewName principal roles
Mostrar as funções de todas as entidades de segurança em um recurso
Para ver as funções atribuídas a todas as entidades de segurança para um recurso específico, execute o seguinte comando no banco de dados relevante ou no banco de dados que contém o recurso:
// For a database:
.show database DatabaseName principals
// For a table:
.show table TableName principals
// For an external table:
.show external table ExternalTableName principals
// For a function:
.show function FunctionName principals
// For a materialized view:
.show materialized-view MaterializedViewName principals
Dica
Use o operador where para filtrar os resultados por uma entidade de segurança ou função específica.
Modificar as atribuições de função
Para obter detalhes sobre como modificar suas atribuições de função nos níveis de banco de dados e tabela, consulte Gerenciar funções de segurança de banco de dados e Gerenciar funções de segurança de tabela.
Conteúdo relacionado
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de