Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Azure Cosmos DB pour NoSQL expose un ensemble unique d’actions et de rôles de données au sein de son implémentation de contrôle d’accès en fonction du rôle natif. Cet article inclut une liste de ces actions et rôles avec des descriptions sur les autorisations accordées pour chaque ressource.
Avertissement
Le contrôle d’accès en fonction du rôle natif d’Azure Cosmos DB for NoSQL ne prend pas en charge la propriété notDataActions. Toute action qui n’est pas spécifiée en tant qu’autorisation dataAction est exclue automatiquement.
Actions intégrées
Voici une liste d’actions de données qui peuvent être définies individuellement dans une définition de rôle.
| Descriptif | |
|---|---|
Microsoft.DocumentDB/databaseAccounts/readMetadata |
Lire les métadonnées requises à partir du compte pour les opérations de plan de données |
Microsoft.DocumentDB/databaseAccounts/sqlDatabases/containers/items/create |
Crée des éléments |
Microsoft.DocumentDB/databaseAccounts/sqlDatabases/containers/items/read |
Lit des éléments spécifiques en effectuant une lecture de point à l’aide de la clé de partition et de l’identificateur unique |
Microsoft.DocumentDB/databaseAccounts/sqlDatabases/containers/items/replace |
Remplace les éléments existants |
Microsoft.DocumentDB/databaseAccounts/sqlDatabases/containers/items/upsert |
Crée un élément s’il n’existe pas ou remplace un élément existant |
Microsoft.DocumentDB/databaseAccounts/sqlDatabases/containers/items/delete |
Supprime un élément |
Microsoft.DocumentDB/databaseAccounts/sqlDatabases/containers/executeQuery |
Exécute une requête NoSQL |
Microsoft.DocumentDB/databaseAccounts/sqlDatabases/containers/readChangeFeed |
Lit le flux de modification du conteneur |
Microsoft.DocumentDB/databaseAccounts/sqlDatabases/containers/executeStoredProcedure |
Exécute des procédures stockées |
Microsoft.DocumentDB/databaseAccounts/sqlDatabases/containers/manageConflicts |
Gérer les conflits pour les comptes à l’aide du flux de conflit |
Note
Pour effectuer des requêtes NoSQL à l’aide des kits de développement logiciel (SDK), vous devez disposer des autorisations et Microsoft.DocumentDB/databaseAccounts/sqlDatabases/containers/executeQuery des Microsoft.DocumentDB/databaseAccounts/sqlDatabases/containers/readChangeFeed autorisations.
Caractères génériques d’action de données
Les caractères génériques sont pris en charge aux niveaux conteneurs et éléments.
| Descriptif | |
|---|---|
Microsoft.DocumentDB/databaseAccounts/sqlDatabases/containers/* |
Effectuer toutes les opérations spécifiques au conteneur telles que l’exécution de requêtes, la lecture du flux de modification, la gestion des conflits et l’exécution de procédures stockées |
Microsoft.DocumentDB/databaseAccounts/sqlDatabases/containers/items/* |
Effectuer toutes les opérations spécifiques aux éléments, telles que la création, la lecture, la mise à jour, le remplacement et la suppression d’éléments |
Rôles intégrés
Azure Cosmos DB pour NoSQL définit des définitions de rôle spécifiques au plan de données. Ces rôles sont distincts des définitions de rôle de contrôle d’accès en fonction du rôle Azure.
Lecteur de données intégré Cosmos DB
ID : 00000000-0000-0000-0000-000000000001
-
Actions incluses
Microsoft.DocumentDB/databaseAccounts/readMetadataMicrosoft.DocumentDB/databaseAccounts/sqlDatabases/containers/items/readMicrosoft.DocumentDB/databaseAccounts/sqlDatabases/containers/executeQueryMicrosoft.DocumentDB/databaseAccounts/sqlDatabases/containers/readChangeFeed
Contributeur de données intégré Cosmos DB
ID : 00000000-0000-0000-0000-000000000002
-
Actions incluses
Microsoft.DocumentDB/databaseAccounts/readMetadataMicrosoft.DocumentDB/databaseAccounts/sqlDatabases/containers/*Microsoft.DocumentDB/databaseAccounts/sqlDatabases/containers/items/*
Métadonnées obligatoires
Les kits de développement logiciel Azure Cosmos DB émettent des demandes de métadonnées en lecture seule pendant l’initialisation et pour traiter des demandes de données spécifiques. Ces demandes récupèrent différents détails de configuration tels que :
- La configuration globale de votre compte, qui inclut les régions Azure dans lesquelles le compte est disponible
- Clé de partition de vos conteneurs ou stratégie d’indexation
- Liste des partitions physiques qui font un conteneur et leurs adresses
- Ils n’extraient aucune des données stockées dans votre compte
Pour garantir la meilleure transparence de notre modèle d’autorisation, ces demandes de métadonnées sont explicitement couvertes par l’action de Microsoft.DocumentDB/databaseAccounts/readMetadata données. Cette action doit être autorisée dans toutes les situations où votre compte Azure Cosmos DB est accessible via l’un des kits SDK Azure Cosmos DB.
L’action peut être affectée à n’importe quel niveau dans la hiérarchie d’un compte Azure Cosmos DB, y compris le compte, la base de données ou le conteneur. Les demandes de métadonnées réelles autorisées dépendent de l’étendue :
-
Compte
- Liste des bases de données sous le compte
- Pour chaque base de données sous le compte, les actions autorisées dans l’étendue de la base de données
-
Base de données
- Lecture des métadonnées de base de données
- Liste des conteneurs sous la base de données
- Pour chaque conteneur sous la base de données, les actions autorisées dans l’étendue du conteneur
-
Conteneur
- Lecture des métadonnées de conteneur
- Liste des partitions physiques sous le conteneur
- Résolution de l’adresse de chaque partition physique
Important
Vous ne pouvez pas gérer le débit avec l’action de Microsoft.DocumentDB/databaseAccounts/readMetadata données.
Contenu connexe
- Bonnes pratiques de sécurité