Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Gilt für: ✅Microsoft Fabric✅Azure Data Explorer
Prinzipale erhalten Zugriff auf Ressourcen über ein rollenbasiertes Zugriffssteuerungsmodell, bei dem ihre zugewiesenen Sicherheitsrollen den Ressourcenzugriff bestimmen.
In diesem Artikel erfahren Sie, wie Sie Mithilfe von Verwaltungsbefehlen vorhandene Sicherheitsrollen anzeigen und eine Prinzipalzuordnung zu Sicherheitsrollen auf Datenbankebene hinzufügen und ablegen.
Berechtigungen
Sie müssen mindestens über Datenbankadministratorberechtigungen verfügen, um diese Befehle auszuführen.
Hinweis
Um eine Datenbank zu löschen, benötigen Sie mindestens Arm-Berechtigungen (Contributor Azure Resource Manager). Informationen zum Zuweisen von ARM-Berechtigungen finden Sie unter Zuweisen von Azure-Rollen mithilfe des Azure-Portal.
Sicherheitsrollen auf Datenbankebene
Die folgende Tabelle zeigt die möglichen Sicherheitsrollen auf Datenbankebene und beschreibt die berechtigungen, die für jede Rolle gewährt werden.
| Rolle | Berechtigungen |
|---|---|
admins |
Anzeigen und Ändern der Datenbank- und Datenbankentitäten. |
users |
Zeigen Sie die Datenbank an, und erstellen Sie neue Datenbankentitäten. |
viewers |
Zeigen Sie Tabellen in der Datenbank an, in denen RestrictedViewAccess nicht aktiviert ist. |
unrestrictedviewers |
Zeigen Sie die Tabellen in der Datenbank an, auch wenn RestrictedViewAccess aktiviert ist. Der Prinzipal muss auch über Berechtigungen adminsoder viewers Berechtigungen verfügenusers. |
ingestors |
Nehmen Sie Daten ohne Zugriff auf Abfrage in die Datenbank ein. |
monitors |
Zeigen Sie Datenbankmetadaten wie Schemas, Vorgänge und Berechtigungen an. |
Hinweis
Es ist nicht möglich, die viewer Rolle nur für einige Tabellen in der Datenbank zuzuweisen. Unterschiedliche Ansätze zum Gewähren eines Prinzipalansichtszugriffs auf eine Teilmenge von Tabellen finden Sie unter Verwalten des Tabellenansichtszugriffs.
Vorhandene Sicherheitsrollen anzeigen
Bevor Sie Prinzipale hinzufügen oder entfernen, können Sie den .show Befehl verwenden, um eine Tabelle mit allen Prinzipale und Rollen anzuzeigen, die bereits in der Datenbank festgelegt sind.
Syntax
So zeigen Sie alle Rollen an:
.show
database
DatabaseNameprincipals
So zeigen Sie Ihre Rollen an:
.show
database
DatabaseNameprincipalroles
Erfahren Sie mehr über Syntaxkonventionen.
Von Bedeutung
Wenn sich der Prinzipal im selben Mandanten wie der Benutzer befindet, wird sein vollqualifizierter Name (Fully Qualified Name, FQN) angezeigt.
Wenn sich der Prinzipal in einem anderen Mandanten als der Benutzer befindet:
- Der Anzeigename zeigt den FQN nicht an.
- Der Anzeigename gibt an, dass der Prinzipal von einem anderen Mandanten stammt. Das Format ist
[User/Group/Application] from AAD tenant [Tenant Id]. - Um identifizierende Informationen hinzuzufügen, weisen Sie dem Prinzipal eine Rolle in ihrem Mandanten zu, und verwenden Sie den
DescriptionParameter, um identifizierende Details hinzuzufügen. DiesDescriptionwird in der Spalte "Notizen " der Ausgabe angezeigt.
Parameter
| Name | Type | Erforderlich | Beschreibung |
|---|---|---|---|
| DatabaseName | string |
✔️ | Der Name der Datenbank, für die Prinzipale aufgeführt werden sollen. |
Beispiel
Der folgende Befehl listet alle Sicherheitsprinzipale auf, die Zugriff auf die Samples Datenbank haben.
.show database Samples principals
Beispielausgabe
| Rolle | Principaltyp | PrincipalDisplayName | PrincipalObjectId | PrincipalFQN |
|---|---|---|---|---|
| Datenbankbeispieladministrator | Microsoft Entra-Benutzer*in | Abbi Atkins | cd709aed-a26c-e3953dec735e | aaduser=abbiatkins@fabrikam.com |
Hinzufügen und Ablegen der Prinzipalzuordnung zu Sicherheitsrollen
Dieser Abschnitt enthält Syntax, Parameter und Beispiele zum Hinzufügen und Entfernen von Prinzipale zu und aus Sicherheitsrollen.
Syntax
Action DatabaseName-Rollenprinzipal)skip-results
Erfahren Sie mehr über Syntaxkonventionen.
Parameter
| Name | Type | Erforderlich | Beschreibung |
|---|---|---|---|
| Aktion | string |
✔️ | Der Befehl .add, .drop, oder .set.
.add fügt die angegebenen Prinzipale hinzu, .drop entfernt die angegebenen Prinzipale und fügt die angegebenen Prinzipale hinzu und .set entfernt alle vorherigen. |
| DatabaseName | string |
✔️ | Der Name der Datenbank, für die Prinzipale hinzugefügt werden sollen. |
| Rolle | string |
✔️ | Die Rolle, die dem Prinzipal zugewiesen werden soll. Bei Datenbanken können Rollen , admins, users, viewers, unrestrictedviewers, , ingestorsoder monitors. |
| Prinzipal | string |
✔️ | Eine oder mehrere Prinzipale oder verwaltete Identitäten. Um auf verwaltete Identitäten zu verweisen, verwenden Sie das Format "App" mithilfe der ID des verwalteten Identitätsobjekts oder des Verwalteten Identitätsclients (Anwendungs-ID). Anleitungen zum Angeben dieser Prinzipale finden Sie unter Verweisen auf Microsoft Entra-Prinzipale und -Gruppen. |
skip-results |
string |
Wenn angegeben, gibt der Befehl die aktualisierte Liste der Datenbankprinzipale nicht zurück. | |
| Beschreibung | string |
Text zur Beschreibung der Änderung, die bei Verwendung des .show Befehls angezeigt wird. |
| Name | Type | Erforderlich | Beschreibung |
|---|---|---|---|
| Aktion | string |
✔️ | Der Befehl .add, .drop, oder .set.
.add fügt die angegebenen Prinzipale hinzu, .drop entfernt die angegebenen Prinzipale und fügt die angegebenen Prinzipale hinzu und .set entfernt alle vorherigen. |
| DatabaseName | string |
✔️ | Der Name der Datenbank, für die Prinzipale hinzugefügt werden sollen. |
| Rolle | string |
✔️ | Die Rolle, die dem Prinzipal zugewiesen werden soll. Bei Datenbanken kann dies wie folgt seinadmins: , users, , viewers, unrestrictedviewers, , oder ingestorsmonitors. |
| Prinzipal | string |
✔️ | Mindestens ein Prinzipal. Anleitungen zum Angeben dieser Prinzipale finden Sie unter Verweisen auf Microsoft Entra-Prinzipale und -Gruppen. |
skip-results |
string |
Wenn angegeben, gibt der Befehl die aktualisierte Liste der Datenbankprinzipale nicht zurück. | |
| Beschreibung | string |
Text zur Beschreibung der Änderung, die bei Verwendung des .show Befehls angezeigt wird. |
Hinweis
Der .set Befehl anstelle none einer Liste von Prinzipalen entfernt alle Prinzipale der angegebenen Rolle.
Beispiele
In den folgenden Beispielen erfahren Sie, wie Sie Sicherheitsrollen hinzufügen, Sicherheitsrollen entfernen und Sicherheitsrollen im selben Befehl hinzufügen und entfernen.
Hinzufügen von Sicherheitsrollen mit ".add"
Im folgenden Beispiel wird der Rolle in der usersSamples Datenbank ein Prinzipal hinzugefügt.
.add database Samples users ('aaduser=imikeoein@fabrikam.com')
Im folgenden Beispiel wird der Rolle in der viewersSamples Datenbank eine Anwendung hinzugefügt.
.add database Samples viewers ('aadapp=4c7e82bd-6adb-46c3-b413-fdd44834c69b;fabrikam.com')
Entfernen von Sicherheitsrollen mit DROP
Im folgenden Beispiel werden alle Prinzipale in der Gruppe aus der Rolle in der adminsSamples Datenbank entfernt.
.drop database Samples admins ('aadGroup=SomeGroupEmail@fabrikam.com')
Hinzufügen neuer Sicherheitsrollen und Entfernen der alten mit ".set"
Im folgenden Beispiel werden vorhandene viewers Und die bereitgestellten Prinzipale wie viewers in der Samples Datenbank hinzugefügt.
.set database Samples viewers ('aaduser=imikeoein@fabrikam.com', 'aaduser=abbiatkins@fabrikam.com')
Entfernen aller Sicherheitsrollen mit ".set"
Mit dem folgenden Befehl werden alle in der viewers Datenbank vorhandenen Elemente Samples entfernt.
.set database Samples viewers none