Управление доступом на основе ролей Kusto
Kusto использует модель управления доступом на основе ролей (RBAC), в которой субъекты получают доступ к ресурсам на основе назначенных им ролей. Роли определяются для определенного кластера, базы данных, таблицы, внешней таблицы, материализованного представления или функции. При определении для кластера роль применяется ко всем базам данных в кластере. При определении для базы данных роль применяется ко всем сущностям в базе данных.
Роли azure Resource Manager (ARM), такие как владелец подписки или владелец кластера, предоставляют разрешения на доступ для администрирования ресурсов. Для администрирования данных требуются роли, описанные в этом документе.
Примечание
Чтобы удалить базу данных, требуются по крайней мере разрешения ARM участника в кластере. Сведения о назначении разрешений ARM см. в статье Назначение ролей Azure с помощью портал Azure.
Роли и разрешения
В следующей таблице перечислены роли и разрешения, доступные на каждом область.
В столбце Разрешения отображается доступ, предоставленный каждой роли.
В столбце Зависимости перечислены минимальные роли, необходимые для получения роли в этой строке. Например, чтобы стать Администратор таблицы, необходимо сначала иметь роль пользователя базы данных или роль, которая включает разрешения пользователя базы данных, например Database Администратор или AllDatabasesAdmin. Если в столбце Зависимости указано несколько ролей, для получения роли требуется только одна из них.
В столбце Управление представлены способы добавления или удаления субъектов ролей.
Область | Роль | Разрешения | Зависимости | Управление |
---|---|---|---|---|
Кластер | AllDatabasesAdmin | Полное разрешение для всех баз данных в кластере. Может отображать и изменять определенные политики на уровне кластера. Включает все разрешения. | Портал Azure | |
Кластер | AllDatabasesViewer | Чтение всех данных и метаданных любой базы данных в кластере. | Портал Azure | |
Кластер | AllDatabasesMonitor | Выполнение .show команд в контексте любой базы данных в кластере. |
Портал Azure | |
База данных | Административный | Полное разрешение в область конкретной базы данных. Включает все разрешения более низкого уровня. | команды портал Azure или управления | |
База данных | Пользователь | Чтение всех данных и метаданных базы данных. Создавайте таблицы и функции и становитесь администратором этих таблиц и функций. | команды портал Azure или управления | |
База данных | Зритель | Чтение всех данных и метаданных, за исключением таблиц с включенной политикой RestrictedViewAccess . | команды портал Azure или управления | |
База данных | Неограниченный просмотр | Чтение всех данных и метаданных, в том числе в таблицах с включенной политикой RestrictedViewAccess . | Пользователь базы данных или средство просмотра базы данных | команды портал Azure или управления |
База данных | Ingestor | Прием данных во все таблицы в базе данных без доступа к запросу данных. | команды портал Azure или управления | |
База данных | Azure Monitor | Выполнение .show команд в контексте базы данных и ее дочерних сущностей. |
команды портал Azure или управления | |
Таблица | Административный | Полное разрешение на область определенной таблицы. | Пользователь базы данных | Команды управления |
Таблица | Ingestor | Прием данных в таблицу без доступа к запросу данных. | Пользователь базы данных или Ingestor базы данных | Команды управления |
Внешняя таблица | Административный | Полное разрешение в область определенной внешней таблицы. | Пользователь базы данных или средство просмотра базы данных | Команды управления |
Материализованное представление | Административный | Полное разрешение на изменение представления, его удаление и предоставление разрешений администратора другому субъекту. | Пользователь базы данных или Администратор таблицы | Команды управления |
Функция | Административный | Полное разрешение на изменение функции, удаление функции и предоставление разрешений администратора другому субъекту. | Пользователь базы данных или Администратор таблицы | Команды управления |
См. также
Обратная связь
https://aka.ms/ContentUserFeedback.
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделеОтправить и просмотреть отзыв по