Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Dotyczy: ✅Microsoft Fabric✅Azure Data Explorer
Podmioty zabezpieczeń otrzymują dostęp do zasobów za pośrednictwem modelu kontroli dostępu opartego na rolach, w którym przypisane role zabezpieczeń określają dostęp do zasobów.
Gdy podmiot zabezpieczeń próbuje wykonać operację, system wykonuje kontrolę autoryzacji, aby upewnić się, że podmiot zabezpieczeń jest skojarzony z co najmniej jedną rolą zabezpieczeń, która przyznaje uprawnienia do wykonywania operacji. Niepowodzenie sprawdzania autoryzacji przerywa operację.
Polecenia zarządzania wymienione w tym artykule mogą służyć do zarządzania jednostkami i ich rolami zabezpieczeń w bazach danych, tabelach, tabelach zewnętrznych, zmaterializowanych widokach i funkcjach.
Uwaga / Notatka
Nie można skonfigurować ról AllDatabasesAdminAllDatabasesViewer zabezpieczeń programu za pomocą poleceń zarządzania rolami zabezpieczeń. Są one dziedziczone odpowiednio przez Admin role i Viewer w obszarze roboczym.
Uwaga / Notatka
Trzy role zabezpieczeń na poziomie klastra AllDatabasesAdmin, AllDatabasesVieweri AllDatabasesMonitor nie można skonfigurować za pomocą poleceń zarządzania rolami zabezpieczeń.
Aby dowiedzieć się, jak je skonfigurować w witrynie Azure Portal, zobacz Zarządzanie uprawnieniami klastra.
Polecenia zarządzania
W poniższej tabeli opisano polecenia używane do zarządzania rolami zabezpieczeń.
| Komenda | Opis |
|---|---|
.show |
Wyświetla listę podmiotów z daną rolą. |
.add |
Dodaje co najmniej jeden podmiot zabezpieczeń do roli. |
.drop |
Usuwa co najmniej jeden podmiot zabezpieczeń z roli. |
.set |
Ustawia rolę na określoną listę podmiotów zabezpieczeń, usuwając wszystkie poprzednie. |
Role zabezpieczeń
W poniższej tabeli opisano poziom dostępu przyznany dla każdej roli i pokazano, czy rolę można przypisać w obrębie danego typu obiektu.
| Rola | Uprawnienia | Baz danych | Tabele | Tabele zewnętrzne | Zmaterializowane widoki | Functions |
|---|---|---|---|---|---|---|
admins |
Wyświetl, zmodyfikuj i usuń obiekt i podobiekty. | ✔️ | ✔️ | ✔️ | ✔️ | ✔️ |
users |
Wyświetl obiekt i utwórz nowe podobiekty. | ✔️ | ||||
viewers |
Wyświetl obiekt, w którym funkcja RestrictedViewAccess nie jest włączona. | ✔️ | ||||
unrestrictedviewers |
Wyświetl obiekt nawet wtedy, gdy funkcja RestrictedViewAccess jest włączona. Podmiot zabezpieczeń musi również mieć adminsuprawnienia lub viewersusers . |
✔️ | ||||
ingestors |
Pozyskiwanie danych do obiektu bez dostępu do zapytania. | ✔️ | ✔️ | |||
monitors |
Wyświetlanie metadanych, takich jak schematy, operacje i uprawnienia. | ✔️ |
Pełny opis ról zabezpieczeń w każdym zakresie można znaleźć w temacie Kontrola dostępu oparta na rolach usługi Kusto.
Uwaga / Notatka
Nie można przypisać viewer roli tylko dla niektórych tabel w bazie danych. Aby uzyskać różne podejścia dotyczące udzielania dostępu widoku podmiotu zabezpieczeń do podzbioru tabel, zobacz Zarządzanie dostępem do widoku tabeli.
Typowe scenariusze
Wyświetlanie ról głównych
Aby wyświetlić własne role w klastrze, uruchom następujące polecenie:
Aby wyświetlić własne role w centrum zdarzeń, uruchom następujące polecenie:
.show cluster principal roles
Wyświetlanie ról w zasobie
Aby sprawdzić role przypisane do Ciebie w określonym zasobie, uruchom następujące polecenie w odpowiedniej bazie danych lub bazie danych zawierającej zasób:
// For a database:
.show database DatabaseName principal roles
// For a table:
.show table TableName principal roles
// For an external table:
.show external table ExternalTableName principal roles
// For a function:
.show function FunctionName principal roles
// For a materialized view:
.show materialized-view MaterializedViewName principal roles
Pokaż role wszystkich podmiotów zabezpieczeń w zasobie
Aby wyświetlić role przypisane do wszystkich podmiotów zabezpieczeń dla określonego zasobu, uruchom następujące polecenie w odpowiedniej bazie danych lub bazie danych zawierającej zasób:
// For a database:
.show database DatabaseName principals
// For a table:
.show table TableName principals
// For an external table:
.show external table ExternalTableName principals
// For a function:
.show function FunctionName principals
// For a materialized view:
.show materialized-view MaterializedViewName principals
Wskazówka
Użyj operatora where , aby filtrować wyniki według określonego podmiotu zabezpieczeń lub roli.
Ważne
Jeśli podmiot zabezpieczeń znajduje się w tej samej dzierżawie co użytkownik, zostanie wyświetlona ich w pełni kwalifikowana nazwa (FQN).
Jeśli podmiot zabezpieczeń znajduje się w innej dzierżawie niż użytkownik:
- Nazwa wyświetlana nie wyświetla nazwy FQN.
- Nazwa wyświetlana wskazuje, że podmiot zabezpieczeń pochodzi z innej dzierżawy. Format to jest
[User/Group/Application] from AAD tenant [Tenant Id]. - Aby dodać informacje identyfikujące, przypisz podmiot zabezpieczeń rolę w dzierżawie i użyj parametru
Description, aby dodać szczegóły identyfikacji. ElementDescriptionjest wyświetlany w kolumnie Uwagi danych wyjściowych.
Modyfikowanie przypisań ról
Aby uzyskać szczegółowe informacje na temat modyfikowania przypisań ról na poziomach bazy danych i tabeli, zobacz Zarządzanie rolami zabezpieczeń bazy danych i Zarządzanie rolami zabezpieczeń tabeli.