Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Aplica-se a: ✅Microsoft Fabric✅Azure Data Explorer
As entidades de segurança recebem acesso aos recursos por meio de um modelo de controle de acesso baseado em função, no qual as funções de segurança atribuídas determinam o acesso aos recursos.
Neste artigo, você aprenderá a usar comandos de gerenciamento para exibir funções de segurança existentes e adicionar e soltar associação principal a funções de segurança no nível do banco de dados.
Permissões
Você deve ter pelo menos permissões de de administrador de banco de dados para executar esses comandos.
Observação
Para excluir um banco de dados, você precisa de pelo menos permissões do Contributor Azure Resource Manager (ARM). Para atribuir permissões ARM, consulte Atribuir funções do Azure usando o portal do Azure.
Funções de segurança no nível do banco de dados
A tabela a seguir mostra as possíveis funções de segurança no nível do banco de dados e descreve as permissões concedidas para cada função.
| Funções | Permissões |
|---|---|
admins |
Visualize e modifique o banco de dados e as entidades do banco de dados. |
users |
Exiba o banco de dados e crie novas entidades de banco de dados. |
viewers |
Exiba tabelas no banco de dados onde RestrictedViewAccess não está ativado. |
unrestrictedviewers |
Exiba as tabelas no banco de dados mesmo onde RestrictedViewAccess está ativado. O principal também deve ter admins, viewersou users permissões. |
ingestors |
Ingerir dados para o banco de dados sem acesso à consulta. |
monitors |
Exiba metadados do banco de dados, como esquemas, operações e permissões. |
Observação
Não é possível atribuir a viewer função apenas para algumas tabelas no banco de dados. Para diferentes abordagens sobre como conceder acesso a um modo de exibição principal a um subconjunto de tabelas, consulte Gerenciar acesso ao modo de exibição de tabela.
Mostrar funções de segurança existentes
Antes de adicionar ou remover entidades de segurança, você pode usar o .show comando para ver uma tabela com todas as entidades e funções que já estão definidas no banco de dados.
Sintaxe
Para mostrar todas as funções:
.show
database
Nome do Banco de Dadosprincipals
Para mostrar as suas funções:
.show
database
principal
roles DatabaseName
Saiba mais sobre convenções de sintaxe.
Importante
Se a entidade de segurança estiver no mesmo locatário que o usuário, seu nome totalmente qualificado (FQN) será exibido.
Se a entidade de segurança estiver em um locatário diferente do usuário:
- O nome para exibição não mostra o FQN.
- O nome para exibição indica que a entidade de segurança é de um locatário diferente. O formato é
[User/Group/Application] from AAD tenant [Tenant Id]. - Para adicionar informações de identificação, atribua ao principal uma função em seu locatário e use o parâmetro para adicionar detalhes de
Descriptionidentificação. ODescriptioné mostrado na coluna Notas da saída.
Parâmetros
| Nome | Tipo | Obrigatório | Descrição |
|---|---|---|---|
| DatabaseName | string |
✔️ | O nome do banco de dados para o qual listar entidades de segurança. |
Exemplo
O comando a seguir lista todas as entidades de segurança que têm acesso ao Samples banco de dados.
.show database Samples principals
Exemplo de saída
| Funções | Tipo Principal | PrincipalDisplayName | PrincipalObjectId | PrincipalFQN |
|---|---|---|---|---|
| Administrador de amostras de banco de dados | Utilizador do Microsoft Entra | Abbi Atkins | CD709AED-A26C-E3953DEC735E | aaduser=abbiatkins@fabrikam.com |
Adicionar e descartar associação principal a funções de segurança
Esta seção fornece sintaxe, parâmetros e exemplos para adicionar e remover entidades de e para funções de segurança.
Sintaxe
AçãodatabaseDatabaseNameRole(Principal [,Principal...] ) [skip-results] [ Descrição ]
Saiba mais sobre convenções de sintaxe.
Parâmetros
| Nome | Tipo | Obrigatório | Descrição |
|---|---|---|---|
| Ação | string |
✔️ | O comando .add, .drop, ou .set.
.add adiciona as entidades especificadas, .drop remove as entidades especificadas, .set adiciona as entidades especificadas e remove todas as anteriores. |
| DatabaseName | string |
✔️ | O nome do banco de dados ao qual adicionar entidades de segurança. |
| Função | string |
✔️ | A função a ser atribuída ao principal. Para bancos de dados, as funções podem ser admins, users, viewers, unrestrictedviewersingestors, ou monitors. |
| Diretor | string |
✔️ | Uma ou mais entidades ou identidades gerenciadas. Para fazer referência a identidades gerenciadas, use o formato "App" usando o ID do objeto de identidade gerenciado ou o ID do cliente de identidade gerenciado (aplicativo). Para obter orientação sobre como especificar essas entidades, consulte Referenciando entidades e grupos do Microsoft Entra. |
skip-results |
string |
Se fornecido, o comando não retornará a lista atualizada de entidades de banco de dados. | |
| Descrição | string |
Texto para descrever a alteração exibida ao usar o .show comando. |
| Nome | Tipo | Obrigatório | Descrição |
|---|---|---|---|
| Ação | string |
✔️ | O comando .add, .drop, ou .set.
.add adiciona as entidades especificadas, .drop remove as entidades especificadas, .set adiciona as entidades especificadas e remove todas as anteriores. |
| DatabaseName | string |
✔️ | O nome do banco de dados ao qual adicionar entidades de segurança. |
| Função | string |
✔️ | A função a ser atribuída ao principal. Para bancos de dados, isso pode ser admins, users, viewers, unrestrictedviewersingestors, ou monitors. |
| Diretor | string |
✔️ | Um ou mais princípios. Para obter orientação sobre como especificar essas entidades, consulte Referenciando entidades e grupos do Microsoft Entra. |
skip-results |
string |
Se fornecido, o comando não retornará a lista atualizada de entidades de banco de dados. | |
| Descrição | string |
Texto para descrever a alteração exibida ao usar o .show comando. |
Observação
O .set comando com none em vez de uma lista de entidades removerá todas as entidades da função especificada.
Exemplos
Nos exemplos a seguir, você verá como adicionar funções de segurança, remover funções de segurança e adicionar e remover funções de segurança no mesmo comando.
Adicionar funções de segurança com .add
O exemplo a Samples seguir adiciona uma entidade à users função no banco de dados.
.add database Samples users ('aaduser=imikeoein@fabrikam.com')
O exemplo a Samples seguir adiciona um aplicativo à viewers função no banco de dados.
.add database Samples viewers ('aadapp=4c7e82bd-6adb-46c3-b413-fdd44834c69b;fabrikam.com')
Remova funções de segurança com .drop
O exemplo a seguir remove todas as entidades do grupo da função no Samples banco de admins dados.
.drop database Samples admins ('aadGroup=SomeGroupEmail@fabrikam.com')
Adicionar novas funções de segurança e remover as antigas com .set
O exemplo a seguir remove as entidades existentes viewers e adiciona as entidades fornecidas como viewers no Samples banco de dados.
.set database Samples viewers ('aaduser=imikeoein@fabrikam.com', 'aaduser=abbiatkins@fabrikam.com')
Remova todas as funções de segurança com .set
O comando a seguir remove todos os Samples existentes viewers no banco de dados.
.set database Samples viewers none