Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Cosmos DB в Microsoft Fabric в основном зависит от аутентификации с помощью Microsoft Entra ID и ролей на уровне плоскости данных для управления аутентификацией и авторизацией. В этом руководстве описана настройка встроенных ролей плоскости данных для базы данных Cosmos DB в Базе данных Fabric. Вы можете настроить доступ к Cosmos DB с помощью ролей рабочей области в элементах управления доступом Microsoft Fabric.
Элементы управления доступом на двух разных уровнях работают вместе. Например, чтобы подключиться к базе данных, пользователь должен иметь по крайней мере разрешение на чтение элемента базы данных Fabric.
Элементы управления доступом
В Fabric вы управляете доступом с помощью ролей рабочей области Fabric. Роли рабочей области Fabric управляют тем, кто может выполнять действия в рабочей области Microsoft Fabric.
Во-первых, Cosmos DB в Fabric имеет разрешения на уровне элементов с тремя хорошо определенными ролями:
| Способность | |
|---|---|
| Прочитайте | Подключиться к базе данных, чтение элементов, выполнение запросов к элементам, чтение ленты изменений, перечисление контейнеров, чтение пропускной способности и чтение метаданных |
| ReadAll | Такая же возможность, как чтение, а также чтение зеркальных данных непосредственно из файлов OneLake. |
| Написать | Такая же возможность, как ReadAll и дополнительное создание контейнера, удаление контейнера, создание элемента, удаление элемента, изменение элемента |
Роли рабочей области в Fabric переводятся в следующие разрешения уровня элемента для элементов в Cosmos DB в рамках Fabric:
| Администратор | Член | Вкладчик | Зритель | |
|---|---|---|---|---|
| Прочитайте | ✅ Да | ✅ Да | ✅ Да | ✅ Да |
| ReadAll | ✅ Да | ✅ Да | ✅ Да | ✅ Да |
| Написать | ✅ Да | ✅ Да | ✅ Да | ✖️ Нет |
С другой стороны, эта таблица представляет общие возможности, которые могут потребоваться пользователям от базы данных Cosmos DB и сопоставляет их с правильной ролью в рабочей области.
| Администратор | Член | Вкладчик | Зритель | |
|---|---|---|---|---|
| Полный административный доступ и полный доступ к данным | ✅ Да | ✅ Да | ✅ Да | ✖️ Нет |
| Чтение данных и метаданных | ✅ Да | ✅ Да | ✅ Да | ✅ Да |
| Подключение к базе данных | ✅ Да | ✅ Да | ✅ Да | ✅ Да |
Подсказка
Дополнительные сведения о том, как роли работают в рабочих областях, см. в разделе "Роли в рабочих областях". Дополнительные сведения о назначении ролей рабочей области см. в статье "Предоставление пользователям доступа к рабочим областям".
Сопоставление с Azure
Если у вас есть опыт работы с Azure Cosmos DB для NoSQL, вы можете сопоставить разрешения на элементы в Fabric со встроенными ролями плоскости данных этой службы.
Разрешения элемента базы данных Cosmos DB сопоставимы со следующими назначениями ролей на уровне плоскости данных в контексте базы данных Azure Cosmos DB.
| Роль Azure Cosmos DB для NoSQL | Область действия | |
|---|---|---|
| Прочитайте | Cosmos DB Built-in Data Reader |
База данных |
| ReadAll | Cosmos DB Built-in Data Reader |
База данных |
| Написать | Cosmos DB Built-in Data Contributor |
База данных |
Или, если вы предпочитаете, вы можете сопоставить разрешения управления доступом на основе ролей в Azure:
| Роль Azure Cosmos DB для NoSQL | Область действия | |
|---|---|---|
| Прочитайте | [ "Microsoft.DocumentDB/databaseAccounts/readMetadata", "Microsoft.DocumentDB/databaseAccounts/sqlDatabases/containers/items/read", "Microsoft.DocumentDB/databaseAccounts/sqlDatabases/containers/executeQuery", "Microsoft.DocumentDB/databaseAccounts/sqlDatabases/containers/readChangeFeed" ] |
База данных |
| ReadAll | [ "Microsoft.DocumentDB/databaseAccounts/readMetadata", "Microsoft.DocumentDB/databaseAccounts/sqlDatabases/containers/items/read", "Microsoft.DocumentDB/databaseAccounts/sqlDatabases/containers/executeQuery", "Microsoft.DocumentDB/databaseAccounts/sqlDatabases/containers/readChangeFeed" ] |
База данных |
| Написать | [ "Microsoft.DocumentDB/databaseAccounts/readMetadata", "Microsoft.DocumentDB/databaseAccounts/sqlDatabases/containers/*", "Microsoft.DocumentDB/databaseAccounts/sqlDatabases/containers/items/*" ] |
База данных |
Замечание
Дополнительные сведения о ролях Azure Cosmos DB для NoSQL см. в статье Azure Cosmos DB для безопасности плоскости данных NoSQL.