Hantera databassäkerhetsroller
Huvudkonton beviljas åtkomst till resurser via en rollbaserad åtkomstkontrollmodell, där deras tilldelade säkerhetsroller avgör deras resursåtkomst.
I den här artikeln får du lära dig hur du använder hanteringskommandon för att visa befintliga säkerhetsroller samt lägga till och ta bort säkerhetsroller på databasnivå.
Anteckning
Om du vill ta bort en databas behöver du minst behörighet som deltagare för Azure Resource Manager (ARM) i klustret. Information om hur du tilldelar ARM-behörigheter finns i Tilldela Azure-roller med hjälp av Azure Portal.
Behörigheter
Du måste ha minst database Admin behörighet för att kunna köra dessa kommandon.
Säkerhetsroller på databasnivå
Följande tabell visar möjliga säkerhetsroller på databasnivå och beskriver de behörigheter som beviljas för varje roll.
Roll | Behörigheter |
---|---|
admins |
Visa och ändra databas- och databasentiteterna. |
users |
Visa databasen och skapa nya databasentiteter. |
viewers |
Visa tabeller i databasen där RestrictedViewAccess inte är aktiverat. |
unrestrictedviewers |
Visa tabellerna i databasen även där RestrictedViewAccess är aktiverat. Huvudkontot måste också ha admins behörigheten , viewers eller users . |
ingestors |
Mata in data till databasen utan åtkomst till frågor. |
monitors |
Visa databasmetadata, till exempel scheman, åtgärder och behörigheter. |
Anteckning
Det går inte att tilldela rollen viewer
för endast vissa tabeller i databasen. Olika metoder för hur du beviljar åtkomst till en huvudvy till en delmängd av tabeller finns i Hantera åtkomst till tabellvyer.
Visa befintliga säkerhetsroller
Innan du lägger till eller tar bort huvudkonton kan du använda .show
kommandot för att se en tabell med alla huvudkonton och roller som redan har angetts för databasen.
Syntax
Så här visar du alla roller:
.show
database
Databasenameprincipals
Så här visar du dina roller:
.show
database
Databasenameprincipal
roles
Läs mer om syntaxkonventioner.
Parametrar
Namn | Typ | Obligatorisk | Beskrivning |
---|---|---|---|
Databasename | string |
✔️ | Namnet på den databas som huvudkonton ska listas för. |
Exempel
Följande kommando visar alla säkerhetsobjekt som har åtkomst till Samples
databasen.
.show database Samples principals
Exempel på utdata
Roll | PrincipalType | PrincipalDisplayName | PrincipalObjectId | PrincipalFQN |
---|---|---|---|---|
Databasexempel Admin | Microsoft Entra användare | Abbi Atkins | cd709aed-a26c-e3953dec735e | aaduser=abbiatkins@fabrikam.com |
Lägga till och ta bort säkerhetsroller
Det här avsnittet innehåller syntax, parametrar och exempel för att lägga till och ta bort huvudkonton.
Syntax
Åtgärderdatabase
DatabaseName-rollens(
huvudnamn [,
principal...] )
[skip-results
] [ beskrivning ]
Läs mer om syntaxkonventioner.
Parametrar
Namn | Typ | Obligatorisk | Beskrivning |
---|---|---|---|
Åtgärd | string |
✔️ | Kommandot .add , .drop , eller .set ..add lägger till de angivna huvudkontona, .drop tar bort de angivna huvudkontona och .set lägger till de angivna huvudkontona och tar bort alla tidigare. |
Databasename | string |
✔️ | Namnet på databasen som du vill lägga till huvudkonton för. |
Role | string |
✔️ | Rollen som ska tilldelas till huvudkontot. För databaser kan detta vara admins , users , viewers , unrestrictedviewers , ingestors eller monitors . |
Huvudkonto | string |
✔️ | Ett eller flera huvudkonton. Vägledning om hur du anger dessa huvudkonton finns i Referera till säkerhetsobjekt. |
skip-results |
string |
Om det anges returnerar kommandot inte den uppdaterade listan över databashuvudkonton. | |
Beskrivning | string |
Text som beskriver ändringen som ska visas när du använder .show kommandot . |
Anteckning
Kommandot .set
med none
i stället för en lista över huvudkonton tar bort alla huvudkonton för den angivna rollen.
Exempel
I följande exempel ser du hur du lägger till säkerhetsroller, tar bort säkerhetsroller och lägger till och tar bort säkerhetsroller i samma kommando.
Lägga till säkerhetsroller med .add
I följande exempel läggs ett huvudnamn till i users
rollen i Samples
databasen.
.add database Samples users ('aaduser=imikeoein@fabrikam.com')
I följande exempel läggs ett program till i viewers
rollen i Samples
databasen.
.add database Samples viewers ('aadapp=4c7e82bd-6adb-46c3-b413-fdd44834c69b;fabrikam.com')
Ta bort säkerhetsroller med .drop
I följande exempel tar bort alla huvudkonton i gruppen från admins
rollen på Samples
databasen.
.drop database Samples admins ('aadGroup=SomeGroupEmail@fabrikam.com')
Lägg till nya säkerhetsroller och ta bort det gamla med .set
I följande exempel tar bort befintliga viewers
och lägger till de angivna huvudkontona som viewers
på Samples
databasen.
.set database Samples viewers ('aaduser=imikeoein@fabrikam.com', 'aaduser=abbiatkins@fabrikam.com')
Ta bort alla säkerhetsroller med .set
Följande kommando tar bort alla befintliga viewers
i Samples
databasen.
.set database Samples viewers none
Relaterat innehåll
Feedback
https://aka.ms/ContentUserFeedback.
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i:Skicka och visa feedback för