Управление доступом на основе ролей Kusto

  • Статья

Kusto использует модель управления доступом на основе ролей (RBAC), в которой субъекты получают доступ к ресурсам на основе назначенных им ролей. Роли определяются для определенного кластера, базы данных, таблицы, внешней таблицы, материализованного представления или функции. При определении для кластера роль применяется ко всем базам данных в кластере. При определении для базы данных роль применяется ко всем сущностям в базе данных.

Роли azure Resource Manager (ARM), такие как владелец подписки или владелец кластера, предоставляют разрешения на доступ для администрирования ресурсов. Для администрирования данных требуются роли, описанные в этом документе.

Примечание

Чтобы удалить базу данных, требуются по крайней мере разрешения ARM участника в кластере. Сведения о назначении разрешений ARM см. в статье Назначение ролей Azure с помощью портал Azure.

Роли и разрешения

В следующей таблице перечислены роли и разрешения, доступные на каждом область.

В столбце Разрешения отображается доступ, предоставленный каждой роли.

В столбце Зависимости перечислены минимальные роли, необходимые для получения роли в этой строке. Например, чтобы стать Администратор таблицы, необходимо сначала иметь роль пользователя базы данных или роль, которая включает разрешения пользователя базы данных, например Database Администратор или AllDatabasesAdmin. Если в столбце Зависимости указано несколько ролей, для получения роли требуется только одна из них.

В столбце Управление представлены способы добавления или удаления субъектов ролей.

Область Роль Разрешения Зависимости Управление
Кластер AllDatabasesAdmin Полное разрешение для всех баз данных в кластере. Может отображать и изменять определенные политики на уровне кластера. Включает все разрешения. Портал Azure
Кластер AllDatabasesViewer Чтение всех данных и метаданных любой базы данных в кластере. Портал Azure
Кластер AllDatabasesMonitor Выполнение .show команд в контексте любой базы данных в кластере. Портал Azure
База данных Административный Полное разрешение в область конкретной базы данных. Включает все разрешения более низкого уровня. команды портал Azure или управления
База данных Пользователь Чтение всех данных и метаданных базы данных. Создавайте таблицы и функции и становитесь администратором этих таблиц и функций. команды портал Azure или управления
База данных Зритель Чтение всех данных и метаданных, за исключением таблиц с включенной политикой RestrictedViewAccess . команды портал Azure или управления
База данных Неограниченный просмотр Чтение всех данных и метаданных, в том числе в таблицах с включенной политикой RestrictedViewAccess . Пользователь базы данных или средство просмотра базы данных команды портал Azure или управления
База данных Ingestor Прием данных во все таблицы в базе данных без доступа к запросу данных. команды портал Azure или управления
База данных Azure Monitor Выполнение .show команд в контексте базы данных и ее дочерних сущностей. команды портал Azure или управления
Таблица Административный Полное разрешение на область определенной таблицы. Пользователь базы данных Команды управления
Таблица Ingestor Прием данных в таблицу без доступа к запросу данных. Пользователь базы данных или Ingestor базы данных Команды управления
Внешняя таблица Административный Полное разрешение в область определенной внешней таблицы. Пользователь базы данных или средство просмотра базы данных Команды управления
Материализованное представление Административный Полное разрешение на изменение представления, его удаление и предоставление разрешений администратора другому субъекту. Пользователь базы данных или Администратор таблицы Команды управления
Функция Административный Полное разрешение на изменение функции, удаление функции и предоставление разрешений администратора другому субъекту. Пользователь базы данных или Администратор таблицы Команды управления

См. также