Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
O Azure Cosmos DB para Tabela expõe um conjunto exclusivo de ações de dados e funções dentro de sua implementação de controle de acesso baseada em função nativa. Este artigo inclui uma lista dessas ações e funções com descrições sobre quais permissões são concedidas para cada recurso.
Aviso
O controle de acesso nativo baseado em função do Azure Cosmos DB para Tabela não dá suporte à notDataActions propriedade. Qualquer ação que não seja especificada como permitida dataAction é excluída automaticamente.
Ações internas
Aqui está uma lista de ações de dados que podem ser definidas individualmente em uma definição de função.
| Description | |
|---|---|
Microsoft.DocumentDB/databaseAccounts/readMetadata |
Ler alguns metadados de conta |
Microsoft.DocumentDB/databaseAccounts/tables/containers/executeQuery |
Executa uma consulta em uma tabela |
Microsoft.DocumentDB/databaseAccounts/tables/containers/executeStoredProcedure |
Executa uma transação de tabela (procedimento) |
Microsoft.DocumentDB/databaseAccounts/tables/containers/entities/create |
Cria uma nova entidade (item) |
Microsoft.DocumentDB/databaseAccounts/tables/containers/entities/read |
O ponto lê uma entidade individual (item) usando as chaves de linha e partição |
Microsoft.DocumentDB/databaseAccounts/tables/containers/entities/replace |
Substitui inteiramente uma entidade existente (item) |
Microsoft.DocumentDB/databaseAccounts/tables/containers/entities/upsert |
Criará uma entidade (item) se ela não existir ou substituir a entidade se ela já existir |
Microsoft.DocumentDB/databaseAccounts/tables/containers/entities/delete |
Exclui uma entidade (item) |
Microsoft.DocumentDB/databaseAccounts/throughputSettings/read |
Ler a taxa de transferência atual |
Microsoft.DocumentDB/databaseAccounts/throughputSettings/write |
Modificar a taxa de transferência atual |
Microsoft.DocumentDB/databaseAccounts/tables/write |
Criar ou atualizar uma tabela |
Microsoft.DocumentDB/databaseAccounts/tables/delete |
Excluir uma tabela |
Microsoft.DocumentDB/databaseAccounts/tables/containers/write |
Criar ou atualizar um contêiner |
Microsoft.DocumentDB/databaseAccounts/tables/containers/delete |
Excluir um contêiner |
Microsoft.DocumentDB/databaseAccounts/tables/containers/readChangeFeed |
Leitura do feed de alterações do contêiner |
Microsoft.DocumentDB/databaseAccounts/tables/containers/manageConflicts |
Gerenciar conflitos para contas de várias regiões de gravação (listar e excluir itens do feed de conflitos) |
Curingas da ação de dados
O operador curinga (*) tem suporte no tables, containerse entities níveis para ações. Use o curinga para conceder acesso amplo a um tipo de recurso específico.
| Description | |
|---|---|
Microsoft.DocumentDB/databaseAccounts/tables/* |
Executar todas as operações em tabelas |
Microsoft.DocumentDB/databaseAccounts/tables/containers/* |
Executar todas as operações em contêineres |
Microsoft.DocumentDB/databaseAccounts/tables/containers/entities/* |
Executar todas as operações em entidades (itens) |
Microsoft.DocumentDB/databaseAccounts/throughputSettings/* |
Executar todas as operações relacionadas à taxa de transferência |
Metadados necessários para ações
Os SDKs (kits de desenvolvimento de software) do Azure Cosmos DB emitem solicitações de metadados somente leitura durante a inicialização e para atender a solicitações de dados específicas. Essas solicitações buscam vários detalhes de configuração, como:
- A configuração global de sua conta, que inclui as regiões do Azure em que a conta está disponível
- A chave de partição de seus contêineres ou sua política de indexação
- A lista de partições físicas que fazem um contêiner e seus endereços
- Eles não buscam nenhum dos dados armazenados em sua conta
Para garantir a melhor transparência do nosso modelo de permissão, essas solicitações de metadados são explicitamente abordadas pela ação de Microsoft.DocumentDB/databaseAccounts/readMetadata dados. Essa ação deve ser permitida em todas as situações em que sua conta do Azure Cosmos DB é acessada por meio de um dos SDKs do Azure Cosmos DB.
A ação pode ser atribuída em qualquer nível na hierarquia de uma conta do Azure Cosmos DB, incluindo conta, banco de dados ou contêiner. As solicitações de metadados reais permitidas dependem do escopo:
-
Conta
- Listando os bancos de dados na conta
- Para cada banco de dados na conta, as ações permitidas no escopo do banco de dados
-
Tabela
- Lendo metadados da tabela
- Listando os contêineres sob a tabela
- Para cada contêiner sob a tabela, as ações permitidas no escopo do contêiner
-
Contêiner
- Lendo metadados de contêiner
- Listando partições físicas sob a tabela
- Resolvendo o endereço de cada partição física
Importante
Você não pode gerenciar a taxa de transferência com a ação de Microsoft.DocumentDB/databaseAccounts/readMetadata dados.
Funções incorporadas
O Azure Cosmos DB para Tabela define definições de função específicas do plano de dados. Essas funções são distintas das definições de função de controle de acesso baseadas em função do Azure.
Leitor de dados internos do Cosmos DB
ID: 00000000-0000-0000-0000-000000000001
-
Ações incluídas
Microsoft.DocumentDB/databaseAccounts/readMetadataMicrosoft.DocumentDB/databaseAccounts/tables/containers/entities/read
Colaborador de dados internos do Cosmos DB
ID: 00000000-0000-0000-0000-000000000002
-
Ações incluídas
Microsoft.DocumentDB/databaseAccounts/readMetadataMicrosoft.DocumentDB/databaseAccounts/tables/*Microsoft.DocumentDB/databaseAccounts/tables/containers/entities/*
Conteúdo relacionado
- Melhores práticas de segurança