Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
S’applique à : ✅Microsoft Fabric✅Azure Data Explorer
Les principaux sont autorisés à accéder aux ressources via un modèle de contrôle d’accès en fonction du rôle, où leurs rôles de sécurité attribués déterminent leur accès aux ressources.
Lorsqu’un principal tente une opération, le système effectue une vérification d’autorisation pour vérifier que le principal est associé à au moins un rôle de sécurité qui accorde des autorisations pour effectuer l’opération. L’échec d’une vérification d’autorisation abandonne l’opération.
Les commandes de gestion répertoriées dans cet article peuvent être utilisées pour gérer les principaux et leurs rôles de sécurité sur des bases de données, des tables, des tables externes, des vues matérialisées et des fonctions.
Remarque
Les rôles de sécurité de AllDatabasesAdmin, AllDatabasesViewer ne peuvent pas être configurés avec les commandes de gestion des rôles de sécurité. Ils sont hérités respectivement par les rôles et Viewer les Admin rôles dans l’espace de travail.
Remarque
Les trois rôles de sécurité au niveau du cluster de AllDatabasesAdmin, AllDatabasesVieweret AllDatabasesMonitor ne peuvent pas être configurés avec des commandes de gestion des rôles de sécurité.
Pour savoir comment les configurer dans le portail Azure, consultez Gérer les autorisations de cluster.
Commandes de gestion
Le tableau suivant décrit les commandes utilisées pour gérer les rôles de sécurité.
| Commande | Descriptif |
|---|---|
.show |
Répertorie les principaux avec le rôle donné. |
.add |
Ajoute un ou plusieurs principaux au rôle. |
.drop |
Supprime un ou plusieurs principaux du rôle. |
.set |
Définit le rôle sur la liste spécifique des principaux, en supprimant tous les éléments précédents. |
Rôles de sécurité
Le tableau suivant décrit le niveau d’accès accordé pour chaque rôle et affiche une vérification si le rôle peut être affecté dans le type d’objet donné.
| Rôle | Autorisations | Bases de données | Tableaux | Tables externes | Vues matérialisées | Fonctions |
|---|---|---|---|---|---|---|
admins |
Affichez, modifiez et supprimez l’objet et les sous-objets. | ✔️ | ✔️ | ✔️ | ✔️ | ✔️ |
users |
Affichez l’objet et créez de nouveaux sous-objets. | ✔️ | ||||
viewers |
Affichez l’objet sur lequel RestrictedViewAccess n’est pas activé. | ✔️ | ||||
unrestrictedviewers |
Affichez l’objet même où RestrictedViewAccess est activé. Le principal doit également disposer adminsviewers d’autorisations ou users d’autorisations. |
✔️ | ||||
ingestors |
Ingérer des données dans l’objet sans accéder à la requête. | ✔️ | ✔️ | |||
monitors |
Affichez les métadonnées telles que les schémas, les opérations et les autorisations. | ✔️ |
Pour obtenir une description complète des rôles de sécurité à chaque étendue, consultez le contrôle d’accès en fonction du rôle Kusto.
Remarque
Il n’est pas possible d’attribuer le viewer rôle pour certaines tables de la base de données. Pour connaître différentes approches sur la façon d’accorder un accès d’affichage principal à un sous-ensemble de tables, consultez gérer l’accès en mode Table.
Scénarios courants
Afficher vos rôles principaux
Pour afficher vos propres rôles sur le cluster, exécutez la commande suivante :
Pour afficher vos propres rôles sur la maison d’événements, exécutez la commande suivante :
.show cluster principal roles
Afficher vos rôles sur une ressource
Pour vérifier les rôles attribués à vous sur une ressource spécifique, exécutez la commande suivante dans la base de données appropriée ou la base de données qui contient la ressource :
// For a database:
.show database DatabaseName principal roles
// For a table:
.show table TableName principal roles
// For an external table:
.show external table ExternalTableName principal roles
// For a function:
.show function FunctionName principal roles
// For a materialized view:
.show materialized-view MaterializedViewName principal roles
Afficher les rôles de tous les principaux d’une ressource
Pour afficher les rôles attribués à tous les principaux d’une ressource particulière, exécutez la commande suivante dans la base de données appropriée ou la base de données qui contient la ressource :
// For a database:
.show database DatabaseName principals
// For a table:
.show table TableName principals
// For an external table:
.show external table ExternalTableName principals
// For a function:
.show function FunctionName principals
// For a materialized view:
.show materialized-view MaterializedViewName principals
Conseil / Astuce
Utilisez l’opérateur où filtrer les résultats par un principal ou un rôle spécifique.
Important
Si le principal se trouve dans le même locataire que l’utilisateur, son nom complet (FQN) s’affiche.
Si le principal se trouve dans un locataire différent de celui de l’utilisateur :
- Le nom complet n’affiche pas le nom de domaine complet.
- Le nom complet indique que le principal provient d’un autre locataire. Le format est
[User/Group/Application] from AAD tenant [Tenant Id]. - Pour ajouter des informations d’identification, affectez au principal un rôle dans leur locataire et utilisez le
Descriptionparamètre pour ajouter des détails d’identification. LaDescriptioncolonne Notes de la sortie s’affiche.
Modifier les attributions de rôles
Pour plus d’informations sur la modification de vos attributions de rôles aux niveaux de base de données et de table, consultez Gérer les rôles de sécurité de base de données et Gérer les rôles de sécurité de table.