Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
O Azure Cosmos DB para NoSQL expõe um conjunto exclusivo de ações e funções de dados dentro de sua implementação de controle de acesso baseada em função nativa. Este artigo inclui uma lista dessas ações e funções com descrições sobre quais permissões são concedidas para cada recurso.
Aviso
O controle nativo de acesso baseado em função do Azure Cosmos DB para NoSQL não dá suporte à propriedade notDataActions. Qualquer ação que não seja especificada como permitida dataAction é excluída automaticamente.
Ações internas
Aqui está uma lista de ações de dados que podem ser definidas individualmente em uma definição de função.
| Description | |
|---|---|
Microsoft.DocumentDB/databaseAccounts/readMetadata |
Ler metadados necessários da conta para operações do plano de dados |
Microsoft.DocumentDB/databaseAccounts/sqlDatabases/containers/items/create |
Cria novos itens |
Microsoft.DocumentDB/databaseAccounts/sqlDatabases/containers/items/read |
Lê itens específicos executando uma leitura de ponto usando a chave de partição e o identificador exclusivo |
Microsoft.DocumentDB/databaseAccounts/sqlDatabases/containers/items/replace |
Substitui itens existentes |
Microsoft.DocumentDB/databaseAccounts/sqlDatabases/containers/items/upsert |
Cria um novo item se ele não existir ou substitui um item existente |
Microsoft.DocumentDB/databaseAccounts/sqlDatabases/containers/items/delete |
Exclui um item |
Microsoft.DocumentDB/databaseAccounts/sqlDatabases/containers/executeQuery |
Executa uma consulta NoSQL |
Microsoft.DocumentDB/databaseAccounts/sqlDatabases/containers/readChangeFeed |
Lê do feed de alterações do contêiner |
Microsoft.DocumentDB/databaseAccounts/sqlDatabases/containers/executeStoredProcedure |
Executa procedimentos armazenados |
Microsoft.DocumentDB/databaseAccounts/sqlDatabases/containers/manageConflicts |
Gerenciar conflitos para contas usando o feed de conflitos |
Observação
Para executar consultas NoSQL usando os SDKs (kits de desenvolvimento de software), você deve ter as Microsoft.DocumentDB/databaseAccounts/sqlDatabases/containers/executeQuery permissões e Microsoft.DocumentDB/databaseAccounts/sqlDatabases/containers/readChangeFeed .
Curingas da ação de dados
Os curingas têm suporte nos níveis de contêineres e itens.
| Description | |
|---|---|
Microsoft.DocumentDB/databaseAccounts/sqlDatabases/containers/* |
Execute todas as operações específicas do contêiner, como executar consultas, ler o feed de alterações, gerenciar conflitos e executar procedimentos armazenados |
Microsoft.DocumentDB/databaseAccounts/sqlDatabases/containers/items/* |
Execute todas as operações específicas do item, como criar, ler, atualizar, substituir e excluir itens |
Funções incorporadas
O Azure Cosmos DB for NoSQL define definições de função específicas do plano de dados. Essas funções são distintas das definições de função de controle de acesso baseadas em função do Azure.
Leitor de Dados Incorporado do Cosmos DB
ID: 00000000-0000-0000-0000-000000000001
-
Ações incluídas
Microsoft.DocumentDB/databaseAccounts/readMetadataMicrosoft.DocumentDB/databaseAccounts/sqlDatabases/containers/items/readMicrosoft.DocumentDB/databaseAccounts/sqlDatabases/containers/executeQueryMicrosoft.DocumentDB/databaseAccounts/sqlDatabases/containers/readChangeFeed
Colaborador de Dados Internos do Cosmos DB
ID: 00000000-0000-0000-0000-000000000002
-
Ações incluídas
Microsoft.DocumentDB/databaseAccounts/readMetadataMicrosoft.DocumentDB/databaseAccounts/sqlDatabases/containers/*Microsoft.DocumentDB/databaseAccounts/sqlDatabases/containers/items/*
Metadados necessários
Os SDKs (kits de desenvolvimento de software) do Azure Cosmos DB emitem solicitações de metadados somente leitura durante a inicialização e para atender a solicitações de dados específicas. Essas solicitações buscam vários detalhes de configuração, como:
- A configuração global de sua conta, que inclui as regiões do Azure em que a conta está disponível
- A chave de partição de seus contêineres ou sua política de indexação
- A lista de partições físicas que fazem um contêiner e seus endereços
- Eles não buscam nenhum dos dados armazenados em sua conta
Para garantir a melhor transparência do nosso modelo de permissão, essas solicitações de metadados são explicitamente abordadas pela ação de Microsoft.DocumentDB/databaseAccounts/readMetadata dados. Essa ação deve ser permitida em todas as situações em que sua conta do Azure Cosmos DB é acessada por meio de um dos SDKs do Azure Cosmos DB.
A ação pode ser atribuída em qualquer nível na hierarquia de uma conta do Azure Cosmos DB, incluindo conta, banco de dados ou contêiner. As solicitações de metadados reais permitidas dependem do escopo:
-
Conta
- Listando os bancos de dados na conta
- Para cada banco de dados na conta, as ações permitidas no escopo do banco de dados
-
Banco de dados
- Lendo metadados do banco de dados
- Listando os contêineres no banco de dados
- Para cada contêiner no banco de dados, as ações permitidas no escopo do contêiner
-
Contêiner
- Lendo metadados de contêiner
- Listando partições físicas sob o contêiner
- Resolvendo o endereço de cada partição física
Importante
Você não pode gerenciar a taxa de transferência com a ação de Microsoft.DocumentDB/databaseAccounts/readMetadata dados.
Conteúdo relacionado
- Melhores práticas de segurança