Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Azure Cosmos DB für Tabelle macht einen eindeutigen Satz von Datenaktionen und Rollen innerhalb der systemeigenen rollenbasierten Zugriffssteuerungsimplementierung verfügbar. Dieser Artikel enthält eine Liste dieser Aktionen und Rollen mit Beschreibungen zu den Berechtigungen, die für jede Ressource gewährt werden.
Warnung
Die Eigenschaft wird von Azure Cosmos DB für die notDataActions systemeigene rollenbasierte Zugriffssteuerung der Tabelle nicht unterstützt. Jede Aktion, die nicht als zulässig dataAction angegeben ist, wird automatisch ausgeschlossen.
Integrierte Aktionen
Hier ist eine Liste der Datenaktionen, die in einer Rollendefinition einzeln festgelegt werden können.
| Description | |
|---|---|
Microsoft.DocumentDB/databaseAccounts/readMetadata |
Lesen einiger Kontometadaten |
Microsoft.DocumentDB/databaseAccounts/tables/containers/executeQuery |
Führt eine Abfrage für eine Tabelle aus. |
Microsoft.DocumentDB/databaseAccounts/tables/containers/executeStoredProcedure |
Führt eine Tabellentransaktion (Prozedur) aus. |
Microsoft.DocumentDB/databaseAccounts/tables/containers/entities/create |
Erstellt eine neue Entität (Element) |
Microsoft.DocumentDB/databaseAccounts/tables/containers/entities/read |
Point liest eine einzelne Entität (Element) mithilfe der Zeilen- und Partitionsschlüssel vor. |
Microsoft.DocumentDB/databaseAccounts/tables/containers/entities/replace |
Ersetzt vollständig eine vorhandene Entität (Element) |
Microsoft.DocumentDB/databaseAccounts/tables/containers/entities/upsert |
Erstellt eine Entität (Element), wenn sie nicht vorhanden ist oder die Entität ersetzt, wenn sie bereits vorhanden ist. |
Microsoft.DocumentDB/databaseAccounts/tables/containers/entities/delete |
Löscht eine Entität (Element) |
Microsoft.DocumentDB/databaseAccounts/throughputSettings/read |
Lesen des aktuellen Durchsatzes |
Microsoft.DocumentDB/databaseAccounts/throughputSettings/write |
Ändern des aktuellen Durchsatzes |
Microsoft.DocumentDB/databaseAccounts/tables/write |
Erstellen oder Aktualisieren einer Tabelle |
Microsoft.DocumentDB/databaseAccounts/tables/delete |
Löschen einer Tabelle |
Microsoft.DocumentDB/databaseAccounts/tables/containers/write |
Erstellen oder Aktualisieren eines Containers |
Microsoft.DocumentDB/databaseAccounts/tables/containers/delete |
Container löschen |
Microsoft.DocumentDB/databaseAccounts/tables/containers/readChangeFeed |
Lesen aus dem Änderungsfeed des Containers |
Microsoft.DocumentDB/databaseAccounts/tables/containers/manageConflicts |
Verwalten von Konflikten für Konten mit mehreren Schreibregionen (Listen und Löschen von Elementen aus dem Konfliktfeed) |
Datenaktions-Wildcards
Der Wildcard-Operator (*) wird auf den tablescontainersEbenen und Ebenen entities für Aktionen unterstützt. Verwenden Sie den Wildcard, um einen breiten Zugriff auf einen bestimmten Ressourcentyp zu gewähren.
| Description | |
|---|---|
Microsoft.DocumentDB/databaseAccounts/tables/* |
Ausführen aller Vorgänge für Tabellen |
Microsoft.DocumentDB/databaseAccounts/tables/containers/* |
Ausführen aller Vorgänge für Container |
Microsoft.DocumentDB/databaseAccounts/tables/containers/entities/* |
Ausführen aller Vorgänge für Entitäten (Elemente) |
Microsoft.DocumentDB/databaseAccounts/throughputSettings/* |
Ausführen aller Vorgänge im Zusammenhang mit dem Durchsatz |
Erforderliche Metadaten für Aktionen
Die Azure Cosmos DB Software Development Kits (SDKs) stellen schreibgeschützte Metadatenanforderungen während der Initialisierung aus und stellen spezifische Datenanforderungen bereit. Diese Anforderungen rufen verschiedene Konfigurationsdetails ab, z. B.:
- Die globale Konfiguration Ihres Kontos, einschließlich der Azure-Regionen, in denen das Konto verfügbar ist
- Der Partitionsschlüssel Ihrer Container oder deren Indizierungsrichtlinie
- Die Liste der physischen Partitionen, die einen Container und deren Adressen bilden
- Sie rufen keine der Daten ab, die in Ihrem Konto gespeichert sind.
Um die beste Transparenz unseres Berechtigungsmodells sicherzustellen, werden diese Metadatenanforderungen explizit von der Microsoft.DocumentDB/databaseAccounts/readMetadata Datenaktion abgedeckt. Diese Aktion muss in jeder Situation zulässig sein, in der Ihr Azure Cosmos DB-Konto über einen der Azure Cosmos DB-SDKs zugegriffen wird.
Die Aktion kann auf jeder Ebene in der Hierarchie eines Azure Cosmos DB-Kontos, einschließlich Konto, Datenbank oder Container, zugewiesen werden. Die zulässigen Metadatenanforderungen hängen vom Bereich ab:
-
Konto
- Auflisten der Datenbanken unter dem Konto
- Für jede Datenbank unter dem Konto die zulässigen Aktionen im Datenbankbereich
-
Tabelle
- Lesen von Tabellenmetadaten
- Auflisten der Container unter der Tabelle
- Für jeden Container unter der Tabelle die zulässigen Aktionen im Containerbereich
-
Container
- Lesen von Containermetadaten
- Auflisten physischer Partitionen unter der Tabelle
- Auflösen der Adresse jeder physischen Partition
Von Bedeutung
Sie können den Durchsatz mit der Microsoft.DocumentDB/databaseAccounts/readMetadata Datenaktion nicht verwalten.
Festgelegte Rollen
Azure Cosmos DB für Tabelle definiert datenebenenspezifische Rollendefinitionen. Diese Rollen unterscheiden sich von Rollendefinitionen für die rollenbasierte Azure-Zugriffssteuerung.
Integrierter Cosmos DB-Datenleser
ID: 00000000-0000-0000-0000-000000000001
-
Eingeschlossene Aktionen
Microsoft.DocumentDB/databaseAccounts/readMetadataMicrosoft.DocumentDB/databaseAccounts/tables/containers/entities/read
Integrierter Mitwirkender an Cosmos DB-Daten
ID: 00000000-0000-0000-0000-000000000002
-
Eingeschlossene Aktionen
Microsoft.DocumentDB/databaseAccounts/readMetadataMicrosoft.DocumentDB/databaseAccounts/tables/*Microsoft.DocumentDB/databaseAccounts/tables/containers/entities/*