다음을 통해 공유

테이블 데이터 평면 보안 참조용 Azure Cosmos DB

  • 적용 대상: ✅ Table

테이블용 Azure Cosmos DB는 고유 역할 기반 액세스 제어 구현 내에서 고유한 데이터 작업 및 역할 집합을 노출합니다. 이 문서에는 각 리소스에 대해 부여된 권한에 대한 설명이 포함된 해당 작업 및 역할 목록이 포함되어 있습니다.

경고

Table의 네이티브 역할 기반 액세스 제어용 Azure Cosmos DB는 이 속성을 지원하지 notDataActions 않습니다. 허용되는 dataAction 동작으로 지정되지 않은 작업은 자동으로 제외됩니다.

기본 제공 작업

다음은 역할 정의에서 개별적으로 설정할 수 있는 데이터 작업 목록입니다.

Description
Microsoft.DocumentDB/databaseAccounts/readMetadata 일부 계정 메타데이터 읽기
Microsoft.DocumentDB/databaseAccounts/tables/containers/executeQuery 테이블에 대해 쿼리를 실행합니다.
Microsoft.DocumentDB/databaseAccounts/tables/containers/executeStoredProcedure 테이블 트랜잭션 실행(프로시저)
Microsoft.DocumentDB/databaseAccounts/tables/containers/entities/create 새 엔터티(항목)를 만듭니다.
Microsoft.DocumentDB/databaseAccounts/tables/containers/entities/read 지점은 행 및 파티션 키를 사용하여 개별 엔터티(항목)를 읽습니다.
Microsoft.DocumentDB/databaseAccounts/tables/containers/entities/replace 기존 엔터티(항목)를 완전히 대체합니다.
Microsoft.DocumentDB/databaseAccounts/tables/containers/entities/upsert 엔터티가 없는 경우 엔터티(항목)를 만들거나 엔터티가 이미 있는 경우 해당 엔터티를 바꿉니다.
Microsoft.DocumentDB/databaseAccounts/tables/containers/entities/delete 엔터티(항목)를 삭제합니다.
Microsoft.DocumentDB/databaseAccounts/throughputSettings/read 현재 처리량 읽기
Microsoft.DocumentDB/databaseAccounts/throughputSettings/write 현재 처리량 수정
Microsoft.DocumentDB/databaseAccounts/tables/write 테이블 만들기 또는 업데이트
Microsoft.DocumentDB/databaseAccounts/tables/delete 테이블 삭제
Microsoft.DocumentDB/databaseAccounts/tables/containers/write 컨테이너 만들기 또는 업데이트
Microsoft.DocumentDB/databaseAccounts/tables/containers/delete 컨테이너 삭제
Microsoft.DocumentDB/databaseAccounts/tables/containers/readChangeFeed 컨테이너의 변경 피드에서 읽기
Microsoft.DocumentDB/databaseAccounts/tables/containers/manageConflicts 다중 쓰기 지역 계정에 대한 충돌 관리(충돌 피드에서 항목 나열 및 삭제)

데이터 작업 와일드카드

와일드카드(*) 연산자는 작업 및 tables 수준에서 지원containersentities됩니다. 와일드카드를 사용하여 특정 리소스 종류에 대한 광범위한 액세스 권한을 부여합니다.

Description
Microsoft.DocumentDB/databaseAccounts/tables/* 테이블에서 모든 작업 수행
Microsoft.DocumentDB/databaseAccounts/tables/containers/* 컨테이너에 대한 모든 작업 수행
Microsoft.DocumentDB/databaseAccounts/tables/containers/entities/* 엔터티(항목)에 대한 모든 작업 수행
Microsoft.DocumentDB/databaseAccounts/throughputSettings/* 처리량과 관련된 모든 작업 수행

작업에 필요한 메타데이터

Azure Cosmos DB SDK(소프트웨어 개발 키트)는 초기화 중에 읽기 전용 메타데이터 요청을 실행하고 특정 데이터 요청을 처리합니다. 이러한 요청은 다음과 같은 다양한 구성 세부 정보를 가져옵니다.

  • 계정을 사용할 수 있는 Azure 지역을 포함하는 계정의 전역 구성
  • 컨테이너 또는 해당 인덱싱 정책의 파티션 키
  • 컨테이너 및 해당 주소를 만드는 실제 파티션 목록
  • 계정에 저장된 데이터를 가져오지 않습니다.

사용 권한 모델의 최상의 투명성을 보장하기 위해 이러한 메타데이터 요청은 데이터 작업에서 Microsoft.DocumentDB/databaseAccounts/readMetadata 명시적으로 적용됩니다. 이 작업은 Azure Cosmos DB 계정 중 하나를 통해 Azure Cosmos DB 계정에 액세스하는 모든 상황에서 허용되어야 합니다.

이 작업은 계정, 데이터베이스 또는 컨테이너를 포함하여 Azure Cosmos DB 계정 계층 구조의 모든 수준에서 할당할 수 있습니다. 허용되는 실제 메타데이터 요청은 범위에 따라 달라집니다.

  • 계정
    • 계정 아래에 데이터베이스 나열
    • 계정 아래의 각 데이터베이스에 대해 데이터베이스 범위에서 허용되는 작업
  • 테이블
    • 테이블 메타데이터 읽기
    • 테이블 아래에 컨테이너 나열
    • 테이블 아래의 각 컨테이너에 대해 컨테이너 범위에서 허용되는 작업
  • 컨테이너
    • 컨테이너 메타데이터 읽기
    • 테이블 아래에 실제 파티션 나열
    • 각 실제 파티션의 주소 확인

중요합니다

데이터 작업으로 Microsoft.DocumentDB/databaseAccounts/readMetadata 처리량을 관리할 수 없습니다.

기본 제공 역할

테이블용 Azure Cosmos DB는 데이터 평면별 역할 정의를 정의합니다. 이러한 역할은 Azure 역할 기반 액세스 제어 역할 정의와 다릅니다.

Cosmos DB 기본 제공 데이터 판독기

ID: 00000000-0000-0000-0000-000000000001

  • 포함된 작업
    • Microsoft.DocumentDB/databaseAccounts/readMetadata
    • Microsoft.DocumentDB/databaseAccounts/tables/containers/entities/read

Cosmos DB 기본 제공 데이터 기여자

ID: 00000000-0000-0000-0000-000000000002

  • 포함된 작업
    • Microsoft.DocumentDB/databaseAccounts/readMetadata
    • Microsoft.DocumentDB/databaseAccounts/tables/*
    • Microsoft.DocumentDB/databaseAccounts/tables/containers/entities/*

관련 콘텐츠

  • Last updated on