Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Usługa Azure Cosmos DB for Table udostępnia unikatowy zestaw akcji i ról danych w ramach natywnej implementacji kontroli dostępu opartej na rolach. Ten artykuł zawiera listę tych akcji i ról z opisami dotyczącymi uprawnień przyznanych dla każdego zasobu.
Ostrzeżenie
Natywna kontrola dostępu oparta na rolach w usłudze Azure Cosmos DB dla tabel nie obsługuje notDataActions właściwości . Każda akcja, która nie jest określona jako dozwolona dataAction , jest automatycznie wykluczana.
Wbudowane akcje
Oto lista akcji danych, które można ustawić indywidualnie w definicji roli.
| Description | |
|---|---|
Microsoft.DocumentDB/databaseAccounts/readMetadata |
Odczytywanie metadanych konta |
Microsoft.DocumentDB/databaseAccounts/tables/containers/executeQuery |
Wykonuje zapytanie względem tabeli |
Microsoft.DocumentDB/databaseAccounts/tables/containers/executeStoredProcedure |
Wykonuje transakcję tabeli (procedura) |
Microsoft.DocumentDB/databaseAccounts/tables/containers/entities/create |
Tworzy nową jednostkę (element) |
Microsoft.DocumentDB/databaseAccounts/tables/containers/entities/read |
Punkt odczytuje pojedynczą jednostkę (element) przy użyciu kluczy wiersza i partycji |
Microsoft.DocumentDB/databaseAccounts/tables/containers/entities/replace |
Całkowicie zastępuje istniejącą jednostkę (element) |
Microsoft.DocumentDB/databaseAccounts/tables/containers/entities/upsert |
Tworzy jednostkę (element), jeśli nie istnieje lub zastępuje jednostkę, jeśli już istnieje |
Microsoft.DocumentDB/databaseAccounts/tables/containers/entities/delete |
Usuwa jednostkę (element) |
Microsoft.DocumentDB/databaseAccounts/throughputSettings/read |
Odczytywanie bieżącej przepływności |
Microsoft.DocumentDB/databaseAccounts/throughputSettings/write |
Modyfikowanie bieżącej przepływności |
Microsoft.DocumentDB/databaseAccounts/tables/write |
Tworzenie lub aktualizowanie tabeli |
Microsoft.DocumentDB/databaseAccounts/tables/delete |
Usuń tabelę |
Microsoft.DocumentDB/databaseAccounts/tables/containers/write |
Tworzenie lub aktualizowanie kontenera |
Microsoft.DocumentDB/databaseAccounts/tables/containers/delete |
Usuwanie kontenera |
Microsoft.DocumentDB/databaseAccounts/tables/containers/readChangeFeed |
Odczytywanie ze źródła zmian kontenera |
Microsoft.DocumentDB/databaseAccounts/tables/containers/manageConflicts |
Zarządzanie konfliktami dla kont regionów z wieloma zapisami (wyświetlanie listy i usuwanie elementów z kanału informacyjnego konfliktów) |
Symbole wieloznaczne akcji danych
Operator symboli wieloznacznych (*) jest obsługiwany na poziomach tables, containersi entities dla akcji. Użyj symbolu wieloznakowego, aby udzielić szerokiego dostępu do określonego typu zasobu.
| Description | |
|---|---|
Microsoft.DocumentDB/databaseAccounts/tables/* |
Wykonywanie wszystkich operacji w tabelach |
Microsoft.DocumentDB/databaseAccounts/tables/containers/* |
Wykonywanie wszystkich operacji na kontenerach |
Microsoft.DocumentDB/databaseAccounts/tables/containers/entities/* |
Wykonywanie wszystkich operacji na jednostkach (elementach) |
Microsoft.DocumentDB/databaseAccounts/throughputSettings/* |
Wykonywanie wszystkich operacji związanych z przepływnością |
Wymagane metadane dla akcji
Zestawy SDK (Software Development Kit) usługi Azure Cosmos DB wystawiają żądania metadanych tylko do odczytu podczas inicjowania i obsługują określone żądania danych. Te żądania pobierają różne szczegóły konfiguracji, takie jak:
- Globalna konfiguracja konta, która obejmuje regiony platformy Azure, w których konto jest dostępne
- Klucz partycji kontenerów lub ich zasad indeksowania
- Lista partycji fizycznych, które tworzą kontener i ich adresy
- Nie pobierają żadnych danych przechowywanych na Twoim koncie
Aby zapewnić najlepszą przejrzystość naszego modelu uprawnień, te żądania metadanych są jawnie objęte Microsoft.DocumentDB/databaseAccounts/readMetadata akcją danych. Ta akcja musi być dozwolona w każdej sytuacji, w której twoje konto usługi Azure Cosmos DB jest dostępne za pośrednictwem jednego z zestawów SDK usługi Azure Cosmos DB.
Akcję można przypisać na dowolnym poziomie w hierarchii konta usługi Azure Cosmos DB, w tym konta, bazy danych lub kontenera. Dozwolone rzeczywiste żądania metadanych zależą od zakresu:
-
Rachunek
- Wyświetlanie listy baz danych na koncie
- Dla każdej bazy danych w ramach konta dozwolone akcje w zakresie bazy danych
-
tabela
- Odczytywanie metadanych tabeli
- Wyświetlanie listy kontenerów w tabeli
- Dla każdego kontenera w tabeli dozwolone akcje w zakresie kontenera
-
Pojemnik
- Odczytywanie metadanych kontenera
- Wyświetlanie listy partycji fizycznych w tabeli
- Rozpoznawanie adresu każdej partycji fizycznej
Ważne
Nie można zarządzać przepływnością za Microsoft.DocumentDB/databaseAccounts/readMetadata pomocą akcji danych.
Wbudowane role
Usługa Azure Cosmos DB dla tabeli definiuje definicje ról specyficznych dla płaszczyzny danych. Te role różnią się od definicji ról kontroli dostępu na platformie Azure.
Wbudowany czytnik danych usługi Cosmos DB
Identyfikator: 00000000-0000-0000-0000-000000000001
-
Uwzględnione akcje
Microsoft.DocumentDB/databaseAccounts/readMetadataMicrosoft.DocumentDB/databaseAccounts/tables/containers/entities/read
Współautor danych wbudowanych w usłudze Cosmos DB
Identyfikator: 00000000-0000-0000-0000-000000000002
-
Uwzględnione akcje
Microsoft.DocumentDB/databaseAccounts/readMetadataMicrosoft.DocumentDB/databaseAccounts/tables/*Microsoft.DocumentDB/databaseAccounts/tables/containers/entities/*