Referens för Azure Cosmos DB for NoSQL-dataplansåtgärder
GÄLLER FÖR: 
NoSQL
Diagram över sekvensen i distributionsguiden, inklusive dessa platser, i ordning: Översikt, Begrepp, Förbereda, Rollbaserad åtkomstkontroll, Nätverk och Referens. Referensplatsen är för närvarande markerad.
Azure Cosmos DB för NoSQL exponerar en unik uppsättning dataåtgärder inom den inbyggda rollbaserade implementeringen av åtkomstkontroll. Den här artikeln innehåller en lista över dessa åtgärder och beskrivningar om vilka behörigheter som beviljas för varje åtgärd.
Varning
Azure Cosmos DB för NoSQL:s inbyggda rollbaserade åtkomstkontroll stöder inte egenskapen notDataActions . Alla åtgärder som inte anges som tillåtna dataAction undantas automatiskt.
Dataåtgärder
Här är en lista över dataåtgärder som kan anges individuellt i en rolldefinition.
| beskrivning | |
|---|---|
Microsoft.DocumentDB/databaseAccounts/readMetadata |
Läsa nödvändiga metadata från kontot för dataplansåtgärder |
Microsoft.DocumentDB/databaseAccounts/sqlDatabases/containers/items/create |
Skapar nya objekt |
Microsoft.DocumentDB/databaseAccounts/sqlDatabases/containers/items/read |
Läser specifika objekt genom att utföra en punktläsning med hjälp av partitionsnyckeln och den unika identifieraren |
Microsoft.DocumentDB/databaseAccounts/sqlDatabases/containers/items/replace |
Ersätter befintliga objekt |
Microsoft.DocumentDB/databaseAccounts/sqlDatabases/containers/items/upsert |
Skapar ett nytt objekt om det inte finns eller ersätter ett befintligt objekt |
Microsoft.DocumentDB/databaseAccounts/sqlDatabases/containers/items/delete |
Tar bort ett objekt |
Microsoft.DocumentDB/databaseAccounts/sqlDatabases/containers/executeQuery |
Kör en NoSQL-fråga |
Microsoft.DocumentDB/databaseAccounts/sqlDatabases/containers/readChangeFeed |
Läsningar från containerns ändringsflöde |
Microsoft.DocumentDB/databaseAccounts/sqlDatabases/containers/executeStoredProcedure |
Kör lagrade procedurer |
Microsoft.DocumentDB/databaseAccounts/sqlDatabases/containers/manageConflicts |
Hantera konflikter för konton med hjälp av konfliktflödet |
Kommentar
Om du vill utföra NoSQL-frågor med hjälp av SDK:er (Software Development Kits) måste du ha både behörigheterna Microsoft.DocumentDB/databaseAccounts/sqlDatabases/containers/executeQuery och Microsoft.DocumentDB/databaseAccounts/sqlDatabases/containers/readChangeFeed .
Jokertecken för dataåtgärder
Jokertecken stöds på både container- och objektnivå.
| beskrivning | |
|---|---|
Microsoft.DocumentDB/databaseAccounts/sqlDatabases/containers/* |
Utför alla containerspecifika åtgärder som att köra frågor, läsa ändringsflödet, hantera konflikter och köra lagrade procedurer |
Microsoft.DocumentDB/databaseAccounts/sqlDatabases/containers/items/* |
Utför alla objektspecifika åtgärder som att skapa, läsa, uppdatera, ersätta och ta bort objekt |
Nödvändiga metadata
Azure Cosmos DB-programutvecklingspaket (SDK:er) utfärdar skrivskyddade metadatabegäranden under initieringen och för att hantera specifika databegäranden. Dessa begäranden hämtar olika konfigurationsinformation, till exempel:
- Den globala konfigurationen av ditt konto, som omfattar de Azure-regioner som kontot är tillgängligt i
- Partitionsnyckeln för dina containrar eller deras indexeringsprincip
- Listan över fysiska partitioner som skapar en container och deras adresser
- De hämtar inte någon av de data som lagras i ditt konto
För att säkerställa bästa möjliga transparens i vår behörighetsmodell omfattas dessa metadatabegäranden uttryckligen av dataåtgärden Microsoft.DocumentDB/databaseAccounts/readMetadata . Den här åtgärden måste tillåtas i alla situationer där ditt Azure Cosmos DB-konto nås via någon av Azure Cosmos DB SDK:erna.
Åtgärden kan tilldelas på valfri nivå i ett Azure Cosmos DB-kontohierarki, inklusive konto, databas eller container. De faktiska metadatabegäranden som tillåts beror på omfånget:
- Konto
- Visa en lista över databaserna under kontot
- För varje databas under kontot tillåts åtgärder i databasomfånget
- Databas
- Läsa databasmetadata
- Visa en lista över containrarna under databasen
- För varje container under databasen är de tillåtna åtgärderna i containeromfånget
- Container
- Läsa containermetadata
- Lista fysiska partitioner under containern
- Lösa adressen för varje fysisk partition
Viktigt!
Du kan inte hantera dataflödet med dataåtgärden Microsoft.DocumentDB/databaseAccounts/readMetadata .